掃一掃
關注微信公眾號

U盤釣魚的實現和防范
2019-01-22   Freebuf

最近在研究apt入侵,發現u盤釣魚確實是一個簡單但成功率極高的入侵手法。

入侵者在u盤中植入病毒,利用拾到者想偷窺、想知道使用人后歸還等好奇心理,誘導拾到者插入并打開u盤中的文件,進而觸發病毒,可以說是APT入侵利器。當然也就成為內網安全防御的一大挑戰。下面我們一起看看u盤釣魚的實現方式,分析下可行的檢測防御方案。

一、U盤釣魚的實現

階段一 誘導用戶插入u盤

這是第一步,也是最關鍵的一步,如果拾到者不將u盤插入pc終端,那就談不上下一步的觸發了。這里的關鍵是要分析做插入動作的的人(被入侵人)的身份。

  • 前臺人員:多是從拾到者上繳獲取的u盤,想盡快找到失主歸還,這里可以在u盤上貼上,“簡歷u盤”,“照片u盤”等字樣;
  • 普通員工:多是想偷窺別人的隱私,那就要從人性的本質出發了,在u盤上貼上“種子盤”、”我的私房照”等字樣;

總之,誘導人性,最大程度提高插入率。讓他們對各類安全教育宣傳視而不見,也就達到我們的目的了。

階段二 誘導用戶主動運動病毒

這里就不說主動運行的病毒了,autorun已被玩爛,試問哪個公司的安全團隊還沒解決這個問題?那可以拖出去斃了!

這里只說讓用戶乖乖的運行病毒,這里的套路和第一步一樣,無外乎就是根據不同人的需要制定不同的方案。下面我們僅從技術手段看下怎么讓用戶運行病毒。

先準備下:

1. 準備病毒

我們先制作一個假的病毒,筆者喜歡用pyhon寫簡單的功能,然后轉成exe,就行。隨便寫個嚇唬人的messagebox吧,如下:

然后轉換成exe,如下:

2. 準備圖標

這個就不細說了,系統圖標,網上找得到一堆,隨便選一個吧:

誘惑類圖標,美女之類的,我們自己做下即可(這里避免三俗,接下里的演示就不用這類圖標了):

這樣我們的前期準備就ok了。下面我們看怎么誘導用戶打開。

3. 誘導用戶打開運行病毒

(1) 方法1 誘惑圖標的可執行文件

直接修改可執行文件圖標,誘導用戶打開

細心的同學肯定看到了,pyinstall的默認圖標還是挺陌生的,這種情況下一般的用戶都會注意到,而且用戶看到exe的后綴也會提高警惕,所有,直接讓用戶運行的最有利條件是:

  • 圖標誘導性或吸引力
  • exe后綴隱藏(默認隱藏,或看不到)

不過這里這里我們僅探討修改圖標的方法,隱藏exe就盼著用戶默認隱藏后綴名或眼神不好吧,哈哈。

方法如下:

一種是在py轉成exe的時候就指定圖標(當然如果c++之類的編譯的時候直接指定圖標即可)

另一種是用圖標修改工具,如Restorator、ResourceHacker。先刪除資源,然后添加資源即可:

第二種,自解壓運行可執行文件,修改圖標。

選擇自解壓:

配置:

效果:

最后把文件名改一下,多加空格,隱藏后綴,效果更好:

(2) 方法2 誘惑的快捷方式

快捷方式指向病毒目錄中的可執行文件,就可以解決圖標問題和顯示后綴exe的問題了。

以上就是兩種筆者常用的實現方式,方法雖然簡單,但是很多apt團隊也是用類似方案的,效果確實不錯。有興趣的同學,歡迎提出更多方案。

最后,可能大家注意到了,這里沒有說免殺。畢竟這已經是大家的基本素養了,何況,這種誘惑人性的東東很多同學都是看到殺軟報毒都會主動加白的!可笑的案例比比皆是。所以很多時候連免殺都不做也沒問題。

說完了,各種實現方案,發揮思路,看看怎么防御和檢測。

二、U盤釣魚的防御和檢測

答案可能顯而易見了,那就是加強用戶教育,這個落地的苦就不說了,搞安全同學都知道,讓別人聽你的,那是最難的。所以筆者提出一個變態的思路。

不允許u盤內程序運行,但可以拷貝到本地運行。為實現這個目標,看看怎么技術實現。

這個比較簡單,利用組策略就行了:

基本就可以控制病毒程序被執行了。

當然,除了可執行文件外,還有各類腳本,如vbs、js。這類腳本都是調用系統的解析程序,如wscrip等進行解析,而解析程序在系統盤并不在u盤內,所以我們的域策略控制可執行的這種方式無法攔截。但這類方式正因為是調用系統程序進行解析,所以它的圖標是不能更改,所以迷惑性也不高。

如果必須攔截,那按照筆者思路,這里需要判定u盤插入,然后自動配置域策略,禁止對應u盤盤符內的vbs,js等后綴程序的執行就可以阻止了。這就涉及到dlp了,就不展開說了。

綜上,簡要的說了下u盤釣魚的實現和防御,當然只要你思路足夠開闊,還有很多方式可以更好的誘導用戶,或者繞過防御。入侵和對抗本來就是在不斷演進,這也是安全技術最大的樂趣所在。如有疑問,歡迎探討。

熱詞搜索:U盤釣魚

上一篇:四招讓你有效防止勒索軟件攻擊
下一篇:最后一頁

分享到: 收藏
評論內容
云南快乐十分开奖结果爱彩乐