在影視作品中，經常能見到通過USB存儲器發起的網路入侵攻擊。劇情通常是從目標公司中挑選一位容易下手的僱員，讓他在工作場所的某個地方插入。對於有經驗的網絡犯罪者來說，這顯然是一件很容易暴露的事情。但沒想到的是，同樣的劇情，竟然在現實中上演了。2017~2018年間，卡巴斯基實驗室的專家們，受邀研究了一系列的網絡盜竊事件。

它們之間有一個共同點——有一個直連公司本地網絡的未知設備。有時它出現在中央辦公室、有時出現在位於另一個國家或地區的辦事處。

據悉，東歐至少有8 家銀行成為了這種襲擊的目標（統稱DarkVishnya），造成了數千萬美元的損失。

每次攻擊可分為相同的幾個階段：首先，網絡犯罪分子以快遞員、求職者等為幌子，潛入了組織的大樓、並將設備連接到本地網絡（比如某個會議室中）。

在可能的情況下，該裝置會被隱藏或混入周圍環境，以免引起懷疑。如上圖所示的帶插座的多媒體桌子，就很適合植入隱蔽的設備。

根據網絡犯罪分子的能力和個人喜好，DarkVishnya攻擊中使用的設備也會有所不同。在卡巴斯基實驗室研究的案例中，通常有如下三種：

● 上網本或廉價筆記本電腦；

● 樹莓派計算機；

● Bash Bunny — 一款用於執行USB 攻擊的特殊工具。

在本地網絡內，該設備會顯示為“未知計算機、外部閃存驅動器、甚至鍵盤”。然後再通過內置或USB連接的GPRS / 3G / LTE調製解調器，遠程訪問被植入的設備。

結合Bash Bunny 在外形尺寸上與USB 閃存盤差不多的事實，這使得安全人員在搜索時，難以決定從何處先下手。

攻擊的第二階段，攻擊者遠程連接到設備、並掃描本地網絡，以訪問共享文件夾、Web 服務器、和其它開放式資源。

此舉旨在獲取有關網絡的信息，尤其是業務相關的服務器和工作站。與此同時，攻擊者試圖暴力破解或嗅探這些機器的登錄憑證。

為克服防火牆的限制，它們使用本地TCP 服務器來植入shellcode 。

若防火牆阻止其從一個網段跳躍到另一個網段、但允許反向連接，則攻擊者會藉助其它可被利用的資源，來構建所需的通信隧道。

得逞後，網絡犯罪分子會實施第三階段：

登錄目標系統，使用遠程訪問軟件來保留訪問權限，接著在受感染的計算機上啟用msfvenom 創建的惡意服務。

因為黑客利用了無文件攻擊（Fileless Attacks）和PowerShell，所以能夠繞過白名單技術、或者域策略。

即便遇到了無法繞過的白名單，或者PowerShell 被目標計算機阻止，網絡犯罪分子亦可藉助impacket、winecesvc.exe 或psexec.exe 等可執行文件，發動遠程攻擊。

最後，卡巴斯基實驗室曝光瞭如下惡意軟件：

not-a-virus.RemoteAdmin.Win32.DameWare

MEM:Trojan.Win32.Cometer

MEM:Trojan.Win32.Metasploit

Trojan.Multi.GenAutorunReg

HEUR:Trojan.Multi.Powecod

HEUR:Trojan.Win32.Betabanker.gen

not-a-virus:RemoteAdmin.Win64.WinExe

Trojan.Win32.Powershell

PDM:Trojan.Win32.CmdServ

Trojan.Win32.Agent.smbe

HEUR:Trojan.Multi.Powesta.b

HEUR:Trojan.Multi.Runner.j

not-a-virus.RemoteAdmin.Win32.PsExec

Shellcode 監聽端口：

tcp://0.0.0.0:5190

tcp://0.0.0.0:7900

Shellcode 連結點：

tcp://10.**.*.***:4444

tcp://10.**.*.***:4445

tcp://10.**.*.***:31337

Shellcode 管道：

\\.\xport

\\.\s-pipe

[編譯自：SecureList ]