|
一 “你是在搞网络安全吗?有个事儿想请你帮个忙。” 没等我推辞,朋友就跟我说了,他电脑里的文件被加密了。里面有他最近在做的一个很重要的项目,准备很长时间,现在文件却突然打不开了,自己也没有备份。眼看着要交付了,万般无奈下才来向我求助。 电脑出现了中毒的症状,希望我可以帮他把电脑救回来。 朋友表示,自己用电脑也是有常识的,从来不会去点击来源不明的链接,也没上过什么“不该上”的网站,杀毒软件也装了,所以没那么容易中毒。 我看了一下,打不开文件是因为文件被加密了(AES算法),采用这种算法加密文件,必须用其对应的密钥才能解开,这样看来我也爱莫能助。 我决定帮他找出问题的来源。经过排查,我在C盘的某个目录下发现了一个powershell脚本。(红框部分就是一个powershell脚本) 脚本里的代码是从指定服务器里下载文件,这很可能是个攻击脚本。不仅如此,这个powershell脚本还做过免杀处理,所以杀软也无法检测。从过往经验来看,这种攻击脚本大多都是靠U盘等外接设备传播。 “最近电脑有没有借给别人用过,或者有没有用过陌生的U盘?”我问他。 “有过一次,就在前几天,有个同事拿他的U盘过来找我拷资料,奇怪的是明显示装了驱动,却读不出内容,我以为是U盘的问题,就让他换个U盘。但之后再拷文件时,却发现都打不开了,之后重启几次也没用。” 问题应该就在这个“U盘”上,听起来很像是类似rubber ducky(业界称为橡皮鸭)的设备给他的电脑植入了一段恶意代码,这段代码会自动下载一个木马,木马再对其文件进行加密,之后木马会执行把自己删掉,所以用杀软扫描也是一无所获。橡皮鸭可通过USB接口连接电脑,且体型小巧,所以适合伪装成U盘进行攻击。 “所以是那个U盘的问题吗?那他是怎么把病毒弄到我电脑来的?”朋友突然醒悟过来。被一起工作的同事暗算,他又惊又恼。 问了下他被暗算的原因。朋友犹豫了一下,没讲什么,不过看得出他现在心里跟明镜似的。 相比二流国产剧的情节,我更想去自己去验证下这种攻击方式。虽然理论上可行,不过在我所知的案例中,还没有出现过这种攻击实例。二其实这个问题并不复杂,所有的USB设备都有一个微控制器芯片,作为设备与计算机之间的接口。而这个芯片上的固件可以被重新编程甚至植入病毒。而且,BadUSB可以轻松绕过防病毒软件,所以极难被查觉。 这只是一种攻击的途径,目的可以有很多种,危害的程度也可大可小,危害完全取决于攻击者。 我决定以一包辣条的代价,请老师傅出山,为大家复原一次用USB设备植入病毒的过程。首先,作案前需要有一个可以被重新编程的USB设备,在某宝上,几十块钱就买到一个,简直是居家旅行黑人电脑的利器。 我在网上找了张图,简单给大家介绍一下这个设备。在蓝色的板子上,一面是存储器,一面就是控制器固件,也就是被写入恶意代码的地方。恶意代码会在电脑安装该USB驱动的时候自动运行,这时它会模拟键盘或鼠标操作,自己编写powershell,这个过程可能转瞬即逝,整个过程都不会被杀软报警,所以极难察觉。 货到手后,老师傅先生自编一段powershell代码,然后将这段代码植入设备,插入电脑后,就可以自动执行指令,将病毒植入到电脑。 本以为一插就怀孕,结果什么也没发生。。。 “不应该啊!”老师傅没想到,自己也有翻车的一天。 “卧槽!我怎么没想到这茬!”老师傅一阵苦笑。 其实是电脑的输入法默认输入中文,所以没能完成植入。原来老师傅的克星,不是杀软是输入法! 既然找到了症结所在,那就问题也就迎刃而解了,只要在前面设置一个大写锁定的指令,后面的指令就可以进行正常操作了。 植入代码后,老师傅就可以对这台电脑为所欲为了。三▼ 阅读原文,查看更多精彩文章。
|
