Nem todos os dispositivos USB maliciosos precisam ser peças caras de hardware com programação sofisticada para causar danos ao seu computador. Com uma unidade USB antiga, você pode criar seu próprio BadUSB malicioso usando arquivos de atalho do Windows para vincular e carregar.

De acordo com uma postagem no blog da McAfee Rise of LNK (Shortcut) Malware , “Durante o segundo trimestre de 2022, o McAfee Labs observou um aumento no malware sendo distribuído usando arquivos LNK. Os invasores estão explorando a facilidade do LNK e o estão usando para distribuir malware como Emotet, Qakbot, IcedID, Bazarloaders, etc.”

Vamos ver como um arquivo LNK pode entregar malware em uma unidade USB aparentemente inocente. Ao alavancar malware difícil de detectar em arquivos de atalho do Windows (arquivos LNK), um link disfarçado manipula o usuário para que clique em um arquivo aparentemente inofensivo e inicie o malware. Um atalho de arquivo LNK fornece acesso rápido e fácil a arquivos executáveis sem navegar pelo caminho completo do programa. Nessa situação, um executável de malware está em um diretório oculto. O usuário clica em uma pasta vinculada ao executável, iniciando o malware.

O executável para esta exploração é Netcat ou simplesmente nc .

O Netcat não é um malware, mas o Windows Defender o sinaliza como tal, portanto, para os propósitos deste passo a passo, vamos nos referir a ele como malware.

Usado por administradores de rede e com muitos usos, o Netcat é uma ferramenta comum que, entre outras características, permite que um computador remoto se conecte a outro. Usando o Netcat para estabelecer um shell reverso, a máquina atacante tem acesso ao shell e controle total do computador da vítima.

No final desta seção, falamos sobre maneiras de se proteger contra ataques USB de atalho LNK.

Como começar

Insira uma unidade USB em seu computador. Você pode usar qualquer unidade USB formatada para Windows. O tamanho de nossa carga útil neste exemplo é de apenas 45K, portanto, qualquer unidade deve funcionar.

Clique com o botão direito do mouse e crie uma nova pasta. Você pode nomear esta pasta como quiser, mas para este exemplo, usaremos o diretório de carga apropriadamente nomeado. Eventualmente, ocultaremos esse diretório - mais sobre como fazer isso mais tarde.

Abra a pasta que você acabou de criar. É aqui que vamos instalar nosso malware. Baixe o executável nc64.exe do GitHub e copie o arquivo nc64.exe para esta pasta

Configurando a unidade 'BadUSB'

Depois de copiar a carga em sua unidade, você precisa fazer algumas alterações no sistema de arquivos na unidade USB, começando com a criação de um arquivo em lote.

Criar um arquivo em lote

O arquivo de lote é onde você emite comandos do Windows para o computador executar. Use o bloco de notas do Windows para criar um arquivo de texto. Este arquivo contém um único comando que inicia o ataque.

Substitua o endereço IP e a porta neste exemplo pelo host de ataque que está executando o Netcat. O parâmetro -e nos permite especificar qual shell queremos usar para fazer a conexão. Em um sistema Windows, podemos usar cmd.exe ou powershell.exe . Posteriormente, configuraremos nosso servidor Linux que aceitará a conexão do computador da vítima.

Salve o arquivo com uma extensão .cmd e verifique se 'Salvar como tipo:' está definido como 'Todos os arquivos'. Certifique-se de que o arquivo em lote e o executável estejam no mesmo diretório.

O diretório de carga útil deve conter dois arquivos: o executável e o arquivo em lote.

Criando o Atalho

Parte do sucesso desse ataque é que podemos criar um atalho do Windows e um link para o malware em um diretório oculto. Para fazer com que o usuário clique em nosso malware, precisamos induzi-lo a fazê-lo. Esperançosamente, a maioria dos usuários sabe que não deve executar aplicativos aleatórios em seus computadores. Mas um usuário tentará abrir uma pasta com um nome interessante.

Crie o atalho clicando com o botão direito do mouse no diretório raiz da unidade USB e selecionando Atalho.

Selecione o arquivo em lote que você criou na etapa anterior. Em nosso exemplo, o arquivo run_exploit.cmd do diretório de carga útil e clique em Avançar para continuar.

Nomeie o atalho como algo interessante que permita ao usuário clicar nele e clicar em Concluir.

Nosso link recém-criado não parece correto e até mesmo usuários curiosos devem hesitar em clicar no ícone. Felizmente, o Windows fornece um recurso para que possamos alterar o ícone padrão de arquivos e links.

Clique com o botão direito do mouse no link e selecione Propriedades.

Clique no botão Alterar ícone.

Altere o ícone para uma pasta.

Clique em OK para fechar a janela Alterar ícone.

Clique em OK para fechar Aplique as alterações e feche a janela Propriedades do arquivo.

Agora nosso atalho não se parece mais com um link. Ainda há a seta de link tradicional no canto inferior esquerdo, mas isso deve passar por uma inspeção casual por usuários curiosos.

Ocultar a pasta de malware

Estamos quase lá. A unidade ainda não parece correta com a pasta de carga útil visível. Vamos consertar isso tornando a unidade oculta. Clique com o botão direito do mouse na pasta de carga útil e selecione Propriedades.

Marque a caixa de seleção Oculto e clique em OK para aplicar as alterações e fechar a janela

Ative 'Aplicar alterações a esta pasta, subpastas, arquivos' e clique em OK.

A unidade USB Simple Malicious está armada e pronta para ser implantada. Quando o usuário insere a unidade USB em seu computador, é isso que ele vê.

O atalho se parece com uma pasta normal do Windows e parece inofensivo. Usuários curiosos ou desavisados iniciam a carga maliciosa quando tentam abrir a pasta. Mas antes de implantar o Simple Malicious BadUSB, precisamos configurar nosso servidor de comando e controle.

Configuração do servidor de comando e controle

Nosso servidor de comando e controle (C&C) é controlado por um invasor e é usado para enviar e receber comandos de um computador comprometido por malware. Nosso servidor para esta exploração é uma máquina Ubuntu executando um software atualizado com o netcat instalado.

Este exemplo usa -n (não use DNS), -l (escuta apenas conexões de entrada), -v (detalhado) e -p (número da porta). Inicie o ouvinte com o comando nc -nlvp 4444 . O servidor espera pacientemente por uma conexão de entrada na porta 4444.

Quando o usuário insere o USB e clica no atalho, o arquivo em lote executa o comando nc64.exe com o endereço IP e o número da porta que fornecemos anteriormente. A conexão é rápida e eficaz.

Nesse ponto, a máquina está comprometida e o invasor tem acesso total ao shell do computador da vítima. O hacker pode emitir comandos como se estivesse sentado diretamente no terminal.

Defendendo-se contra essa vulnerabilidade

Várias coisas precisam dar certo para que esse exploit funcione.

• Você precisa deixar isso em um local onde alguém possa pegá-lo
• A vítima precisa ignorar toda a higiene do computador e instalá-lo em seu computador
• A vítima precisa estar executando o Windows
• O computador da vítima não deve estar executando o Windows atual com todas as atualizações e patches aplicados.
• A vítima deve estar curiosa o suficiente para clicar no link, que executa o malware oculto no diretório de carga útil

Se todas essas circunstâncias funcionarem para o invasor, esse será um ataque de ransomware bem-sucedido. Nesses tipos de ataques, os números trabalham a favor do atacante. Se 100 dispositivos BadUSB forem descartados em um local, eles precisarão apenas de uma pessoa para clicar no link para se tornar uma vítima.

Ativar proteção contra vírus e ameaças da Microsoft

A detecção de endpoint (EDR) da Microsoft faz um trabalho muito bom ao proteger os usuários contra a execução de códigos mal-intencionados. Integrado em todas as versões atualmente suportadas do Windows, a proteção contra vírus e ameaças monitora comportamentos incomuns.

Se tivermos as configurações de proteção contra vírus e ameaças ativadas, os usuários verão esta mensagem quando inserirem o BadUSB.

O Microsoft EDR colocaria o arquivo em quarentena e ele não estaria mais na unidade, o ataque falharia. Como resultado, o malware é removido e não pode mais ser executado.

A boa notícia para as vítimas em potencial é que a maioria das pessoas sabe que não deve conectar um dispositivo USB aleatório em seus computadores, mas se o fizer, o software de segurança de endpoint da Microsoft impedirá a execução do software malicioso.