2016年,伊利诺伊大学(University of Illinois)的研究人员在学校校园内留下了297个没标签的U盘,看看会发生啥。98%的硬盘被工作人员和学生捡起,至少有一半的硬盘被使用(连接各种设备以进行数据传输)。
USB设备已经存在了近20年,它在没有网络的情况下提供了简洁存储和传输文件传输的方式。网络犯罪者利用了这种能力并尝试了很多次“大动作”,其中最著名的是2010年的Stuxnet蠕虫病毒(Stuxnet worm),它利用USB设备向伊朗的网络中注入恶意软件。
如今,市场上有多家云服务商能够在一定程度上帮助人们完成文件存储和数据传输,同时用户对USB设备的安全风险有了更大的认识,USB设备的使用频率不断下降。尽管如此,每年仍有数以百万计的USB设备被生产和销售,其中许多设备必然要用于日常生活中的营销推广活动。
USB设备仍然是网络威胁的目标。根据卡巴斯基实验室2017年的多个方面数据显示,全球大约每12个月就有25%的用户受到“本地”网络事件的影响。这些攻击是直接在用户的计算机上检测到的,包括由可移动媒体(如USB设备)引起的感染。
这篇简短的报告回顾了当前移动媒体(尤其是USB)的网络威胁领域,并就保护这些小型设备及其携带的数据提供了建议和建议。
从2015年开始就有研究人员发现,犯罪分子利用USB设备和其他可移动的媒体来传播挖矿软件。
最受欢迎的挖矿软件是比特币矿商Trojan.Win64.Miner,其检测率同比增长了大约六分之一。
在2018年受到可移动媒体感染的全用户中,有十分之一和crypto-miner
其他通过可移动媒体/USB传播的恶意软件包括Windows LNK木马家族,从2016年开始,木马就一直是被检测到的三大主要USB威胁之一。
2010年的Stuxnet病毒,CVE-2010-2568,仍然是通过可移动媒体传播的十大恶意攻击之一。
新兴市场最容易受到可移动媒体的恶意感染,亚洲、非洲和南美洲受影响最大,但欧洲和北美国家也发现了孤立的病毒感染。
2018年8月21日媒体披露了一种复杂的金融类恶意软件——Dark Tequila。从2013年起,墨西哥的一部分消费者和企业就饱受其害,这种感染主要是通过USB设备传播。
可移动媒体引起的感染被定义为本地威胁,即那些直接在用户的计算机上检测到的威胁。本地威胁不同于网络上针对计算机的威胁(网络传播威胁),后者更为普遍。本地感染也可以由隐藏在复杂安装程序中的加密恶意程序引起。为了隔离通过可移动媒体(如USB设备)传播的恶意软件的数据,我们在受影响的计算机驱动根中进行了检测——这是一个强有力的指示,表明感染源是可移动媒体。
该数据显示,自2014年以来,可移动媒体(驱动根)威胁检测的数量稳步下降,但总体下降速度可能正在放缓。2014年,受可移动媒体威胁影响的用户与被检测到的威胁总数之比为1:42;到2017年,这一数字下降了大约一半,降至1:25;预计2018年将在1:22左右。
攻击者的主要目标是没有连接到互联网的计算机网络,比如关键的国家基础设施网络(电力、水力、军事等等)。最著名的例子可能就是Stuxnet蠕虫病毒的活动。在2009~2010年间,Stuxnet蠕虫病毒袭击了伊朗的,并扰乱其运作。
USB设备常常是作为将恶意软件注入设备网络的工具出现。除此之外,这些设备还利用了Windows LNK漏洞(CVE-2010-2568),以此来实现了远程代码执行。其他高级威胁要素,包括Equation Group、Flame、Regin和HackingTeam,都尝试将这个漏洞集成到可移动媒体中以用于攻击。
此外,大多数USB设备的结构允许它们被设置后提供隐藏的存储单元,例如用于移除被盗数据。人们发现ProjectSauron 2016工具包中包含了一个特殊的模块,用于将数据从隔离网络的网络环境转移到互联网环境的系统上(俗称数据摆渡行为)。这种做法会带来USB磁盘的格式化,格式化之后能够改变USB磁盘上分区的大小,并在磁盘末端(出于恶意目的)保留一些隐藏空间(几百兆字节)(例如存储摆渡的数据)。
微软在2015年3月修复了最后一个易受攻击的LNK代码路径。然而,在2016年,仍然有很多用户会遇到这一种漏洞,尽管尽管这种漏洞在2017年被EternalBlue(永恒之蓝)漏洞所取代。然而,CVE-20102568继续以恶意软件的方式分布在USB设备和其他可移动介质中:尽管检测和受害者的数量迅速下降,但它仍然是可被检测到的十大驱动源威胁之一。
我们已经通过探测漏洞获知了通过可移动介质(如USBs)传输的恶意软件及其数量,下面将对以这种方式来进行分发的恶意软件种类进行分析。
至少从2016年开始,通过可移动介质传播的最流行的恶意软件就从始至终保持着相对的一致性。例如,Windows LNK恶意软件(包含用于下载恶意文件的链接或用于启动恶意可执行文件的路径的木马程序)仍然是移动媒体传播的三大威胁之一。这种恶意软件被攻击者用来破坏、封锁、修改或复制数据,或干扰设备或其网络的运行。WinLNK Runner Trojan,是2017年被检测到的USB威胁最多的病毒,一般被蠕虫用来启动可执行文件。
2017年,检测到2270万例WinLNK.Agent感染,近90万用户受到感染。据估计,2018年的黑客攻击约为2300万次,攻击用户超过70万。这在某种程度上预示着攻击量同比增长2%,而目标用户数量同比下降20%。
WinLNK Runner Trojan的检验测试数量预计将一下子就下降,从2017年的275万次下降到2018年的100万次(基于目前检验测试的数据的预估值),降幅61%;目标用户数量下降51%(从2017年的92万左右下降到2018年的45万+)。
其他通过USB设备传播的流行恶意软件包括Sality病毒,该病毒于2003年首次检测到,但此后进行了大量修改;Dinihou蠕虫会自动复制到USB驱动器上,创建恶意快捷方式(LNKs),一旦新受害者打开,就会启动蠕虫。
USB设备也被用来传播密码货币挖掘软件。这不能说很普遍,但足够成功,其获利可以鼓励攻击者接着使用这种分发方法。根据安全研究室的数据,在驱动根中检测到的一个正流行的加密矿机是Trojan.Win32.Miner.ays/Trojan.Win64.Miner。而这自2014年以来就广人所知。
这个家族中的恶意软件秘密使用受感染计算机的算力来挖掘密码货币。木马将挖掘应用程序放到PC上,然后安装并偷偷启动挖掘软件,同时下载参数,使其能够将结果发送到攻击者控制的外部服务器。
有数据显示,2018年发现的一些感染可以追溯到几年前,长时间的感染可能对受害者设备的解决能力产生重大负面影响。
在H1 2017年(136,954个独立用户)和H1 2018年(93,433个独立用户)之间,受32位版本的恶意挖矿软件影响的人数下降了28.13个百分点。
另一个版本是Trojan.Win64.Miner。所有这些都预示着检测的第一年将会激增,在那之后,用户的点击数量将稳定增长到每年六分之一左右。当将这种挖掘恶意软件的目标用户数量与受到可移动媒体威胁的总用户数量作比较时,我们还能够正常的看到这种小规模但稳定的上涨的速度。这表明,在2018年受到可移动媒体威胁的用户中,大约有十分之一的人将成为该矿商的目标,大约在两年内增长两倍。
2018年8月,研究人员发现了一项代号为“Dark Tequila”的复杂网络行动,过去5年里,该行动一直针对墨西哥的用户,利用恶意软件窃取银行凭证和个人及企业数据,这些恶意软件可以在离线状态下在受害者的计算机之间分发。
研究人员称,恶意代码通过受感染的USB设备和鱼叉式网络钓鱼传播,这中间还包括一些可以躲避检测的功能。Dark Tequila背后的威胁者据说是西班牙语的拉丁美洲人。
2017年的年度多个方面数据显示,在许多新兴国家,约有三分之二的用户经历过本地威胁(上文中有提到),这中间还包括驱动可移动媒体的根源恶意软件感染;而在发达经济体,这一比例不到四分之一。到2018年,这一些数据没有太大变化。
LNK利用通过可移动媒体传播,越南是迄今为止受影响最严重的国家 (18.8%的用户影响),阿尔及利亚(11.2%)和印度(10.9%)。在亚洲、俄罗斯和巴西等别的地方也发现感染活动,以及在一些欧洲国家中也出现过感染,包括西班牙、德国、法国、英国和意大利、美国和日本。
对与挖矿软件来说,影响区域更广。检测结果为,Trojan.Win32.Miner.ays / Trojan.Win.64.Miner主要活跃在印度(23.7%)、俄罗斯(18.45%)和哈萨克斯坦(14.38%),同时在亚洲和非洲的别的地方也发现感染。欧美地区也有少量感染发生,包括美国、英国、德国、荷兰、瑞士、西班牙、比利时、奥地利、意大利、丹麦和瑞典)美国、加拿大和日本。
USB设备有许多优点:它们体积轻巧、使用起来更便捷,是一项伟大的创造发明,但如果不采取保护的方法,设备本身、存储在它们上面的数据和插入的计算机都可能受到网络威胁。
购买可信赖品牌的加密USB设备——这样即使你丢失了设备,你也知道你的数据是安全的。
确保有一个安全的解决方案,在连接到网络之前检查所有可移动媒介上是不是真的存在恶意软件(即使是知名品牌)。
管理USB设备的使用:定义哪些USB设备能使用,由谁使用,用于什么目的。
教育员工使用安全USB设备——特别是当他们在家用电脑和办公设备之间使用移动电子设备时。
