paint-brush
Como criar um dispositivo USB malicioso e se divertir inofensivamente por@fatman
41,462 leituras
41,462 leituras

Como criar um dispositivo USB malicioso e se divertir inofensivamente

por Scott Eggimann
Scott Eggimann HackerNoon profile picture

Scott Eggimann

@fatman

Technical Writer documenting the Sim Racing industry and Cybersecurity.

6 min read2022/10/14
Read on Terminal Reader
Read this story in a terminal
Print this story
Read this story w/o Javascript
Read this story w/o Javascript

Muito longo; Para ler

Usando uma unidade USB antiga, você pode criar seu próprio BadUSB malicioso usando arquivos de atalho do Windows para vincular a malware. Um atalho de arquivo LNK fornece acesso rápido e fácil a arquivos executáveis sem navegar pelo caminho completo do programa. Nesta situação, malware. executável está em um diretório oculto. O usuário clica em uma pasta, que tem um link para o arquivo. executável, iniciando o malware.

Company Mentioned

Mention Thumbnail
Microsoft
featured image - Como criar um dispositivo USB malicioso e se divertir inofensivamente
Scott Eggimann HackerNoon profile picture
Scott Eggimann

Scott Eggimann

@fatman

Technical Writer documenting the Sim Racing industry and Cybersecurity.

0-item

STORY’S CREDIBILITY

Original Reporting

Original Reporting

This story contains new, firsthand information uncovered by the writer.



Nem todos os dispositivos USB maliciosos precisam ser peças caras de hardware com programação sofisticada para causar danos ao seu computador. Com uma unidade USB antiga, você pode criar seu próprio BadUSB malicioso usando arquivos de atalho do Windows para vincular e carregar.


De acordo com uma postagem no blog da McAfee Rise of LNK (Shortcut) Malware , “Durante o segundo trimestre de 2022, o McAfee Labs observou um aumento no malware sendo distribuído usando arquivos LNK. Os invasores estão explorando a facilidade do LNK e o estão usando para distribuir malware como Emotet, Qakbot, IcedID, Bazarloaders, etc.”


Vamos ver como um arquivo LNK pode entregar malware em uma unidade USB aparentemente inocente. Ao alavancar malware difícil de detectar em arquivos de atalho do Windows (arquivos LNK), um link disfarçado manipula o usuário para que clique em um arquivo aparentemente inofensivo e inicie o malware. Um atalho de arquivo LNK fornece acesso rápido e fácil a arquivos executáveis sem navegar pelo caminho completo do programa. Nessa situação, um executável de malware está em um diretório oculto. O usuário clica em uma pasta vinculada ao executável, iniciando o malware.


O executável para esta exploração é Netcat ou simplesmente nc .


O Netcat não é um malware, mas o Windows Defender o sinaliza como tal, portanto, para os propósitos deste passo a passo, vamos nos referir a ele como malware.


Usado por administradores de rede e com muitos usos, o Netcat é uma ferramenta comum que, entre outras características, permite que um computador remoto se conecte a outro. Usando o Netcat para estabelecer um shell reverso, a máquina atacante tem acesso ao shell e controle total do computador da vítima.


No final desta seção, falamos sobre maneiras de se proteger contra ataques USB de atalho LNK.

Como começar

Insira uma unidade USB em seu computador. Você pode usar qualquer unidade USB formatada para Windows. O tamanho de nossa carga útil neste exemplo é de apenas 45K, portanto, qualquer unidade deve funcionar.


Clique com o botão direito do mouse e crie uma nova pasta. Você pode nomear esta pasta como quiser, mas para este exemplo, usaremos o diretório de carga apropriadamente nomeado. Eventualmente, ocultaremos esse diretório - mais sobre como fazer isso mais tarde.


image


Abra a pasta que você acabou de criar. É aqui que vamos instalar nosso malware. Baixe o executável nc64.exe do GitHub e copie o arquivo nc64.exe para esta pasta


image

Configurando a unidade 'BadUSB'

Depois de copiar a carga em sua unidade, você precisa fazer algumas alterações no sistema de arquivos na unidade USB, começando com a criação de um arquivo em lote.


Criar um arquivo em lote

O arquivo de lote é onde você emite comandos do Windows para o computador executar. Use o bloco de notas do Windows para criar um arquivo de texto. Este arquivo contém um único comando que inicia o ataque.


Substitua o endereço IP e a porta neste exemplo pelo host de ataque que está executando o Netcat. O parâmetro -e nos permite especificar qual shell queremos usar para fazer a conexão. Em um sistema Windows, podemos usar cmd.exe ou powershell.exe . Posteriormente, configuraremos nosso servidor Linux que aceitará a conexão do computador da vítima.


image

Salve o arquivo com uma extensão .cmd e verifique se 'Salvar como tipo:' está definido como 'Todos os arquivos'. Certifique-se de que o arquivo em lote e o executável estejam no mesmo diretório.


image


O diretório de carga útil deve conter dois arquivos: o executável e o arquivo em lote.


image

Criando o Atalho

Parte do sucesso desse ataque é que podemos criar um atalho do Windows e um link para o malware em um diretório oculto. Para fazer com que o usuário clique em nosso malware, precisamos induzi-lo a fazê-lo. Esperançosamente, a maioria dos usuários sabe que não deve executar aplicativos aleatórios em seus computadores. Mas um usuário tentará abrir uma pasta com um nome interessante.


Crie o atalho clicando com o botão direito do mouse no diretório raiz da unidade USB e selecionando Atalho.


image


Selecione o arquivo em lote que você criou na etapa anterior. Em nosso exemplo, o arquivo run_exploit.cmd do diretório de carga útil e clique em Avançar para continuar.


image

Nomeie o atalho como algo interessante que permita ao usuário clicar nele e clicar em Concluir.


image


Nosso link recém-criado não parece correto e até mesmo usuários curiosos devem hesitar em clicar no ícone. Felizmente, o Windows fornece um recurso para que possamos alterar o ícone padrão de arquivos e links.


Clique com o botão direito do mouse no link e selecione Propriedades.


image


Clique no botão Alterar ícone.


image



Altere o ícone para uma pasta.

image

Clique em OK para fechar a janela Alterar ícone.

Clique em OK para fechar Aplique as alterações e feche a janela Propriedades do arquivo.


image


Agora nosso atalho não se parece mais com um link. Ainda há a seta de link tradicional no canto inferior esquerdo, mas isso deve passar por uma inspeção casual por usuários curiosos.

Ocultar a pasta de malware


Estamos quase lá. A unidade ainda não parece correta com a pasta de carga útil visível. Vamos consertar isso tornando a unidade oculta. Clique com o botão direito do mouse na pasta de carga útil e selecione Propriedades.


image

Marque a caixa de seleção Oculto e clique em OK para aplicar as alterações e fechar a janela


image



Ative 'Aplicar alterações a esta pasta, subpastas, arquivos' e clique em OK.


image


A unidade USB Simple Malicious está armada e pronta para ser implantada. Quando o usuário insere a unidade USB em seu computador, é isso que ele vê.


image


O atalho se parece com uma pasta normal do Windows e parece inofensivo. Usuários curiosos ou desavisados iniciam a carga maliciosa quando tentam abrir a pasta. Mas antes de implantar o Simple Malicious BadUSB, precisamos configurar nosso servidor de comando e controle.


Configuração do servidor de comando e controle

Nosso servidor de comando e controle (C&C) é controlado por um invasor e é usado para enviar e receber comandos de um computador comprometido por malware. Nosso servidor para esta exploração é uma máquina Ubuntu executando um software atualizado com o netcat instalado.


Este exemplo usa -n (não use DNS), -l (escuta apenas conexões de entrada), -v (detalhado) e -p (número da porta). Inicie o ouvinte com o comando nc -nlvp 4444 . O servidor espera pacientemente por uma conexão de entrada na porta 4444.


image


Quando o usuário insere o USB e clica no atalho, o arquivo em lote executa o comando nc64.exe com o endereço IP e o número da porta que fornecemos anteriormente. A conexão é rápida e eficaz.


image

Nesse ponto, a máquina está comprometida e o invasor tem acesso total ao shell do computador da vítima. O hacker pode emitir comandos como se estivesse sentado diretamente no terminal.


image

Defendendo-se contra essa vulnerabilidade

Várias coisas precisam dar certo para que esse exploit funcione.


  • Você precisa deixar isso em um local onde alguém possa pegá-lo
  • A vítima precisa ignorar toda a higiene do computador e instalá-lo em seu computador
  • A vítima precisa estar executando o Windows
  • O computador da vítima não deve estar executando o Windows atual com todas as atualizações e patches aplicados.
  • A vítima deve estar curiosa o suficiente para clicar no link, que executa o malware oculto no diretório de carga útil



Se todas essas circunstâncias funcionarem para o invasor, esse será um ataque de ransomware bem-sucedido. Nesses tipos de ataques, os números trabalham a favor do atacante. Se 100 dispositivos BadUSB forem descartados em um local, eles precisarão apenas de uma pessoa para clicar no link para se tornar uma vítima.


Ativar proteção contra vírus e ameaças da Microsoft

A detecção de endpoint (EDR) da Microsoft faz um trabalho muito bom ao proteger os usuários contra a execução de códigos mal-intencionados. Integrado em todas as versões atualmente suportadas do Windows, a proteção contra vírus e ameaças monitora comportamentos incomuns.


image

Se tivermos as configurações de proteção contra vírus e ameaças ativadas, os usuários verão esta mensagem quando inserirem o BadUSB.


image

O Microsoft EDR colocaria o arquivo em quarentena e ele não estaria mais na unidade, o ataque falharia. Como resultado, o malware é removido e não pode mais ser executado.


A boa notícia para as vítimas em potencial é que a maioria das pessoas sabe que não deve conectar um dispositivo USB aleatório em seus computadores, mas se o fizer, o software de segurança de endpoint da Microsoft impedirá a execução do software malicioso.





L O A D I N G
. . . comments & more!

About Author

Scott Eggimann HackerNoon profile picture
Scott Eggimann@fatman
Technical Writer documenting the Sim Racing industry and Cybersecurity.

Rótulos

ESTE ARTIGO FOI APRESENTADO EM...

Permanent on Arweave
Read on Terminal Reader
Read this story in a terminal
 Terminal
Read this story w/o Javascript
Read this story w/o Javascript
 Lite

Mentioned in this story

companies
X REMOVE AD