安全研究人员曾遇到过这样的攻击:一个设计成可以像键盘一样暗中活动的USB加密狗，无极4产品以百思买礼品卡的名义，被寄给了一家公司。过去，安全专业人员在物理渗透测试中使用过这种技术，但是在野外很少观察到。这次可能是一个已知的复杂的网络犯罪集团。

 

来自Trustwave SpiderLabs的安全研究员分析并披露了这次攻击，他们是从团队成员的商业伙伴那里得知的。Ziv Mador是安全研究Trustwave SpiderLabs的副总裁，他告诉CSO，一家服务行业的美国公司在2月中旬的某个时候收到了USB接口。

 

包裹里有一封看上去很正式的信，上面有百思买的标识和其他品牌元素，通知收信人他们收到了一张价值50美元的礼品卡，因为他们是百思买的常客。信中写道:“你可以把钱花在u盘上列出的任何产品上。”幸运的是，这个USB加密狗从未被插入任何电脑，无极4平台首页而是被传下来进行分析，因为接收它的人受过安全培训。

 

的BadUSB

 

研究人员在一家台湾网站上找到了这款USB加密狗，它以“BadUSB Leonardo USB ATMEGA32U4”的名字出售，价格相当于7美元。2014年,在美国的黑帽安全会议上,一个研究小组从柏林安全研究实验室(SRLabs)表明,许多USB软件狗的固件可以重新编程,这样,当插入电脑,它报告说,它实际上是一个键盘,开始发送命令可以用来部署恶意软件。研究人员称这种攻击为BadUSB，它不同于将恶意软件放在u盘上，然后依靠用户来打开它。

 

Trustwave接收并分析的Leonardo USB设备内部有一个Arduino ATMEGA32U4微控制器，它被编程为一个虚拟键盘，无极4平台无极4登录注册并通过命令行执行一个模糊的PowerShell脚本。该脚本到达攻击者设置的域，下载第二个PowerShell有效负载，然后部署第三个基于javascript的有效负载，该负载通过Windows的内置脚本主机引擎执行。

 

第三个JavaScript有效负载为计算机生成唯一标识符，并将其注册到远程命令控制服务器。然后，它从执行它的服务器接收额外的模糊JavaScript代码。第四个有效负载的目标是收集关于系统的信息，例如用户的权限、域名、时区、语言、操作系统和硬件信息、正在运行的进程列表、是否安装了Microsoft Office和Adobe Acrobat等。

 

在这个智能收集例程之后，JavaScript后门进入一个循环，该循环定期与服务器进行检查，以查看是否有新的命令需要执行。

 

Trustwave的研究人员在他们的报告中说:“事实上，它们也很便宜，而且任何人都可以轻易获得，这意味着看到罪犯在野外使用这种技术只是时间问题。”“由于USB设备无处不在，随处可见，有些人认为它们无害且安全。其他人可能会对一个未知的USB设备的内容非常好奇。如果说这个故事教会了我们什么，那就是永远不要相信这样一个装置。”