一个APT攻击U盘病毒
病毒现象:
特制U盘一个,插入后就中招,不需要打开,无视关闭的自动播放,U盘根目录没有autorun.inf文件。里面有个DLL文件带毒。U盘格式化后,如果里面有一个EXE文件(不带毒,名称mj0011.exe)及带毒DLL文件,只要插入电脑就会中招。
找个其它的U盘,将以上两文件,放进去,插入系统无反应,不中招;
将exe文件替换为计算器,在插入电脑的时候,计算器会自动运行,中招;
判断结果:usb hid 攻击
其他扩展阅读:
附加USB键盘、USB鼠标等人机交互设备(HID)类接口描述符,则该USB打印机插入USB接口后除了识别出USB打印机之外,会识别出附加的键盘、 鼠标等输入设备。如果通过自定义USB固件进行自动输入,模拟用户输入操作计算机,后果不堪设想,将硬盘格式化掉也不是没有可能。
有人将可以通过Kautilya 和Teensy++ (tennpsy2)轻松实现
https://j00ru.vexillium.org/?p=1272
https://www.nsfocus.net/vulndb/8050
https://technet.microsoft.com/zh-cn/security/bulletin/ms13-027
ntfs的一个漏洞,利用条件是一个低权限账户用户,配合usb的插入得到高权限shell。
评论