USB威胁：从恶意软件到挖矿软件

前言

2016年，伊利诺伊大学的研究人员在大学校园内留下了297个未标记的USB闪存盘，看看会发生什么。结果发现，98%的USB被工作人员和学生捡起来了，并且至少有一半被插入计算机查看里面有什么。这对于试图感染计算机 络的黑客来说很有吸引力。

USB设备已经存在了将近20年，它给未连接到互联 的计算机提供了一种简单方便的存储和传输文件的方式。但这种能力已被黑客利用，最著名的是2010年的Stuxnet蠕虫，它使用USB设备将恶意软件注入伊朗核设施的 络。

如今，像Dropbox这样的云服务已经承担了大部分文件存储和传输工作，而且人们对USB设备相关的安全风险有了更多的认识，USB也已不再是必不可少的商业工具。尽管如此，每年仍然有数百万个USB设备在市场上流通，其中许多设备用于家庭，企业和营销推广活动。

USB设备仍然是 络攻击的目标。2017年卡巴斯基实验室数据显示全球四分之一的用户受到“本地” 络事件的影响。这些是直接在用户计算机上检测到的攻击，这其中包括由USB设备等可移动媒体引起的感染。

这篇简短的 告回顾了当前可移动媒体（尤其是USB）的 络环境，并提供了有关保护这些小设备及其所携带数据的意见和建议。

主要发现

1.USB设备和其他可移动媒体设备现在被用来传播加密货币挖矿软件——至少从2015年开始。

2.最受欢迎的比特币挖矿软件Trojan.Win64.Miner.all的检测率同比增长约六分之一。

3.在2018年可移动设备被感染的用户中，有十分之一是感染这种加密挖矿机（约为9.22％，高于2017年的6.7％和2016年的4.2％）。

4.通过可移动媒体设备或USB传播的其他恶意软件包括Windows LNK系列特洛伊木马，是2016年以来检测到的三大USB威胁之一。

5.2010年的Stuxnet漏洞利用程序CVE-2010-2568仍然是通过可移动媒体传播的十大恶意攻击之一。

6.新兴市场最容易受到可移动设备攻击—-亚洲，非洲和南美洲受影响最大—-但在欧洲和北美也发现了此类攻击。

7.在2018年8月21日被披露的一款复杂的银行恶意软件，Dark Tequila就主要通过USB设备传播。

不断发展的 络攻击环境

可移动媒体设备引起的感染被称为本地威胁—-直接在用户计算机上检测到的威胁。隐藏在复杂安装程序中的加密恶意程序也可能导致本地感染。

此数据显示自2014年以来检测到的可移动设备威胁数量稳步下降，但整体下降速度正在放缓。2014年，受可移动设备威胁影响的用户与检测到的威胁总数之间的比例为1:42; 到2017年，这个数字下降了一半，为1:25; 预计2018年的比例为1：22。与 络威胁相比，这些数字微不足道。

2013年-2018年检测到的可移动设备威胁总数（以百万计）

2013年-2018年受影响的用户数量（以百万计）

USB做为黑客的工具

USB设备是想攻击未连接到互联 的计算机 络的黑客的最理想的工具。最著名的例子可能是Stuxnet活动。2009年到2010年，Stuxnet蠕虫攻击了伊朗的核设施。

黑客用USB设备将恶意软件安装到核设施系统上。除此之外，该系统还包括一个Windows LNK漏洞（CVE-2010-2568），该漏洞可执行远程代码。

像Equation Group，Flame，Regin和HackingTeam这些黑客都将此漏洞及其变体用于发动可移动媒体攻击。

此外，大多数USB设备的结构使它们可被转换以提供隐藏的存储空间。

ProjectSauron 2016工具包就包含一个特殊模块，可将气隙 络上的数据转移到连接了互联 的系统上。

该工具包将USB驱动器进行了格式设置，在磁盘末端保留一些隐藏空间（几百兆字节）用于恶意目的。

Stuxnet残存者CVE-2010-2568

Microsoft在2015年3月修复了最后一个易受攻击的LNK代码路径。然而，在2016年，以前遭受过攻击的卡巴斯基实验室用户中有四分之一面临此漏洞的威胁。

尽管它在2017年被EternalBlue漏洞所取代，但是，CVE-2010-2568继续通过USB设备和其他可移动媒体分发恶意软件：尽管检测和受害者数量迅速下降，但它仍然是KSN检测到的十大驱动器威胁之一。

检测到的威胁数量（以百万计）

受影响的用户数量（以百万计）

通过可移动设备传播的恶意软件

自2016年以来，通过可移动媒体传播的顶级恶意软件保持相对一致。例如，Windows LNK恶意软件系列、包含下载恶意文件链接的特洛伊木马、用于启动恶意可执行文件的路径，仍然是移动设备传播的三大主要威胁。

攻击者使用恶意软件来破坏，阻止，修改或复制数据，或破坏设备或其 络运行。WinLNK Runner 木马是2017年检测到次数最多的USB威胁，被蠕虫用于传播可执行文件。

2017年，检测到了2270万次WinLNK.Agent感染，影响了近90万用户。预计2018年为2300万次，影响70万用户。也就是说，检测率上升2％，同比目标用户数下降20％。

对于WinLNK Runner特洛伊木马，预计数字将大幅下降—-检测率从2017年的275万降至100万，下降61％; 目标用户数量下降51％（从2017年的约920,000人减少到2018年的450,000人）。

通过USB设备传播的其他顶级恶意软件包括Sality病毒，该病毒于2003年首次检测到，但自那以后经常变化；以及自动将自身复制到USB驱动器上的Dinihou蠕虫，它可以创建恶意快捷方式（LNK），一旦新的受害者打开它就会启动蠕虫。

挖矿软件—-罕见但持久

USB设备也被用于传播加密货币挖掘软件。这种情况相对不常见，但足以让攻击者继续使用这种传播方法。根据KSN数据，检测到的一种流行的加密挖矿机是Trojan.Win32.Miner.ays/ Trojan.Win64.Miner.all，自2014年起就被检测到了。

该系列中的恶意软件秘密使用受感染计算机的处理器容量来生成加密货币。特洛伊木马将挖掘应用程序安装到电脑上，然后安装、悄悄启动挖掘软件并下载参数，然后将结果发送到攻击者控制的外部服务器。

卡巴斯基实验室的数据显示，2018年检测到的一些感染可以追溯到几年前，这表明长时间的感染可能对受害者设备的处理能力产生了显着的负面影响。

32位版本的Trojan.Win32.Miner.ays的检测数据如下：

在2017年上半年和2018年上半年之间，受影响的人数下降了28.13个百分点。

另一个版本Trojan.Win64.Miner.all在检测的第一年出现了预期的激增，之后用户数量达到了稳定的增长率，每年约为六分之一。当将受此挖掘恶意软件影响的用户数量与受可移动媒体威胁影响的用户总数进行比较时，可以看到这种小而稳定的增长率。

这表明，在2018年，大约十分之一的用户会受到可移动媒体威胁的影响，成为该挖矿软件的目标，两年内这个数字将增加两倍。

Trojan.Win64.Miner.all的检测数据如下：

Dark Tequila –高级银行恶意软件

2018年8月，卡巴斯基实验室的研究人员 告了一项代 为Dark Tequila的复杂 络操作，在过去的五年里一直瞄准墨西哥的用户，窃取银行凭证，个人和公司数据。

根据卡巴斯基实验室的研究人员的说法，恶意代码通过受感染的USB设备传播，并包含逃避检测的功能。

目标地理位置分布

新兴市场似乎最容易被攻击。

2017年的年度数据显示，在许多此类国家中，约有三分之二的用户遇到“本地”事件，而发达经济体中只有不到四分之一。2018年的情况似乎也是如此，

对于通过可移动媒体传播的LNK漏洞，2018年迄今受影响最严重的国家是越南（受影响的用户占18.8％），阿尔及利亚（11.2％）和印度（10.9％）。

其他亚洲国家、俄罗斯和巴西等国，以及一些欧洲国家（西班牙，德国，法国，英国和意大利），美国和日本也受到了影响。

挖矿软件的影响范围更广。Trojan.Win32.Miner.ays / Trojan.Win.64.Miner.all检测主要发现在印度（23.7％），俄罗斯（18.45％—-可能受到更大客户群的影响）和哈萨克斯坦（14.38％），在亚洲和非洲的其他地区也有感染，在几个欧洲国家（英国，德国，荷兰，瑞士，西班牙，比利时，奥地利，意大利，丹麦和瑞典），美国，加拿大和日本也有一些影响。

结论与建议

这篇短文的主要目的是提高人们对消费者和企业可能低估的威胁的认识。

USB驱动器具有许多优点：它们结构紧凑，便于携带，并且具有很好的品牌资产，但对设备本身而言，存储在其上的数据以及插入的计算机如果不受保护，都容易遭到 络攻击。

幸运的是，消费者和组织可以采取一些有效措施来保护USB设备。

给所有USB用户的建议：

关注连接到计算机的设备—-你知道它来自哪里吗？

使用受信任品牌的加密USB设备—-这样即使丢失设备，您也知道您的数据是安全的。

确保USB上存储的所有数据都已加密。

制定安全解决方案，在连接到 络之前检查所有可移动媒体是否存在恶意软件—-即使是受信任的品牌也可能通过其供应链受到损害。

针对企业的其他建议：

管理USB设备的使用：确定可以使用哪些USB设备，由谁以及为什么使用。

教育员工如何安全使用USB—-特别是如果他们在家用计算机和工作设备使用USB时。