USB威脅:從惡意軟體到挖礦程式
一、介紹
2016年,伊利諾伊大學的研究人員在大學校園內留下了297個未標記的USB快閃記憶體,看看會發生什麼。98%的驅動器由工作人員和學生撿起,並且至少有一半被插入計算機以檢視內容。對於試圖感染計算機網路的黑客來說,這是不可抗拒的。
USB裝置已經存在了將近20年,它提供了一種簡單方便的方式,可以在不直接連線到網際網路的計算機之間儲存和傳輸數字檔案。這種功能已被網路威脅行為者利用,最著名的是2010年的Stuxnet蠕蟲,它使用USB裝置將惡意軟體注入伊朗核設施的網路。
如今,像Dropbox這樣的雲服務在檔案儲存和傳輸方面已經承擔了很多繁重的工作,並且人們對USB裝置相關的安全風險有了更多的認識。它們作為必不可少的商業工具的使用率正在下降。儘管如此,每年仍然有數百萬個USB裝置被生產和分發,其中許多裝置用於家庭,或者企業和營銷推廣活動的贈品。
USB裝置仍然是網路威脅的目標。2017年卡巴斯基實驗室資料顯示,每12個月左右,全球四分之一的使用者受到“本地”網路事件的影響。這是直接在使用者計算機上檢測到的攻擊,包括由USB裝置等可移動媒體引起的感染。
這篇簡短的報告回顧了當前可移動媒體(尤其是USB)的網路威脅態勢環境,並提供了有關保護這些裝置及其所攜帶資料的建議和意見。
二、方法和主要發現
概述了基於卡巴斯基實驗室在使用者計算機驅動器根目錄中的檔案保護技術的檢測,並應用了特定的掃描過濾器和其他措施。它僅涵蓋惡意軟體攻擊,不包括對廣告軟體或風險工具等潛在危險或有害程式的檢測。使用者通過卡巴斯基安全網路(KSN)自願共享檢測資料。
主要發現
· USB裝置和其他可移動媒體正被用於傳播加密貨幣採礦軟體,至少從2015年開始。一些受害者被發現已感染這種病毒很多年。
· 受歡迎的比特幣挖礦軟體Trojan.Win64.Miner.all的檢測率同比增長約六分之一。
· 在2018年遭受可移動媒體感染的所有使用者中,有十分之一是使用這種加密採礦軟體(約為9.22%,高於2017年的6.7%和2016年的4.2%)。
· 通過可移動媒體/ USB傳播的其他惡意軟體包括Windows LNK系列特洛伊木馬,這是自2016年以來檢測到的三大USB威脅之一。
· 2010 Stuxnet漏洞利用程式CVE-2010-2568仍然是通過可移動媒體傳播的十大惡意攻擊之一。
· 新興市場最容易受到可移動媒體傳播的惡意感染——亞洲,非洲和南美洲受影響最大,但在歐洲和北美國家也發現了孤立的點選。
· Dark Tequila是一種複雜的銀行惡意軟體,於2018年8月21日報道發現。至少自2013年以來一直針對墨西哥的消費者和企業,感染主要通過USB裝置傳播。
三、USB不斷髮展的網路威脅領域
可移動媒體引起的感染被定義為本地威脅——直接在使用者計算機上檢測到的威脅,例如,在計劃安裝或使用者啟動的安全掃描期間。本地威脅不同於針對網際網路計算機的威脅(網路威脅),這種威脅更為普遍。隱藏在複雜安裝程式中的加密惡意程式也可能導致本地感染。為了隔離可移動媒體(如USB裝置)傳播的惡意軟體資料,我們採取了受感染計算機驅動器根目錄中觸發的檢測——這是感染源為可移動媒體的強烈指示。
此資料顯示自2014年以來可移動媒體(驅動器根目錄)威脅檢測的數量穩步下降,但整體下降速度正在放緩。2014年,受可移動媒體威脅影響的使用者與檢測到的此類威脅總數之間的比例為1:42;到2017年,這個數字下降了一半到1:25;估計2018年達到1:22。
與網路威脅相比,這些數字顯得蒼白:2017年,卡巴斯基實驗室的檔案防病毒軟體檢測到了1.138億可移動媒體威脅,而其網路防病毒軟體則排除了從線上資源發起的12億次攻擊。鑑於此,即使全球約有400萬用戶在2018年通過這種方式受到感染,也很容易忽視可移動媒體帶來的持久風險。
*2013-2018年在使用者計算機的驅動器根目錄中觸發的惡意軟體檢測總數(以百萬計),這是可移動媒體感染的指標。Source: KSN ofollow,noindex">(download)
*2013-2018年在計算機的驅動器根目錄中觸發惡意軟體檢測的唯一使用者數(以百萬計),這是可移動媒體感染的指標。Source: KSN (download)
1.USB作為高階威脅行為者的工具
USB裝置吸引針對未連線到網際網路的計算機網路的攻擊者——例如那些關鍵的國家電力基礎設施。最著名的例子是Stuxnet行動。在2009年和2010年,Stuxnet蠕蟲針對伊朗的核設施,破壞其運營。
USB裝置被用於將惡意軟體注入設施的隔離網路。除此之外,這些裝置還包括對Windows LNK漏洞(CVE-2010-2568)的利用,該漏洞可以遠端執行程式碼。其他高階威脅,包括 Equation Group , Flame , Regin 和 HackingTeam ,都將此漏洞整合以用於攻擊可移動媒體。
此外,大多數USB裝置的結構允許它們被轉換以提供隱藏的儲存隔空間,例如用於移除被盜資料。 ProjectSauron 2016工具包被發現包括一個特殊模組,旨在將資料從隔離網路傳輸到連線網際網路的系統。這涉及USB驅動器,通過設定更改USB磁碟上分割槽的大小,在磁碟末端保留一些隱藏空間(幾百兆位元組)用於惡意目的。
2.Stuxnet中的CVE-2010-2568
Microsoft在2015年3月修復了最後一個存在漏洞的LNK程式碼路徑。然而,在2016年,多達四分之一的卡巴斯基實驗室使用者遇到了通過所有攻擊媒介(包括網路傳播的威脅)的攻擊,面臨此漏洞的攻擊(儘管它在2017年被EternalBlue漏洞利用所取代)。但是,CVE-2010-2568繼續是USB裝置和其他可移動媒體分發的惡意軟體中的特色:儘管檢測和受害者數量迅速下降,但它仍然是KSN檢測到的十大驅動器源威脅之一。
2013-2018年CVE-2010-2568的漏洞利用(可移動媒體)檢測(以百萬計)。Source: KSN (download)
2013-2018年CVE-2010-2568,的漏洞利用的感染使用者(可移動媒體)檢測(以百萬計)。
Source: KSN (download)
如果漏洞檢測提供了通過可移動介質(例如USB)傳輸的惡意軟體量的指示,下面說明以這種方式分發的惡意軟體的型別。
3.通過可移動介質傳播惡意軟體
自2016年以來,通過可移動媒體傳播的頂級惡意軟體保持相對一致。例如, Windows LNK 系列惡意軟體,包含用於下載惡意檔案的連結或用於啟動惡意可執行檔案路徑的木馬,仍然是通過可移動媒體傳播的三大威脅。攻擊者使用惡意軟體來破壞、修改或複製資料,或者破壞裝置或其網路的執行。WinLNK Runner特洛伊木馬程式是2017年檢測到的頂級USB威脅,是用於啟動可執行檔案的蠕蟲。
2017年,檢測到2270萬次WinLNK.Agent感染,影響了近90萬用戶。2018年的數字約為2300萬次攻擊,僅超過70萬用戶。這意味著檢測率上升2%,同比目標使用者數下降20%。
對於WinLNK Runner特洛伊木馬,預計數字將大幅下降—檢出率從2017年的275萬降至2018年的100萬,下降61%;目標使用者數量下降了51%(從2017年的約920,000人減少到2018年的450,000人)。
通過USB裝置傳播的其他頂級惡意軟體包括 Sality 病毒,該病毒於2003年首次檢測到,但自那以後經過大量修改;以及自動將自身複製到USB驅動器上的 Dinihou 蠕蟲,建立惡意快捷方式(LNK),一旦新的受害者開啟它就會啟動蠕蟲。
4.Miners——少見但持久
USB裝置也被用於傳播加密貨幣挖掘軟體。這種情況相對不常見,但足以讓攻擊者繼續使用這種分發方法。根據KSN資料,在驅動器根中檢測到的一種流行的加密挖掘軟體是Trojan.Win32.Miner.ays / Trojan.Win64.Miner.all,自2014年起為人所知。
該系列的惡意軟體祕密使用受感染計算機的處理器容量來生成加密貨幣。特洛伊木馬將挖掘應用程式放到PC上,然後安裝並靜默啟動挖掘軟體並下載引數,使其能夠將結果傳送到攻擊者控制的外部伺服器。
卡巴斯基實驗室的資料顯示,2018年檢測到的一些感染可以追溯到幾年前,這表明長時間的感染可能對受害者裝置的處理能力產生了明顯的負面影響。
32位版本的Trojan.Win32.Miner.ays的檢測資料如下:
在2017年上半年(136,954個獨立使用者)和2018年上半年(93,433個獨立使用者)之間,受32位版本挖礦軟體影響的人數下降了28.13個百分點。
另一個版本Trojan.Win64.Miner.all在第一年檢測中出現了預期的激增,之後使用者數量達到了穩定的增長率,每年約為六分之一。當將使用此挖掘惡意軟體的使用者數量與受可移動媒體威脅擊中的使用者總數進行比較時,也可以看到這種小而穩定的增長率。這表明在2018年,大約十分之一的使用者受到可移動媒體威脅的攻擊,成為該挖礦軟體的目標,兩年增加兩倍。
這些結果表明,這種威脅通過可移動媒體可以很好地傳播。
Trojan.Win64.Miner.all的檢測資料如下:
5.Dark Tequila – 高階銀行木馬
2018年8月,卡巴斯基實驗室的研究人員報告了一項名為Dark Tequila的複雜網路行動,至少在過去的五年裡一直瞄準墨西哥的使用者,通過惡意軟體竊取銀行憑證、個人和公司資料以及在受害者電腦離線時進行橫向移動。
根據卡巴斯基實驗室的研究人員的說法,惡意程式碼通過受感染的USB裝置和魚叉式網路釣魚傳播,幷包含規避檢測的功能。Dark Tequila背後的威脅攻擊者的母語很可能是西班牙語和拉丁語。
四、目標地理分佈
新興市場最容易被可移動媒體感染。
2017年的資料顯示,在此類國家中約有三分之二的使用者遇到“本地”事件,其中包括來自可移動媒體的驅動源惡意軟體感染,而發達經濟體中只有不到四分之一。這些數字與2018年保持一致。
對於通過可移動媒體傳播的LNK漏洞,2018年迄今受影響最嚴重的國家是越南(受影響的使用者佔18.8%),阿爾及利亞(11.2%)和印度(10.9%),其他亞洲地區也有感染,俄羅斯和巴西等國,而一些歐洲國家(西班牙,德國,法國,英國和義大利),美國和日本只有零星感染。
2018年通過可移動媒體受CVE-2010-2568漏洞利用影響的使用者比例。來源:KSN(僅包括卡巴斯基實驗室客戶超過10,000的國家/地區) Source: KSN (download)
挖礦軟體的範圍更廣。Trojan.Win32.Miner.ays / Trojan.Win.64.Miner.all主要在印度(23.7%),俄羅斯(18.45% – 可能受到更大客戶群的影響)和哈薩克(14.38%)發現,在亞洲和非洲的其他地區也有感染,在幾個歐洲國家(英國,德國,荷蘭,瑞士,西班牙,比利時,奧地利,義大利,丹麥和瑞典),美國,加拿大和日本也有零星感染。
2018年通過可移動媒體受比特幣加密貨幣採礦者影響的使用者比例。來源:KSN(僅包括卡巴斯基實驗室客戶超過10,000名的國家)Source: KSN (download)
五、總結及建議
這篇短文的主要目的是提高人們對消費者和企業可能低估的威脅的認識。
USB驅動器具有許多優點:結構緊湊,便於攜帶,並且具有很好的品牌資產,但裝置本身,儲存在其上的資料以及插入的計算機如果不受保護,都可能容易受到網路威脅。
幸運的是,消費者和組織可以採取一些有效措施來保護USB裝置的使用。
給所有USB使用者的建議:
·關注連線到計算機的裝置——你知道它來自哪裡嗎?
· 使用信任品牌的加密USB裝置——這樣即使丟失裝置,也知道資料是安全的
· 確保USB上儲存的所有資料都已加密
· 制定安全解決方案,在連線到網路之前檢查所有可移動媒體是否存在惡意軟體 – 即使是受信任的品牌也可能通過其供應鏈受感染
針對企業的其他建議:
· 管理USB裝置的使用:定義可以使用哪些USB裝置,由誰以及為什麼使用
· 教育員工安全使用USB:特別是如果他們在家用計算機和工作裝置之間使用移動裝置
· 請勿將USB放在顯示器周圍或顯示屏上