青松云安全资讯：USB威胁疑云——从恶意软件到挖矿软件

2016年，伊利诺伊大学(University of Illinois)的研究人员在学校校园内留下了297个没有标签的U盘，看看会发生什么。98%的硬盘被工作人员和学生捡起，至少有一半的硬盘被使用（连接各种设备以进行数据传输）。

USB设备已经存在了近20年，它在没有 络的情况下提供了简洁存储和传输文件传输的方式。 络犯罪者利用了这种能力并尝试了很多次“大动作”，其中最著名的是2010年的Stuxnet蠕虫病毒（Stuxnet worm），它利用USB设备向伊朗核设施的 络中注入恶意软件。

如今，市场上有多家云服务商可以帮助人们完成文件存储和数据传输，同时用户对USB设备的安全风险有了更大的认识，USB设备的使用频率不断下降。尽管如此，每年仍有数以百万计的USB设备被生产和销售，其中许多设备必然要用于日常生活中的营销推广活动。

USB设备仍然是 络威胁的目标。根据卡巴斯基实验室2017年的数据显示，全球大约每12个月就有25%的用户受到“本地” 络事件的影响。这些攻击是直接在用户的计算机上检测到的，包括由可移动媒体（如USB设备）引起的感染。

这篇简短的 告回顾了当前移动媒体（尤其是USB）的 络威胁领域，并就保护这些小型设备及其携带的数据提供了建议和建议。

重要发现

从2015年开始就有研究人员发现，犯罪分子利用USB设备和其他可移动的媒体来传播挖矿软件。

最受欢迎的挖矿软件是比特币矿商Trojan.Win64.Miner，其检测率同比增长了大约六分之一。

在2018年受到可移动媒体感染的所有用户中，有十分之一和crypto-miner

有关 (具体数据是9.22%，高于2017年的6.7%和2016年的4.2%)。

其他通过可移动媒体/USB传播的恶意软件包括Windows LNK木马家族，从2016年开始，木马就一直是被检测到的三大主要USB威胁之一。

2010年的Stuxnet病毒，CVE-2010-2568，仍然是通过可移动媒体传播的十大恶意攻击之一。

新兴市场最容易受到可移动媒体的恶意感染，亚洲、非洲和南美洲受影响最大，但欧洲和北美国家也发现了孤立的病毒感染。

2018年8月21日媒体披露了一种复杂的金融类恶意软件——Dark Tequila。从2013年起，墨西哥的一部分消费者和企业就饱受其害，这种感染主要通过USB设备传播。

USBs不断演变的 络威胁格局

可移动媒体引起的感染被定义为本地威胁，即那些直接在用户的计算机上检测到的威胁。本地威胁不同于互联 上针对计算机的威胁（ 络传播威胁），后者更为普遍。本地感染也可以由隐藏在复杂安装程序中的加密恶意程序引起。为了隔离通过可移动媒体（如USB设备）传播的恶意软件的数据，我们在受影响的计算机驱动根中进行了检测——这是一个强有力的指示，表明感染源是可移动媒体。

该数据显示，自2014年以来，可移动媒体（驱动根）威胁检测的数量稳步下降，但总体下降速度可能正在放缓。2014年，受可移动媒体威胁影响的用户与被检测到的威胁总数之比为1:42；到2017年，这一数字下降了大约一半，降至1:25；预计2018年将在1:22左右。

USBs作为高级威胁要素的工具存在

攻击者的主要目标是没有连接到互联 的计算机 络，比如关键的国家基础设施 络（电力、水力、军事等等）。最著名的例子可能就是Stuxnet蠕虫病毒的活动。在2009~2010年间，Stuxnet蠕虫病毒袭击了伊朗的核设施，并扰乱其运作。

USB设备常常是作为将恶意软件注入设备 络的工具出现。除此之外，这些设备还利用了Windows LNK漏洞(CVE-2010-2568)，从而实现了远程代码执行。其他高级威胁要素，包括Equation Group、Flame、Regin和HackingTeam，都尝试将这个漏洞集成到可移动媒体中以用于攻击。

此外，大多数USB设备的结构允许它们被设置后提供隐藏的存储单元，例如用于移除被盗数据。人们发现ProjectSauron 2016工具包中包含了一个特殊的模块，用于将数据从隔离 络的 络环境转移到互联 环境的系统上（俗称数据摆渡行为）。这种做法会带来USB磁盘的格式化，格式化之后能够改变USB磁盘上分区的大小，并在磁盘末端（出于恶意目的）保留一些隐藏空间（几百兆字节）（例如存储摆渡的数据）。

Stuxnet蠕虫病毒留存者CVE-2010-2568

微软在2015年3月修复了最后一个易受攻击的LNK代码路径。然而，在2016年，仍然有很多用户会遇到这种漏洞，尽管尽管这种漏洞在2017年被EternalBlue（永恒之蓝）漏洞所取代。然而，CVE-20102568继续以恶意软件的方式分布在USB设备和其他可移动介质中：尽管检测和受害者的数量迅速下降，但它仍然是可被检测到的十大驱动源威胁之一。

我们已经通过探测漏洞获知了通过可移动介质（如USBs）传输的恶意软件及其数量，下面将对以这种方式进行分发的恶意软件种类进行分析。

恶意软件通过可移动介质传递

至少从2016年开始，通过可移动介质传播的最流行的恶意软件就一直保持着相对的一致性。例如，Windows LNK恶意软件（包含用于下载恶意文件的链接或用于启动恶意可执行文件的路径的木马程序）仍然是移动媒体传播的三大威胁之一。这种恶意软件被攻击者用来破坏、封锁、修改或复制数据，或干扰设备或其 络的运行。WinLNK Runner Trojan，是2017年被检测到的USB威胁最多的病毒，一般被蠕虫用来启动可执行文件。

2017年，检测到2270万例WinLNK.Agent感染，近90万用户受到感染。据估计，2018年的黑客攻击约为2300万次，攻击用户超过70万。这意味着攻击量同比增长2%，而目标用户数量同比下降20%。

WinLNK Runner Trojan的检测数量预计将大幅下降，从2017年的275万次下降到2018年的100万次（基于目前检测数据的预估值），降幅61%；目标用户数量下降51%（从2017年的92万左右下降到2018年的45万+）。

其他通过USB设备传播的流行恶意软件包括Sality病毒，该病毒于2003年首次检测到，但此后进行了大量修改；Dinihou蠕虫会自动复制到USB驱动器上，创建恶意快捷方式（LNKs），一旦新受害者打开，就会启动蠕虫。

挖矿软件：罕见但持久

USB设备也被用来传播加密货币挖掘软件。这不能说很普遍，但足够成功，其获利可以鼓励攻击者继续使用这种分发方法。根据安全研究室的数据，在驱动根中检测到的一个正流行的加密矿机是Trojan.Win32.Miner.ays/Trojan.Win64.Miner。而这自2014年以来就广人所知。

这个家族中的恶意软件秘密使用受感染计算机的算力来挖掘加密货币。木马将挖掘应用程序放到PC上，然后安装并偷偷启动挖掘软件，同时下载参数，使其能够将结果发送到攻击者控制的外部服务器。

有数据显示，2018年发现的一些感染可以追溯到几年前，长时间的感染可能对受害者设备的处理能力产生重大负面影响。

32位版本的Trojan.Win32.Miner.ay的检测数据如下：

另一个版本是Trojan.Win64.Miner。所有这些都预示着检测的第一年将会激增，在那之后，用户的点击数量将稳定增长到每年六分之一左右。当将这种挖掘恶意软件的目标用户数量与受到可移动媒体威胁的总用户数量进行比较时，我们还可以看到这种小规模但稳定的增长速度。这表明，在2018年受到可移动媒体威胁的用户中，大约有十分之一的人将成为该矿商的目标，大约在两年内增长两倍。

这些结果表明，通过可移动媒体传播对这种威胁是有效的。

Trojan.Win64.Miner的检测数据一切如下：

2018年8月，研究人员发现了一项代 为“Dark Tequila”的复杂 络行动，过去5年里，该行动一直针对墨西哥的用户，利用恶意软件窃取银行凭证和个人及企业数据，这些恶意软件可以在离线状态下在受害者的计算机之间分发。

研究人员称，恶意代码通过受感染的USB设备和鱼叉式 络钓鱼传播，其中包括一些可以躲避检测的功能。Dark Tequila背后的威胁者据说是西班牙语的拉丁美洲人。

目标地理位置

新兴市场似乎最容易受到可移动媒体的影响。

2017年的年度数据显示，在许多新兴国家，约有三分之二的用户经历过本地威胁（上文中有提到），其中包括驱动可移动媒体的根源恶意软件感染；而在发达经济体，这一比例不到四分之一。到2018年，这些数据没有太大变化。

LNK利用通过可移动媒体传播，越南是迄今为止受影响最严重的国家 (18.8%的用户影响)，阿尔及利亚（11.2%）和印度（10.9%）。在亚洲、俄罗斯和巴西等其他地区也发现感染活动，以及在一些欧洲国家中也出现过感染，包括西班牙、德国、法国、英国和意大利、美国和日本。

对与挖矿软件来说，影响范围更广。检测结果显示，Trojan.Win32.Miner.ays / Trojan.Win.64.Miner主要活跃在印度（23.7%）、俄罗斯（18.45%）和哈萨克斯坦（14.38%），同时在亚洲和非洲的其他地区也发现感染。欧美地区也有少量感染发生，包括美国、英国、德国、荷兰、瑞士、西班牙、比利时、奥地利、意大利、丹麦和瑞典）美国、加拿大和日本。

结论和建议

这篇短文的主要目的是提高消费者和企业较低的安全风险意识。

USB设备有许多优点：它们体积轻巧、使用方便，是一项伟大的创造发明，但如果不采取保护措施，设备本身、存储在它们上面的数据和插入的计算机都可能受到 络威胁。

幸运的是，消费者和企业可以采取一些有效的步骤来保护USB设备的使用。

青松云安全建议所有USB用户：

购买可信赖品牌的加密USB设备——这样即使你丢失了设备，你也知道你的数据是安全的。

确保所有存储在USB上的数据也被加密。

确保有一个安全的解决方案，在连接到 络之前检查所有可移动媒介上是否存在恶意软件（即使是知名品牌）。

青松云安全对企业的额外建议：

管理USB设备的使用：定义哪些USB设备可以使用，由谁使用，用于什么目的。

教育员工使用安全USB设备——特别是当他们在家用电脑和办公设备之间使用移动设备时。

必须妥善保管闲置的USBs，切勿随意放置。