Tous les périphériques USB malveillants n'ont pas besoin d'être des composants matériels coûteux dotés d'une programmation sophistiquée pour endommager votre ordinateur. Avec une ancienne clé USB, vous pouvez créer votre propre BadUSB malveillant en utilisant des fichiers de raccourcis Windows pour vous connecter et des charges utiles.

Selon un article de blog McAfee Rise of LNK (Shortcut) Malware , « Au cours du deuxième trimestre 2022, McAfee Labs a constaté une augmentation des logiciels malveillants diffusés à l'aide de fichiers LNK. Les attaquants exploitent la facilité de LNK et l'utilisent pour diffuser des logiciels malveillants comme Emotet, Qakbot, IcedID, Bazarloaders, etc.

Nous allons examiner comment un fichier LNK peut diffuser des logiciels malveillants sur une clé USB apparemment innocente. En exploitant des logiciels malveillants difficiles à détecter dans les fichiers de raccourcis Windows (fichiers LNK), un lien déguisé incite l'utilisateur à cliquer sur un fichier apparemment inoffensif et à lancer des logiciels malveillants. Un raccourci de fichier LNK offre un accès rapide et facile aux fichiers exécutables sans parcourir le chemin complet du programme. Dans cette situation, un exécutable de malware se trouve dans un répertoire caché. L'utilisateur clique sur un dossier, qui renvoie à l'exécutable, lançant le logiciel malveillant.

L'exécutable de cet exploit est Netcat ou simplement nc .

Netcat n'est pas un logiciel malveillant, mais Windows Defender le signale comme tel. Par conséquent, aux fins de cette procédure pas à pas, nous l'appellerons un logiciel malveillant.

Utilisé par les administrateurs réseau et ayant de nombreuses utilisations, Netcat est un outil commun qui, entre autres fonctionnalités, permet à un ordinateur distant de se connecter à un autre. En utilisant Netcat pour établir un shell inversé, la machine attaquante dispose d'un accès au shell et d'un contrôle total sur l'ordinateur de la victime.

À la fin de cette section, nous parlons des moyens de vous protéger contre les attaques USB par raccourci LNK.

Comment commencer

Insérez une clé USB dans votre ordinateur. Vous pouvez utiliser n'importe quelle clé USB formatée pour Windows. La taille de notre charge utile dans cet exemple n'est que de 45 Ko, donc n'importe quel lecteur devrait fonctionner.

Faites un clic droit et créez un nouveau dossier. Vous pouvez nommer ce dossier comme vous le souhaitez, mais pour cet exemple, nous utiliserons le répertoire de charge utile bien nommé. Nous cacherons éventuellement ce répertoire - plus d'informations sur la façon de le faire plus tard.

Ouvrez le dossier que vous venez de créer. C'est là que nous allons installer notre malware. Téléchargez l'exécutable nc64.exe depuis GitHub et copiez le fichier nc64.exe dans ce dossier

Configuration du lecteur 'BadUSB'

Après avoir copié la charge utile sur votre lecteur, vous devez apporter des modifications au système de fichiers sur le lecteur USB en commençant par créer un fichier de commandes.

Créer un fichier batch

Le fichier de commandes est l'endroit où vous émettez les commandes Windows que l'ordinateur doit exécuter. Utilisez le Bloc-notes de Windows pour créer un fichier texte. Ce fichier contient une seule commande qui lance l'attaque.

Remplacez l'adresse IP et le port dans cet exemple par votre hôte attaquant qui exécute Netcat. Le paramètre -e nous permet de spécifier quel shell nous voulons utiliser pour établir la connexion. Sur un système Windows, nous pouvons utiliser cmd.exe ou powershell.exe . Plus tard, nous configurerons notre serveur Linux qui acceptera la connexion de l'ordinateur de la victime.

Enregistrez le fichier avec une extension .cmd et vérifiez que "Type de fichier :" est défini sur "Tous les fichiers". Assurez-vous que le fichier de commandes et l'exécutable se trouvent dans le même répertoire.

Le répertoire de charge utile doit contenir deux fichiers : l'exécutable et le fichier batch.

Création du raccourci

Une partie du succès de cette attaque est que nous pouvons créer un raccourci Windows et un lien vers le logiciel malveillant dans un répertoire caché. Afin d'amener l'utilisateur à cliquer sur notre logiciel malveillant, nous devons l'inciter à le faire. Heureusement, la plupart des utilisateurs savent qu'il ne faut pas exécuter d'applications aléatoires sur leurs ordinateurs. Mais un utilisateur essaiera d'ouvrir un dossier avec un nom intéressant.

Créez le raccourci en cliquant avec le bouton droit sur le répertoire racine de la clé USB et en sélectionnant Raccourci.

Sélectionnez le fichier batch que vous avez créé à l'étape précédente. Dans notre exemple, le fichier run_exploit.cmd du répertoire payload et cliquez sur Next pour continuer.

Nommez le raccourci quelque chose d'intéressant qui permettrait à un utilisateur de cliquer dessus et cliquez sur Terminer.

Notre lien nouvellement créé ne semble pas correct, et même les utilisateurs curieux devraient hésiter à cliquer sur l'icône. Heureusement, Windows fournit une fonctionnalité permettant de modifier l'icône par défaut des fichiers et des liens.

Faites un clic droit sur le lien et sélectionnez Propriétés.

Cliquez sur le bouton Changer d'icône.

Remplacez l'icône par un dossier.

Cliquez sur OK pour fermer la fenêtre Changer d'icône.

Cliquez sur OK pour fermer Appliquer les modifications et fermer la fenêtre Propriétés du fichier.

Maintenant, notre raccourci ne ressemble plus à un lien. Il y a toujours la flèche de lien traditionnelle en bas à gauche, mais cela devrait passer une inspection occasionnelle par les utilisateurs curieux.

Masquer le dossier des logiciels malveillants

Nous y sommes presque. Le lecteur ne semble toujours pas correct avec le dossier de charge utile visible. Nous allons résoudre ce problème en masquant le lecteur. Cliquez avec le bouton droit sur le dossier de charge utile et sélectionnez Propriétés.

Cochez la case Masqué et cliquez sur OK pour appliquer les modifications et fermer la fenêtre

Activez "Appliquer les modifications à ce dossier, sous-dossiers, fichiers" et cliquez sur OK.

La clé USB Simple Malicious est armée et prête à être déployée. Lorsque l'utilisateur insère la clé USB dans son ordinateur, voici ce qu'il voit.

Le raccourci ressemble à un dossier Windows normal et semble inoffensif. Les utilisateurs curieux ou non attentifs lancent la charge utile malveillante lorsqu'ils essaient d'ouvrir le dossier. Mais avant de déployer Simple Malicious BadUSB, nous devons configurer notre serveur de commande et de contrôle.

Configuration du serveur de commande et de contrôle

Notre serveur de commande et de contrôle (C&C) est contrôlé par un attaquant et est utilisé pour envoyer et recevoir des commandes à partir d'un ordinateur compromis par des logiciels malveillants. Notre serveur pour cet exploit est une machine Ubuntu exécutant un logiciel à jour avec netcat installé.

Cet exemple utilise -n (ne pas utiliser DNS), -l (écouter uniquement les connexions entrantes), -v (verbeux) et -p (numéro de port). Démarrez le programme d'écoute avec la commande nc -nlvp 4444 . Le serveur attend patiemment une connexion entrante sur le port 4444.

Lorsque l'utilisateur insère la clé USB et clique sur le raccourci, le fichier de commandes exécute la commande nc64.exe avec l'adresse IP et le numéro de port que nous avons fournis précédemment. La connexion est rapide et efficace.

À ce stade, la machine est compromise et l'attaquant a un accès complet au shell de l'ordinateur de la victime. Le pirate peut émettre des commandes comme s'il était assis directement devant le terminal.

Se défendre contre cette vulnérabilité

Plusieurs choses doivent aller bien pour que cet exploit fonctionne.

• Vous devez le déposer à un endroit où quelqu'un viendra le chercher
• La victime doit ignorer toute hygiène informatique et l'installer sur son ordinateur
• La victime doit exécuter Windows
• L'ordinateur de la victime ne doit pas exécuter le Windows actuel avec toutes les mises à jour et correctifs appliqués.
• La victime doit être suffisamment curieuse pour cliquer sur le lien, qui exécute le logiciel malveillant caché dans le répertoire de la charge utile

Si toutes ces circonstances fonctionnent pour l'attaquant, il s'agirait alors d'une attaque de ransomware réussie. Dans ces types d'attaques, les nombres jouent en faveur de l'attaquant. Si 100 appareils BadUSB sont déposés à un endroit, il suffit qu'une seule personne clique sur le lien pour devenir une victime.

Activer la protection contre les virus et les menaces de Microsoft

La détection des points de terminaison Microsoft (EDR) fait un très bon travail pour protéger les utilisateurs contre l'exécution de code malveillant. Intégré à toutes les versions actuellement prises en charge de Windows, la protection contre les virus et les menaces surveille les comportements inhabituels.

Si nous avons activé les paramètres de protection contre les virus et les menaces, les utilisateurs verront ce message lorsqu'ils insèrent le BadUSB.

Microsoft EDR mettrait le fichier en quarantaine et il ne serait plus sur le disque, l'attaque échouerait. En conséquence, le malware est supprimé et ne peut plus être exécuté.

La bonne nouvelle pour les victimes potentielles est que la plupart des gens savent qu'il ne faut pas brancher un périphérique USB aléatoire sur leur ordinateur, mais s'ils le font, le logiciel de sécurité des terminaux Microsoft empêchera l'exécution du logiciel malveillant.