悪意のある USB デバイスのすべてが、コンピューターに損害を与える特别なプログラミングを備えた高価なハードウェアである相应はありません。古い USB ドライブでは、Windows ショートカット ファイルを安全使用して独立の悪意のある BadUSB を制成し、ペイロードにリンクすることができます。

マカフィーのブログ記事「 よると、「2022 年の第 2 四半期に、マカフィー ラボは、LNK ファイルを实用して配信されるマルウェアの増加を確認しました。攻撃者は LNK の使いやすさを悪用して、Emotet、Qakbot、IcedID、Bazarloaders などのマルウェアを配信するために实用しています。」

LNK ファイルが一見無害に見える USB ドライブにマルウェアを配信する的办法を調べます。検出が困難なマルウェアを Windows ショートカット ファイル (LNK ファイル) に組み込むことで、偽装されたリンクがユーザーを操控し、無害に見えるファイルをクリックしてマルウェアを起動させます。 LNK ファイルのショートカットを使用的すると、プログラムのフル パスを移動しなくても、実行也许 ファイルにすばやく簡単にアクセスできます。この状況では、マルウェアの実行也许 ファイルが隠しディレクトリにあります。ユーザーが実行也许 ファイルにリンクしているフォルダをクリックすると、マルウェアが起動します。

このエクスプロイトの実行可能ファイルは、Netcat または単にncです。

Netcat はマルウェアではありませんが、Windows Defender ではマルウェアとしてフラグが付けられているため、このウォークスルーではマルウェアと呼びます。

ネットワーク工作管理者的角色によって用到され、多くの操作用途がある Netcat は、リモート コンピューターを別のコンピューターに接続できるようにする大部分的なツールです。 Netcat を用到してリバース シェルを確立すると、攻撃側のマシンはシェル アクセス権を持ち、受害者のコンピュータを压根に制御できます。

このセクションの最後では、LNK ショートカット USB 攻撃から身を守る步骤について説明します。

どうやって始めるのか

USB ドライブをコンピュータに挿入します。 Windows でフォーマットされた同样の USB ドライブを施用できます。この例のペイロードのサイズはわずか 45K なので、どのドライブでも動作するはずです。

右クリックして新しいフォルダーを作成します。このフォルダーには任意の名前を付けることができますが、この例では、適切な名前のペイロードディレクトリを使用します。最終的にこのディレクトリを非表示にします - その方法については後で詳しく説明します。

作成したフォルダを開きます。ここにマルウェアをインストールします。 、 nc64.exeファイルをこのフォルダーにコピーします。

「BadUSB」ドライブの構成

ペイロードをドライブにコピーしたら、バッチ ファイルの做成から始めて、USB ドライブのファイル システムを変更する有必要があります。

バッチ ファイルを作成する

バッチ ファイルは、コンピュータが実行する Windows コマンドを発行する場所です。 Windows のメモ帳を应用して、テキスト ファイルを做成します。このファイルには、攻撃を開始する単一のコマンドが含まれています。

この例の IP アドレスとポートを、Netcat を実行している攻撃ホストに置き換えます。 -eパラメータを使用すると、接続に使用するシェルを指定できます。 Windows システムでは、 cmd.exeまたはpowershell.exeを使用できます。後で、被害者のコンピューターからの接続を受け入れる Linux サーバーを構成します。

ファイルを.cmd拡張子で保存し、[ファイルの種類] が [すべてのファイル] に設定されていることを確認します。バッチ ファイルと実行可能ファイルが同じディレクトリにあることを確認します。

ペイロード ディレクトリには、実行很有可能ファイルとバッチ ファイルの 2 つのファイルが含まれている相应があります。

ショートカットの作成

この攻撃が完美した原由の 1 つは、Windows ショートカットを制成し、隠しディレクトリにマルウェアへのリンクを制成できることです。ユーザーにマルウェアをクリックさせるには、クリックさせる必不可少があります。うまくいけば、ほとんどのユーザーは自分のコンピューターでランダムなアプリケーションを実行しないことを知っています。しかし、ユーザーは興味深い名前のフォルダを開こうとします。

USB ドライブのルート ディレクトリを右クリックし、[ショートカット] を選択して、ショートカットを制作します。

前の手順で作成したバッチ ファイルを選択します。この例では、ペイロードディレクトリからrun_exploit.cmdファイルを選択し、[次へ] をクリックして続行します。

ショートカットには、ユーザーがクリックして [完了] をクリックできるような興味深い名前を付けます。

新しく制作したリンクは正しくないように見えます。惊奇心旺盛起来なユーザーでさえ、アイコンをクリックするのを躊躇するはずです。幸いなことに、Windows にはファイルとリンクのデフォルト アイコンを変更できる機能があります。

リンクを右クリックし、[プロパティ] を選択します。

[アイコンの変更] ボタンをクリックします。

アイコンをフォルダに変更します。

[OK] をクリックして、[アイコンの変更] ウィンドウを閉じます。 [OK] をクリックして変更を適用し、ファイルの [プロパティ] ウィンドウを閉じます。

これで、ショートカットがリンクのように見えなくなりました。左下に従来のリンク矢印が残っていますが、これは好奇宝宝心过盛なユーザーの気軽な検査に优秀するはずです。

マルウェア フォルダを非表示にする

私たちは、ほぼ、そこにいる。ペイロードフォルダが表示されているため、ドライブはまだ正しく表示されません。ドライブを非表示にすることでこれを修正します。ペイロードフォルダーを右クリックし、[プロパティ] を選択します。

[非代表] チェックボックスを選択し、[OK] をクリックして変更を適用し、ウィンドウを閉じます。

[このフォルダー、サブフォルダー、ファイルに変更を適用する] を有効にして、[OK] をクリックします。

Simple Malicious USBドライブは準備が整っており、展開する準備ができています。ユーザーが USB ドライブをコンピュータに挿入すると、これが表示されます。

ショートカットは、经常の Windows フォルダーのように見え、無害に見えます。惊奇心过高なユーザーや観察力のないユーザーがフォルダーを開こうとすると、悪意のあるペイロードが起動されます。ただし、Simple Malicious BadUSB を展開する前に、コマンド アンド コントロール サーバーをセットアップする用得着があります。

コマンド アンド コントロール サーバーのセットアップ

当社のコマンド アンド コントロール (C&C) サーバーは攻撃者によって制御され、マルウェアによって侵害されたコンピューターからコマンドを送受信するために使用されます。このエクスプロイトのサーバーは、 netcatがインストールされた最新のソフトウェアを実行する Ubuntu マシンです。

この例では、 -n (DNS を使用しない)、 -l (着信接続のみをリッスンする)、- v (詳細)、および-p (ポート番号) を使用します。 nc -nlvp 4444コマンドでリスナーを開始します。サーバーは、ポート 4444 で着信接続を辛抱強く待ちます。

ユーザーが USB を挿入してショートカットをクリックすると、バッチ ファイルは、先ほど指定した IP アドレスとポート番号を使用してnc64.exeコマンドを実行します。接続は迅速かつ効果的です。

この時点で、マシンは影响され、攻撃者は受害者のコンピュータへのフル シェル アクセスを提供します。ハッカーは、端末に同时座っているかのようにコマンドを発行できます。

この脆弱性に対する防御

このエクスプロイトが機能するには、いくつかのことが正しく行われる有必要的があります。

• 誰かが拾う場所にこれをドロップする必要があります
• 被害者は、すべてのコンピューターの衛生状態を無視して、自分のコンピューターにインストールする必要があります
• 被害者は Windows を実行している必要があります
• 被害者のコンピューターは、すべての更新プログラムとパッチが適用された最新の Windows を実行していてはなりません。
• 被害者は興味を持ってリンクをクリックし、ペイロードディレクトリに隠されたマルウェアを実行する必要があります。

これらすべての状況が攻撃者に当てはまる場合、これはランサムウェア攻撃の获得成功です。この種の攻撃では、数値は攻撃者に有利于に働きます。 100 台の BadUSB デバイスが 1 か所にドロップされた場合、1 人だけがリンクをクリックして受害者になります。

Microsoft ウイルスおよび脅威対策を有効にする

Microsoftエンドポイント検出 (EDR) は、悪意のあるコードの実行からユーザーを保護するのに非常に優れています。現在サポートされているすべてのバージョンの Windows に組み込まれており、ウイルスと脅威からの保護が異常な動作を監視します。

ウイルスと脅威からの保護設定が有効になっている場合、ユーザーが BadUSB を挿入すると、このメッセージが表述されます。

Microsoft EDR はファイルを隔離し、ドライブ上に产生しなくなるため、攻撃は失敗します。その結果、マルウェアは削除され、実行できなくなります。

意向的な被害案者にとって良いニュースは、ほとんどの人がランダムな USB デバイスを自分のコンピューターに接続しないことを知っているということです。ただし、接続した場合、Microsoft エンドポイント セキュリティ ソフトウェアが悪意のあるソフトウェアの実行を防ぎます。