信息來(lái)源：Freebuf

時(shí)至7月，2020年上半年已告一段落。

2020年，這個(gè)本該寄托無(wú)數(shù)憧憬的年份，卻因一場(chǎng)席卷而來(lái)的疫情危機(jī)的到來(lái)而全球震蕩。流年不利、人心惶惶，這些糟糕的詞語(yǔ)已經(jīng)無(wú)法準(zhǔn)確描述這場(chǎng)疫情為全球人民生活造成的灰暗。

伴隨著疫情夜幕的降臨，生活在黑暗中的生物們也相繼“蘇醒”。

勒索病毒、蠕蟲(chóng)木馬、釣魚郵件，橫向滲透、變形蟲(chóng)攻擊等黑客攻擊如同洪流般裹挾泥沙席卷而來(lái)，各路玩家粉墨登場(chǎng)。在疫情的掩護(hù)下，將人們本已步履維艱的生活攪亂的更加渾濁。

360安全大腦對(duì)上半年全球范圍內(nèi)針對(duì)PC端異?；钴S的十大網(wǎng)絡(luò)攻擊威脅，包括疫情下流行病毒的趨勢(shì)，以及伴隨疫情出現(xiàn)的全新攻擊面和攻擊技術(shù)進(jìn)行了梳理和總結(jié)，以此提醒廣大企業(yè)和個(gè)人用戶提高警惕，未雨綢繆而有備無(wú)患。

TOP 1 勒索病毒獨(dú)占鰲頭

進(jìn)入2020年，發(fā)展迅猛的勒索病毒沒(méi)有絲毫放緩腳步，以更加來(lái)勢(shì)洶洶的態(tài)勢(shì)在全球橫沖直撞“所向披靡”。

在GandCrab家族一年半內(nèi)賺下20億美金的鼓舞下，上半年間，花樣繁多的勒索病毒大有星火燎原之勢(shì)，如同早已約定好上臺(tái)表演次序一般，你方唱罷我登場(chǎng)，幾乎每周都有勒索病毒“新起之秀”亮相，在廣大用戶身上刮下一層“油水”后，乘興而來(lái)乘勝而歸。

2020上半年勒索病毒花樣頻出

上半年中占比最高的勒索病毒增長(zhǎng)趨勢(shì)圖

2020年上半年，勒索病毒繁多的變種更加趨于常態(tài)化，新型勒索病毒越演越烈的增長(zhǎng)態(tài)勢(shì)也愈發(fā)不可收拾。近兩年來(lái)，勒索病毒制造門檻一再降低，用PHP、Python等語(yǔ)言編寫的勒索病毒，甚至用更簡(jiǎn)易的腳本語(yǔ)言來(lái)編寫勒索病毒已經(jīng)屢見(jiàn)不鮮。

在暗網(wǎng)和一些地下黑客論壇中，以RAAS模式（勒索軟件即服務(wù)）推廣和分發(fā)勒索病毒的勒索軟件供應(yīng)商也日益增多，RAAS模式的出現(xiàn)讓黑客攻擊成本不斷降低，策劃實(shí)施攻擊者只需支付少量成本即可發(fā)起勒索攻擊，從中大量獲利。

勒索對(duì)象也正在從C端用戶全面轉(zhuǎn)向大型B端企業(yè)，瘋狂掘金的黑客團(tuán)伙已然大肆分起了蛋糕，開(kāi)始了“地盤掠奪”，動(dòng)輒數(shù)百萬(wàn)美元的勒索贖金足已讓各方玩家晝夜無(wú)休。

TOP 2 挖礦、蠕蟲(chóng)和驅(qū)動(dòng)類傳統(tǒng)木馬屹立濤頭

除了瘋狂撈金的勒索病毒外，挖礦木馬、蠕蟲(chóng)木馬和驅(qū)動(dòng)類傳統(tǒng)木馬也動(dòng)作頻頻，仍然是扮演著流行病毒主力軍團(tuán)角色。

據(jù)360安全大腦監(jiān)測(cè)發(fā)現(xiàn)，上半年流行的挖礦類木馬以Powershell形式的無(wú)文件攻擊為主，其中以驅(qū)動(dòng)人生木馬（DTLMiner），匿影，BlueHero,MyKings家族居多。 

該類挖礦木馬重點(diǎn)表現(xiàn)出更新頻率高，混淆嚴(yán)重的特點(diǎn)。挖礦木馬活躍度在一定程度上受虛擬貨幣價(jià)格漲幅影響，其中以DTLMiner挖礦木馬更新最為頻繁，堪稱一眾同班同學(xué)中最努力上進(jìn)的 “優(yōu)秀代表”。

更新頻頻的DTLMiner挖礦木馬

DTLMiner挖礦木馬今年的三次更新中，還分別加入以疫情為話題的郵件蠕蟲(chóng)模塊，SMBGhost漏洞檢測(cè)與攻擊模塊，每一次的重要更新都在很大程度上增強(qiáng)了該木馬的傳播能力，從每次更新的時(shí)間節(jié)點(diǎn)來(lái)看，他的每次更新也都伴隨重大漏洞被批露或EXP被公布。

而從其整個(gè)上半年對(duì)野外漏洞利用的利用情況看，蠕蟲(chóng)級(jí)漏洞，文檔類漏洞和各類可以遠(yuǎn)程執(zhí)行命令的服務(wù)器漏洞仍是其用的最得心應(yīng)手的武器，挖礦木馬可以輕易通過(guò)這些漏洞釋放出大規(guī)?！癆OE范圍傷害”。

驅(qū)動(dòng)類木馬（Rootkit）相較于2019年下半年也有不小的增長(zhǎng)，2020年上半年感染量達(dá)370萬(wàn)。驅(qū)動(dòng)類木馬的盈利模式相較以往并無(wú)太大變化，仍然以劫持用戶瀏覽器主頁(yè)和流量暗刷為主，其中活躍木馬家族代表的木馬家族有麻辣香鍋和禍亂。

驅(qū)動(dòng)類木馬查殺Top 5占比如圖所示

驅(qū)動(dòng)類木馬驅(qū)動(dòng)類木馬的傳播主要依賴于系統(tǒng)激活工具，裝機(jī)盤，私服微端，下載站這幾個(gè)重要渠道進(jìn)行傳播，這些渠道種類魚龍混雜，安全性極低，是被黑客植入病毒最多的“后花園”。

360安全大腦發(fā)現(xiàn)，相較于2019年，驅(qū)動(dòng)類木馬對(duì)抗殺軟手段有所升級(jí)，查殺難度和成本有所增長(zhǎng)。

具體表現(xiàn)為病毒更新周期縮短、由限制殺軟模塊加載的黑名單機(jī)制轉(zhuǎn)變成只允許系統(tǒng)模塊加載的白名單機(jī)制，以及通過(guò)加載模塊的時(shí)間戳，簽名等特征限制殺軟驅(qū)動(dòng)加載等特征，驅(qū)動(dòng)類木馬也正在變得更加“狡猾”。

TOP 3  釣魚郵件攻擊趁火打劫

疫情帶來(lái)的恐慌，無(wú)疑為黑客團(tuán)伙們創(chuàng)造了為非作歹的“天時(shí)地利”。

隨著疫情在全球的爆發(fā)，以COVID-19、Coronavirus、nCov等疫情相關(guān)詞匯的網(wǎng)絡(luò)攻擊也在全球范圍內(nèi)激增。360安全大腦先后攔截到響尾蛇、海蓮花、Kimsuky、Lazarus、Patchwork等多個(gè)境外APT組織利用疫情為話題的攻擊樣本。

攜帶惡意附件

偽造成衛(wèi)生部疫情防控郵件的釣魚攻擊

此類攻擊多偽造成世界衛(wèi)生組織的安全建議，疫情通報(bào)，以及疫苗申請(qǐng)，疫情補(bǔ)助計(jì)劃等等。攻擊者精心構(gòu)造釣魚郵件，通過(guò)社會(huì)工程的手段，誘騙用戶點(diǎn)擊帶毒的附件，進(jìn)而在用戶電腦上植入遠(yuǎn)控或竊密木馬。而DTLMiner更是將”COVID-19”話題制造為郵件蠕蟲(chóng)進(jìn)行大范圍傳播。

目前，360安全大腦已監(jiān)測(cè)多種不同類型的釣魚郵件，以疫情相關(guān)信息作為誘餌的惡意釣魚攻擊具有極高的隱蔽性，仍需反復(fù)提醒國(guó)內(nèi)外各位用戶提高安全意識(shí)，注意警惕防范。

TOP 4 VPN安全隱患異軍突起

疫情的到來(lái)在打亂人們生活秩序的同時(shí)，也改變了我們的工作方式，拉開(kāi)了數(shù)字化遠(yuǎn)程辦公的大幕。倉(cāng)促上線的遠(yuǎn)程辦公，隨之引入了大量的安全問(wèn)題。

為員工提供訪問(wèn)企業(yè)內(nèi)網(wǎng)入口的VPN，無(wú)疑是遠(yuǎn)程辦公最重要的技術(shù)手段，但VPN的脆弱性卻一直為人詬病。僅2020年上半年，國(guó)內(nèi)外通過(guò)VPN漏洞發(fā)起網(wǎng)絡(luò)攻擊的安全事件高發(fā)，一些境外APT組織都曾在上半年以VPN缺陷為跳板，發(fā)起針對(duì)遠(yuǎn)程辦公企業(yè)的大規(guī)模網(wǎng)絡(luò)攻擊。

一種典型的VPN攻擊場(chǎng)景

在利用弱口令爆破、漏洞等手段成功入侵企業(yè)的VPN服務(wù)器后，攻擊者可以通過(guò)劫持VPN的升級(jí)流程下發(fā)遠(yuǎn)控木馬，進(jìn)而成功入侵目標(biāo)內(nèi)網(wǎng)。

當(dāng)員工在家辦公過(guò)程中升級(jí)VPN客戶端時(shí)，由于升級(jí)流程被攻擊者劫持，木馬可以順利通過(guò)升級(jí)渠道植入員工計(jì)算機(jī)設(shè)備中。

憑借已植入的惡意木馬，攻擊者會(huì)進(jìn)一步竊取員工進(jìn)出企業(yè)內(nèi)網(wǎng)的賬號(hào)密碼，直接進(jìn)入企業(yè)內(nèi)網(wǎng)企業(yè)核心資產(chǎn)和企業(yè)重要的敏感數(shù)據(jù)。

TOP 5 遠(yuǎn)程會(huì)議、即時(shí)通訊暗藏危機(jī)

除VPN外，遠(yuǎn)程會(huì)議，即時(shí)通信，文檔協(xié)助等方面也都存在諸多安全隱私問(wèn)題。應(yīng)運(yùn)而生的遠(yuǎn)程辦公軟件站在了風(fēng)口上，但這些快速上線軟件及時(shí)響應(yīng)了人們短期內(nèi)遠(yuǎn)程辦公的需求，但用戶的安全需求卻極易受到開(kāi)發(fā)者的忽視和冷落。 

遠(yuǎn)程視頻軟件被捆綁WebMonitor遠(yuǎn)控，

CoinMiner木馬病毒

以在線視頻會(huì)議軟件Zoom舉例，首先，在弱口令，默認(rèn)配置的情況下，攻擊者可以在未被邀請(qǐng)的前提下參加視頻會(huì)議，若此過(guò)程無(wú)人審核或發(fā)現(xiàn)，則可能造成嚴(yán)重的信息泄漏；其次，Zoom等在線視頻會(huì)議軟件的早期版本并未實(shí)現(xiàn)端對(duì)端加密，且加密算法強(qiáng)度比較弱，數(shù)據(jù)傳輸過(guò)程中的安全性無(wú)法保障；再者，該軟件已經(jīng)暴露了諸多高危漏洞，可能被黑客惡意利用。

國(guó)外安全研究員還發(fā)現(xiàn)，該軟件將會(huì)議視頻數(shù)據(jù)存放于AWS存儲(chǔ)桶中，可公開(kāi)訪問(wèn)。利用某軟件的自動(dòng)命名規(guī)則，就可搜索到該軟件的會(huì)議視頻數(shù)據(jù)。

除了大肆傳播的流行病毒外，在2020年上半年，360安全大腦還發(fā)現(xiàn)很多新的利用手法和攻擊面被挖掘并利用，這些攻擊思路刷新了我們對(duì)于傳統(tǒng)安全技術(shù)的認(rèn)知，讓我們以全新的視角去重新審視每一個(gè)安全維度，進(jìn)而不斷提升產(chǎn)品的安全能力。

TOP 6 “隔離網(wǎng)絡(luò)突破”另辟蹊徑

5月下旬，國(guó)外安全公司ESET在報(bào)告中披露了Ramsay惡意軟件的一種針對(duì)物理隔離網(wǎng)絡(luò)的攻擊新型攻擊手段。所謂物理隔離網(wǎng)絡(luò)，是指采用物理方法將內(nèi)網(wǎng)與外網(wǎng)隔離，從而避免入侵或信息泄露的風(fēng)險(xiǎn)的技術(shù)手段。物理隔離網(wǎng)絡(luò)主要用來(lái)保障那些需要絕對(duì)保證安全的保密網(wǎng)、專網(wǎng)和特種網(wǎng)絡(luò)的安全需求。

360安全大腦對(duì)其進(jìn)行了跟蹤研究分析，發(fā)現(xiàn)該 Ramsay惡意文件主要內(nèi)容通過(guò)可移動(dòng)磁盤來(lái)實(shí)現(xiàn)針對(duì)隔離網(wǎng)絡(luò)突破攻擊。

Ramsay惡意軟件

通過(guò)U盤實(shí)現(xiàn)隔離網(wǎng)絡(luò)突破流程圖

首先黑客會(huì)先向目標(biāo)計(jì)算機(jī)設(shè)備發(fā)送釣魚郵件，該郵件附件攜帶含有漏洞的惡意附件，觸發(fā)漏洞之后會(huì)感染員工電腦。被感染的員工電腦上線后，黑客會(huì)進(jìn)一步下發(fā)定制版的可以感染隔離網(wǎng)絡(luò)的木馬，通過(guò)感染U盤，PDF/DOC/EXE文件等方式在企業(yè)內(nèi)網(wǎng)中擴(kuò)散。

緊接著黑客會(huì)再利用系統(tǒng)管理員與員工之間的工作接觸，包括但不限于使用共享文件，U盤等，通過(guò)這些途徑感染至管理員計(jì)算機(jī)、U盤和其他文件。擁有訪問(wèn)隔離網(wǎng)絡(luò)權(quán)限的管理員，一旦將受感染的U盤插入隔離網(wǎng)絡(luò)電腦上就會(huì)將其感染。

之后該木馬會(huì)在隔離網(wǎng)絡(luò)中運(yùn)行，進(jìn)一步感染隔離網(wǎng)內(nèi)的其他設(shè)備，當(dāng)成功獲得目標(biāo)重要資產(chǎn)的訪問(wèn)權(quán)限時(shí)，會(huì)直接竊取其中機(jī)密數(shù)據(jù)并將其寫入U(xiǎn)盤或帶指令的文檔中。

此時(shí)獲取的機(jī)密數(shù)據(jù)會(huì)以同樣的方式再度被帶出隔離網(wǎng)絡(luò)并接入已感染病毒的外網(wǎng)計(jì)算機(jī)中，外網(wǎng)計(jì)算機(jī)中的駐留程序檢測(cè)到U盤或文檔攜帶的機(jī)密數(shù)據(jù)，將其提取并發(fā)送給黑客。

360安全大腦發(fā)現(xiàn)，針對(duì)隔離網(wǎng)絡(luò)環(huán)境攻擊是一種全新的攻擊思路，黑客組織在考慮到隔離網(wǎng)絡(luò)這一特殊的場(chǎng)景時(shí)，利用USB設(shè)備，doc文檔等常見(jiàn)的媒介實(shí)現(xiàn)從外網(wǎng)滲透進(jìn)隔離網(wǎng)絡(luò)并在竊取數(shù)據(jù)之后傳回給黑客，這一行為具有極高的隱蔽性。由于物理隔離網(wǎng)絡(luò)多為政企機(jī)構(gòu)等單位采用，因此盡管該病毒還在研發(fā)階段，尚不夠成熟，但是這種攻擊場(chǎng)景將對(duì)政企單位造成的嚴(yán)重威脅不容小覷。

TOP 7橫向滲透技術(shù)靡然成風(fēng)

從境外APT組織“海蓮花”(OceanLotus)、GlobeImposter勒索病毒，再到最近鬧得滿城風(fēng)雨的驅(qū)動(dòng)人生供應(yīng)鏈攻擊事件，“橫向滲透”這種在復(fù)雜網(wǎng)絡(luò)攻擊被廣泛使用的手段，已成為不法黑客瞄準(zhǔn)企業(yè)目標(biāo)，以點(diǎn)破面的慣用伎倆。如不及時(shí)發(fā)現(xiàn)，最終面臨的將可能是企業(yè)內(nèi)網(wǎng)設(shè)備的停擺與癱瘓，嚴(yán)重威脅企業(yè)數(shù)字資產(chǎn)安全。

入侵和控制員工個(gè)人電腦通常并不是攻擊者的最終目的，攻擊者會(huì)以被攻陷系統(tǒng)為跳板，采用口令竊聽(tīng)、漏洞攻擊等多種滲透方法嘗試進(jìn)一步入侵組織內(nèi)部更多的個(gè)人電腦和服務(wù)器，同時(shí)不斷地提升自己的權(quán)限，以求控制更多的電腦和服務(wù)器，直至獲得核心電腦和服務(wù)器的控制權(quán)，這種攻擊方法已在多個(gè)APT攻擊中被發(fā)現(xiàn)使用。

據(jù)360安全大腦統(tǒng)計(jì)，2020年上半年累計(jì)攔截到橫向滲透的攻擊高達(dá)150萬(wàn)次。

如Mykings僵尸網(wǎng)絡(luò)通過(guò)遠(yuǎn)程執(zhí)行WMI技術(shù)進(jìn)行橫向滲透：

某勒索軟件使用PsExec進(jìn)行橫向移動(dòng)：

利用WINRM服務(wù)進(jìn)行橫向滲透： 除此之外，常見(jiàn)的手法還有：

拷貝病毒到具有自啟動(dòng)屬性的目錄下，當(dāng)重新登錄或啟動(dòng)時(shí)，文件得到執(zhí)行。

遠(yuǎn)程創(chuàng)建服務(wù)

遠(yuǎn)程執(zhí)行計(jì)劃任務(wù)

遠(yuǎn)程注冊(cè)表操作

遠(yuǎn)程COM接口調(diào)用

遠(yuǎn)程執(zhí)行powershell

值得一提的是，從2019年開(kāi)始，360安全大腦已經(jīng)監(jiān)測(cè)到境外APT組織海蓮花針對(duì)中國(guó)的多起攻擊事件中，都曾采用通過(guò)WMI遠(yuǎn)程執(zhí)行和powershell調(diào)用COM遠(yuǎn)程執(zhí)行的方式，在目標(biāo)內(nèi)網(wǎng)橫向滲透。

上半年中傳播廣泛的DLTMiner,Tor2Mine，Mykings等挖礦木馬，也都集成了不同的橫向滲透模塊，通過(guò)WMI/ SMB/SSH/數(shù)據(jù)庫(kù)/RDP弱口令爆破和各種漏洞（永恒之藍(lán)/Bluekeep/SMBGhost）漏洞進(jìn)行橫向傳播。

TOP 8供應(yīng)鏈污染配合感染型病毒打出“組合拳”

2020年5月，360安全大腦首次檢測(cè)到一款新型的感染型病毒Peviru，該病毒除了感染可執(zhí)行文件之外，還會(huì)感染某編程語(yǔ)言（以下簡(jiǎn)稱X語(yǔ)言）的編譯壞境，導(dǎo)致用戶編譯的所有程序都會(huì)被感染。

360安全大腦通過(guò)對(duì)該病毒溯源發(fā)現(xiàn)，這款病毒背后的黑客團(tuán)伙通過(guò)供應(yīng)鏈污染的手段將攜帶這種病毒的開(kāi)發(fā)工具植入X語(yǔ)言論壇。而就在近期，我們又檢測(cè)到該黑客團(tuán)伙通過(guò)之前部署的惡意軟件下發(fā)勒索病毒。

黑客團(tuán)伙通過(guò)供應(yīng)鏈

污染配合感染型病毒下發(fā)勒索病毒

TOP 9搭建虛擬機(jī)躲避查殺獨(dú)創(chuàng)怪招

在黑客眼中，攻防最大的魅力就在于封鎖，和突破封鎖，這種對(duì)抗游戲經(jīng)久不衰，攻防雙方也樂(lè)此不彼，查殺與免殺技術(shù)亦是如此。

在上半年諸多有趣的免殺樣本中，一種叫RagnarLocker的勒索軟件將免殺技術(shù)提高到了一個(gè)新的水平。

為了躲避殺毒軟件查殺，RagnarLocker在受害者機(jī)器上部署了一套完整的Oracle VirtualBox虛擬機(jī)壞境，并將49KB大小的勒索病毒存儲(chǔ)到Windows XP虛擬機(jī)的虛擬映像文件（micro.vdi）當(dāng)中。整個(gè)加密文件過(guò)程也在虛擬機(jī)空間中進(jìn)行，安裝在宿主機(jī)上的很多殺毒軟件對(duì)此都束手無(wú)策。

攻擊者先是使用GPO(Group Policy Object) task運(yùn)行遠(yuǎn)程網(wǎng)絡(luò)上的MSI（msiexec.exe）文件。這個(gè)MSI文件釋放一個(gè)舊版本的VirutalBox安裝程序和包含RagnarLocker勒索軟件的Windows XP映像文件。勒索軟件會(huì)在嘗試關(guān)閉反病毒軟件服務(wù)和進(jìn)程后，將宿主機(jī)本地磁盤，可移動(dòng)設(shè)備，網(wǎng)絡(luò)設(shè)備等都映射到虛擬機(jī)內(nèi)。

最后攻擊者啟動(dòng)虛擬機(jī)，勒索軟件位于xp鏡像的啟動(dòng)目錄下，虛擬機(jī)啟動(dòng)時(shí)會(huì)自動(dòng)執(zhí)行勒索軟件，在虛擬機(jī)中加密共享的物理機(jī)數(shù)據(jù)從而規(guī)避殺軟的查殺。攻擊者還會(huì)刪除卷影還原點(diǎn)，防止用戶通過(guò)磁盤恢復(fù)工具恢復(fù)加密的文件。

這種新穎的通過(guò)虛擬機(jī)加密的手法可謂獨(dú)辟蹊徑，Ragnar Locker已經(jīng)成功利用這種方法實(shí)現(xiàn)了對(duì)葡萄牙跨國(guó)能源巨頭、世界第四大風(fēng)能生產(chǎn)商EDP的勒索攻擊，并開(kāi)出了1580枚BTC近11萬(wàn)美元的高昂贖金。

TOP 10變形蟲(chóng)（BadUSB）攻擊花式釣魚

2013年，斯諾登曾曝光美國(guó)NSA武器庫(kù)中的“水蝮蛇一號(hào)” (COTTONMOUTH-I)，它可以在電腦不連網(wǎng)的情況下秘密修改數(shù)據(jù)，這一支用于全球監(jiān)控的超級(jí)網(wǎng)絡(luò)軍火，實(shí)質(zhì)上是一個(gè)植入微型電腦的特制U盤。

在2014年的Black Hat大會(huì)上，來(lái)自柏林的安全研究員現(xiàn)場(chǎng)還原如何利用U盤、鼠標(biāo)等任意USB設(shè)備，“完美”繞開(kāi)安全軟件防護(hù)網(wǎng)，實(shí)施攻擊，并將其定義為世界上最邪惡的USB外設(shè)——“BadUSB”。根據(jù)BadUSB極難辨別的偽裝攻擊特點(diǎn)，360安全大腦 將其命名為“變形蟲(chóng)”。

利用“變形蟲(chóng)（BadUSB）”發(fā)起的網(wǎng)絡(luò)攻擊幾乎從未停止，尤其是在國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗、關(guān)鍵基礎(chǔ)設(shè)施攻擊、間諜情報(bào)活動(dòng)等場(chǎng)景下，“變形蟲(chóng)（BadUSB）”更成為一種致命的入侵武器。而在2020年上半年，又再次真實(shí)的發(fā)生了一起利用變形蟲(chóng)（BadUSB）發(fā)起攻擊的惡意安全事件。

3月，美國(guó)一家酒店的員工收到了來(lái)自“Best Buy”的用戶回饋信，信中提到BestBuy公司為了回饋忠實(shí)用戶，贈(zèng)送每位用戶50美元的購(gòu)物卡，信封中還包含一個(gè)USB驅(qū)動(dòng)器，聲稱里面包含一個(gè)購(gòu)物清單，相信很多未受過(guò)專業(yè)安全培訓(xùn)的人都會(huì)第一時(shí)間將USB設(shè)備查到電腦上開(kāi)始選購(gòu)商品。

但事實(shí)上，這個(gè)USB設(shè)備是經(jīng)過(guò)特殊處理的，攻擊者將USB設(shè)備編程為USB鍵盤，因?yàn)橛?jì)算機(jī)默認(rèn)設(shè)置是信任USB鍵盤，當(dāng)USB設(shè)備被插入受害者計(jì)算機(jī)時(shí)，模擬鍵盤就會(huì)執(zhí)行惡意代碼，進(jìn)而控制這臺(tái)機(jī)器。

谷歌反欺詐研究團(tuán)隊(duì)曾用實(shí)驗(yàn)說(shuō)明一項(xiàng)危險(xiǎn)事實(shí)：在實(shí)驗(yàn)中隨意丟棄的287個(gè)U盤中，有135人撿走并遭到攻擊，釣魚USB“上鉤率”高達(dá)45%。

因此，如果在停車場(chǎng)，公司角落，咖啡館等看到被人遺落的U盤，SD卡等設(shè)備，或是受到陌生的USB贈(zèng)品，很有可能來(lái)源于攻擊者的惡意投放。對(duì)于政企單位而言，拒絕使用來(lái)源不明的USB設(shè)備的警鐘更應(yīng)長(zhǎng)鳴。

對(duì)黑客而言更有利的是，我們手邊的USB設(shè)備實(shí)在林林總總，觸手可及的鍵盤、鼠標(biāo)、充電寶、數(shù)據(jù)線、以及各種轉(zhuǎn)接頭……不得不說(shuō)，我們的電腦高度依賴著USB外接設(shè)備，但同時(shí)，電腦系統(tǒng)也給予了最大的兼容，甚至免驅(qū)。這樣的后果就是，若不幸插入BadUSB，攻擊再難停止，并且這種攻擊可以隨意偽裝、防不勝防。

安全反思

綜合上半年P(guān)C端面臨的安全威脅態(tài)勢(shì)來(lái)看，流行病毒接踵而至，新型的攻擊面、復(fù)合型攻擊手法也在被不斷的挖掘和利用。疫情熱點(diǎn)和疫情下遠(yuǎn)程辦公場(chǎng)景也為紛涌而來(lái)的攻擊活動(dòng)提供了更多的攻擊入口，對(duì)PC安全行業(yè)帶來(lái)了極為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實(shí)威脅。

進(jìn)入2020年的下半場(chǎng)，還有哪些未知安全風(fēng)險(xiǎn)將會(huì)“裂變”而至，誰(shuí)也無(wú)法預(yù)見(jiàn)。

就上半年已暴露出的諸多安全威脅面而言，各方仍應(yīng)提高安全意識(shí)加強(qiáng)安全防護(hù)，居安思危以未雨綢繆。畢竟，若不能清醒的看清新威脅，無(wú)論發(fā)生何種后果都終將由自己買單。