Không phải tất cả các thiết bị USB độc hại đều cần phải là phần cứng đắt tiền với lập trình phức tạp để gây thiệt hại cho máy tính của bạn. Với ổ USB cũ, bạn có thể tạo BadUSB độc hại của riêng mình bằng cách sử dụng các tệp lối tắt Windows để liên kết và tải trọng.

Theo một bài đăng trên blog McAfee Phần mềm độc hại Rise of LNK (Phím tắt) , “Trong quý 2 năm 2022, McAfee Labs đã chứng kiến sự gia tăng phần mềm độc hại được phân phối bằng các tệp LNK. Những kẻ tấn công đang khai thác sự dễ dàng của LNK và đang sử dụng nó để cung cấp phần mềm độc hại như Emotet, Qakbot, IcedID, Bazarloaders, v.v. ”

Chúng ta sẽ xem xét cách một tệp LNK có thể phân phối phần mềm độc hại trên một ổ USB trông có vẻ vô tội. Bằng cách tận dụng phần mềm độc hại khó phát hiện vào các tệp lối tắt Windows (tệp LNK), một liên kết ngụy trang sẽ thao túng người dùng nhấp vào một tệp dường như vô hại và khởi chạy phần mềm độc hại. Lối tắt tệp LNK cung cấp khả năng truy cập nhanh chóng và dễ dàng vào các tệp thực thi mà không cần điều hướng đường dẫn đầy đủ của chương trình. Trong tình huống này, tệp thực thi phần mềm độc hại nằm trong một thư mục ẩn. Người dùng nhấp vào một thư mục, liên kết đến tệp thực thi, khởi chạy phần mềm độc hại.

Tập tin thực thi cho việc khai thác này là Netcat hoặc đơn giản là nc .

Netcat không phải là phần mềm độc hại, nhưng Windows Defender gắn cờ nó như vậy, vì vậy, vì mục đích của hướng dẫn này, chúng tôi sẽ gọi nó là phần mềm độc hại.

Được sử dụng bởi các quản trị viên mạng và có nhiều mục đích sử dụng, Netcat là một công cụ phổ biến trong số các tính năng khác, cho phép một máy tính từ xa kết nối với một máy tính khác. Sử dụng Netcat để thiết lập một trình bao đảo ngược, máy tấn công có quyền truy cập trình bao và toàn quyền kiểm soát máy tính của nạn nhân.

Ở phần cuối của phần này, chúng ta sẽ nói về các cách để bảo vệ bạn trước các cuộc tấn công USB bằng phím tắt LNK.

Cách bắt đầu

Cắm ổ USB vào máy tính của bạn. Bạn có thể sử dụng bất kỳ ổ USB nào được định dạng Windows. Kích thước tải trọng của chúng tôi trong ví dụ này chỉ là 45K nên bất kỳ ổ đĩa nào cũng sẽ hoạt động.

Nhấp chuột phải và tạo một thư mục mới. Bạn có thể đặt tên thư mục này bất cứ thứ gì bạn muốn, nhưng đối với ví dụ này, chúng tôi sẽ sử dụng thư mục tải trọng được đặt tên phù hợp. Cuối cùng chúng tôi sẽ ẩn thư mục này - tìm hiểu thêm về cách thực hiện điều đó sau.

Mở thư mục bạn vừa tạo. Đây là nơi chúng tôi sẽ cài đặt phần mềm độc hại của mình. Tải xuống tệp thực thi nc64.exe từ GitHub và sao chép tệp nc64.exe vào thư mục này

Định cấu hình ổ 'BadUSB'

Sau khi sao chép tải trọng vào ổ đĩa của bạn, bạn cần thực hiện một số thay đổi hệ thống tệp trên ổ USB bắt đầu bằng việc tạo tệp hàng loạt.

Tạo một tệp hàng loạt

Tệp lô là nơi bạn đưa ra các lệnh Windows để máy tính thực thi. Sử dụng Windows Notepad để tạo tệp văn bản. Tệp này chứa một lệnh duy nhất bắt đầu cuộc tấn công.

Thay thế địa chỉ IP và cổng trong ví dụ này bằng máy chủ tấn công của bạn đang chạy Netcat. Tham số -e cho phép chúng ta chỉ định shell mà chúng ta muốn sử dụng để tạo kết nối. Trên hệ thống Windows, chúng ta có thể sử dụng cmd.exe hoặc powershell.exe . Sau đó, chúng tôi sẽ cấu hình máy chủ Linux của mình, máy chủ này sẽ chấp nhận kết nối từ máy tính của nạn nhân.

Lưu tệp với phần mở rộng .cmd và kiểm tra xem "Lưu dưới dạng loại:" được đặt thành "Tất cả các tệp". Đảm bảo rằng tệp hàng loạt và tệp thực thi nằm trong cùng một thư mục.

Thư mục tải trọng phải chứa hai tệp: tệp thực thi và tệp lô.

Tạo lối tắt

Một phần thành công của cuộc tấn công này là chúng ta có thể tạo một lối tắt Windows và liên kết đến phần mềm độc hại trong một thư mục ẩn. Để người dùng nhấp vào phần mềm độc hại của chúng tôi, chúng tôi cần lừa họ làm như vậy. Hy vọng rằng hầu hết người dùng biết không chạy các ứng dụng ngẫu nhiên trên máy tính của họ. Nhưng người dùng sẽ cố gắng mở một thư mục có tên thú vị.

Tạo lối tắt bằng cách nhấp chuột phải vào thư mục gốc của ổ USB và chọn Lối tắt.

Chọn tệp hàng loạt bạn đã tạo ở bước trước. Trong ví dụ của chúng tôi, tệp run_exploit.cmd từ thư mục tải trọng và nhấp vào Tiếp theo để tiếp tục.

Đặt tên cho phím tắt là một cái gì đó thú vị sẽ cho phép người dùng nhấp vào nó và nhấp vào Kết thúc.

Liên kết mới được tạo của chúng tôi trông không đúng và ngay cả những người dùng tò mò cũng nên do dự khi nhấp vào biểu tượng. May mắn thay, Windows cung cấp một tính năng để chúng ta có thể thay đổi biểu tượng mặc định cho các tệp và liên kết.

Nhấp chuột phải vào liên kết và chọn Thuộc tính.

Nhấp vào nút Thay đổi biểu tượng.

Thay đổi biểu tượng thành một thư mục.

Bấm OK để đóng cửa sổ Thay đổi Biểu tượng.

Bấm OK để đóng Áp dụng các thay đổi và đóng cửa sổ Thuộc tính tệp.

Bây giờ phím tắt của chúng tôi không giống như một liên kết nữa. Vẫn có mũi tên liên kết truyền thống ở phía dưới bên trái, nhưng điều này sẽ vượt qua sự kiểm tra thông thường của những người dùng tò mò.

Ẩn thư mục phần mềm độc hại

Chúng tôi gần như ở đó. Ổ đĩa trông vẫn không ổn với thư mục tải trọng hiển thị. Chúng tôi sẽ khắc phục điều đó bằng cách ẩn ổ đĩa. Nhấp chuột phải vào thư mục tải trọng và chọn Thuộc tính.

Chọn hộp kiểm Ẩn và nhấp vào OK để áp dụng các thay đổi và đóng cửa sổ

Bật 'Áp dụng các thay đổi cho thư mục này, thư mục con, tệp' và nhấp vào OK.

Ổ USB Độc hại Đơn giản đã được trang bị và sẵn sàng triển khai. Khi người dùng cắm ổ USB vào máy tính của họ, đây là những gì họ nhìn thấy.

Phím tắt trông giống như một thư mục Windows thông thường và trông vô hại. Người dùng tò mò hoặc không quan tâm sẽ khởi chạy tải trọng độc hại khi họ cố gắng mở thư mục. Nhưng trước khi triển khai BadUSB Độc hại Đơn giản, chúng ta cần thiết lập máy chủ điều khiển và chỉ huy của mình.

Thiết lập máy chủ Command-and-Control

Máy chủ Command-and-control (C&C) của chúng tôi bị kẻ tấn công kiểm soát và được sử dụng để gửi và nhận lệnh từ một máy tính bị phần mềm độc hại xâm phạm. Máy chủ của chúng tôi cho việc khai thác này là một máy Ubuntu chạy phần mềm cập nhật có cài đặt netcat .

Ví dụ này sử dụng -n (không sử dụng DNS), -l (chỉ lắng nghe các kết nối đến), -v (dài dòng) và -p (số cổng). Bắt đầu trình nghe bằng lệnh nc -nlvp 4444 . Máy chủ kiên nhẫn đợi kết nối đến trên Cổng 4444.

Khi người dùng cắm USB và nhấp vào phím tắt, tệp loạt thực thi lệnh nc64.exe với địa chỉ IP và số cổng mà chúng tôi đã cung cấp trước đó. Kết nối nhanh chóng và hiệu quả.

Tại thời điểm này, máy tính đã bị xâm nhập và kẻ tấn công có toàn quyền truy cập vào máy tính của nạn nhân. Tin tặc có thể đưa ra các lệnh như thể họ đang ngồi trực tiếp tại thiết bị đầu cuối.

Bảo vệ chống lại lỗ hổng này

Một số điều cần phải làm đúng để khai thác này hoạt động.

• Bạn cần thả cái này ở một vị trí mà ai đó sẽ nhặt nó lên
• Nạn nhân cần bỏ qua tất cả vệ sinh máy tính và cài đặt nó vào máy tính của họ
• Nạn nhân cần chạy Windows
• Máy tính của nạn nhân không được chạy Windows hiện tại với tất cả các bản cập nhật và bản vá được áp dụng.
• Nạn nhân phải đủ tò mò để nhấp vào liên kết, liên kết này thực thi phần mềm độc hại ẩn trong thư mục tải trọng

Nếu tất cả những trường hợp này đều phù hợp với kẻ tấn công, thì đây sẽ là một cuộc tấn công ransomware thành công. Trong các kiểu tấn công này, các con số có lợi cho kẻ tấn công. Nếu 100 thiết bị BadUSB bị rơi tại một địa điểm, thì họ chỉ cần một người nhấp vào liên kết để trở thành nạn nhân.

Bật tính năng Bảo vệ khỏi mối đe dọa và vi-rút của Microsoft

Phát hiện điểm cuối của Microsoft (EDR) thực hiện rất tốt công việc bảo vệ người dùng khỏi việc chạy mã độc. Được tích hợp trong tất cả các phiên bản Windows hiện được hỗ trợ, đồng hồ bảo vệ khỏi mối đe dọa và vi-rút để phát hiện các hành vi bất thường.

Nếu chúng tôi đã bật cài đặt bảo vệ chống Vi-rút và Đe dọa, người dùng sẽ thấy thông báo này khi họ chèn BadUSB.

Microsoft EDR sẽ cách ly tệp và nó sẽ không còn trên ổ đĩa nữa, cuộc tấn công sẽ thất bại. Do đó, phần mềm độc hại bị xóa và không thể thực thi được nữa.

Tin tốt cho các nạn nhân tiềm năng là hầu hết mọi người đều biết không cắm thiết bị USB ngẫu nhiên vào máy tính của họ nhưng nếu họ làm vậy, phần mềm bảo mật điểm cuối của Microsoft sẽ ngăn phần mềm độc hại chạy.