vb2008 获取u盘id_看看黑客是如何利用U盘入侵你的电脑的

最新推荐文章于 2021-07-28 22:57:44 发布
最新推荐文章于 2021-07-28 22:57:44 发布
阅读量299 收藏
点赞数
文章标签: vb2008 获取u盘id
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39612817/article/details/111335573
版权

c7851ae465eb09d70f1345621a072384.png

攻击

如下是一封礼品卡的信,信中还附有一个USB设备。但是该USB设备实际上含有恶意软件。

a552ad8c8769528b8e285256810c45aa.png

图 1. 含有恶意USB设备的礼品卡

分析

研究人员查看设备的相关信息,发现有打印的“HW-374”信息,谷歌搜索发现http://shopee.tw一个“BadUSB Leonardo USB ATMEGA32U4”。

786d519c6189087b36667d5b306ad473.png

图 2: 与收到的USB设备匹配的网站图片

该设备使用了Arduino微控制器ATMEGA32U4,被变成用来模拟USB键盘。因为PC设备默认是相信USB键盘设备的,插入电脑后,键盘模拟器就会自动注入恶意命令。

为了快速获取UBS的payload,研究人员将其连接到一个air-gapped的笔记本,安装的是Ubuntu系统,研究人员分析发现了以下payload。

Powershell Payload

6184679d28d41bf12afebc64e6b02c21.png

图 3. 使用VIM拦截Payload,发现一个混淆的PowerShell脚本

解混淆PowerShell命令一个简单的密文替换。

e380a7c029198fb7bb5c666bcb4caea8.png

图 4.使用CyberChef解混淆的PowerShell命令

解混淆的字符串中有一个从hxxps://milkmovemoney[.]com/st/mi.ini处下载第二阶段PowerShell代码的命令。

16eed2d8e809065d26c687ed087c08fd.png

图 5. 下载的第二阶段Powershell代码

854b77182e8438c220ad92fecc72209d.png

图6 下载的脚本

第二阶段PowerShell执行流如下:

· 复制wscript.exe 到 %AppData%MicrosoftWindowswipre.exe;

· 解码JS命令,并保存为prada.txt;

· 用命令“cmd.exe /c wipre.exe /e:jscript prada.txt”执行prada.txt;

· 显示伪造的消息框警告。

52e87ad6814cdb1f85c42c05015f1fd8.png

图 7. 伪造的消息框警告

Javascript Payload

保存为prada.txt的JS代码是第3阶段payload,使用Windows内置的脚本wscript.exe来执行。

ac1755f26a367e2c6f326a7e1801311e.png

图 8. 保存为Prada.txt的反混淆的JS代码

JS是用简单变量替代混淆的。脚本的主要功能是以唯一ID来注册受感染的主机给C2服务器,然后接收额外的JS代码,JS代码用eval()函数。

下面是JS代码的执行流:

1、获取当前UTC时间生成唯一ID;

2、检查脚本是否位于%AppData%MicrosoftWindows文件夹中,如果并在该文件夹中就删除;

3、延迟2分钟执行。

4、生成含有以下信息的数据:

· group : f1 (硬编码)

· rt : 2 (硬编码)

· secret : secret hash (硬编码)

· time : 120000

· uniq_id : current UTC milliseconds

· id : MAC address and hostname (使用WMI查询)

5、URL编码该数据并用随机生成的key来XOR编码数据;

6、将生成的XOR key加入到编码的数据中

7、合成一个含有参数的HTTP POST body:

kbaxmaconhuc=

8、合成一个 URL 路径:

https:///

9、使用下面的HTTP请求header以HTTP POST raw body发送数据到C2 url:

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/50.0'
Content-Type: %application/x-www-form-urlencoded'

10、C2服务器响应编码的JS代码

11、使用eval() 解码和执行JS代码。

在该事件中,C2服务器是活动的,会响应如图9所示编码的数据。编码的数据用XOR key来解码。数据和key都是限定在“&_&”或URL编码的“%26_%26”。解码的数据中会发现一个将会在受感染的主机中执行的JS代码。

18bb5882c5ccbf113d0f1d9978a3a9c3.png

图 9: 用编码的数据响应C2服务器

JS代码在解码时,会发现一个从受感染主机中收集系统信息的代码。

27047681075b4f59131965c710973537.png

图 10: 解混淆的JS代码,是C2服务器发送的代码的一部分

收集后发送给C2服务器的系统信息包括:

· 用户名;

· 主机名;

· 用户的系统权限。

使用WMI查询获取以下信息:

· 进程所有者;

· 域名;

· 计算机型号;

· 操作系统信息;

· 操作系统名;

· OS build;

· OS版本;

· 内存容量;

· 可用内存;

· 操作系统注册的用户;

· 操作系统注册的组织;

· 操作系统序列号;

· 安装日期;

· 操作系统架构;

· 操作系统产品类型;

· 语言代码;

· 时区;

· 用户数;

· UAC级别权限;

· Office和Adobe acrobat安装情况;

· 运行的进程列表;

· 受感染的主机运行在虚拟环境中。

收集的信息发送给C2服务器后,主JS代码会进入一个2分钟的休眠循环,然后从C2服务器获取新的命令。完整攻击流如下所示:

3fbcc23e3c6a669ba3d27d1da6012fff.png

图 11: 攻击流

总结

USB设备随处可见,而且被广泛使用,一些人认为USB设备是安全无害的。但是USB控制器芯片可以重新编程,这类设备可以被用来发起攻击和感染用户计算机。而这类USB设备被安全领域专业人员广泛使用,风险不言而喻。这篇文启示我们:不要相信此类设备。

文章后续更新:发布这篇文章后,我们已经收到多方面的确认,该活动与FIN7 APT活动的IOC匹配。FIN7是一个网络犯罪集团,至少从2015年起就开始瞄准酒店和零售业。

本文翻译自:https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

weixin_39612817
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vb2008 获取u盘id_【干货】纯 windows 系统绕苹果ID解锁,傻瓜式的教程
weixin_39982933的博客
12-04 1704
去年【iPhone 可绕过 Apple ID 锁直接激活使用】刚刚推出,我就给大家带来了一键绕过ID锁激活,小白操作教程,但是苹果的Mac电脑不是每一个人都有,那么在没有苹果Mac电脑的情况下我们怎么一键绕过ID锁激活呢?我同样用我的 iPhone 6 作为本次的实验品来教大家如何解锁。解锁的流程大致分为四步:(整体思路和Mac一样,只是越狱在U盘系统里面)一、首先准备一台Windows...
VB读取U盘ID序列号源码
04-05
VB读取U盘ID序列号源码 VB读取U盘ID序列号源码 VB读取U盘ID序列号源码
VB.NET 获取U盘的物理序列号_获取物理磁盘_vb.net获取物理磁盘序列号_
10-03
非常实用的源码,获取计算机物理磁盘序列号
vb2008 获取u盘id_爱思助手+U盘,实现越狱
weixin_39778393的博客
12-05 553
微信公众号:LieYPanda(ID:LiesYP000)2020年7月16日,重新开始的第6篇文章本文只用于学习交流由于之前的小6S升级iOS13的时候莫名其妙弹出需要激活锁,而且试过很多遍都提示账号密码错误,莫得办法只能闲置。后来研究了全网绕ID经验,在5月2日那天整理了一篇推文,关于越狱绕过的。现在不用自己手把手制作启动盘啦,爱思助手直接可以提供制作越狱工具U盘,步骤如下1、更新爱...
vb2008 获取u盘id_有了这个神器,再也不需要为格式化U盘而烦恼了
weixin_39637256的博客
12-04 140
开源最前线(ID:OpenSourceTop) 猿妹整编项目地址:https://github.com/ventoy/Ventoy是不是经常为了体验各种系统而被动格式化U盘而烦恼,有了"Ventoy"这一切烦恼不复存在,因为有了它你就无需反复地格式化U盘,你只需要把ISO文件拷贝到U盘里面就可以启动了,无需其他操作。Ventoy是一个制作可启动U盘的开源工具, 你可以一次性拷贝很多个不同...
获取逻辑分区信息_分区_U盘_VB_
10-03
VB(Visual Basic)编程环境中,获取逻辑分区信息和U盘信息是常见的系统操作任务,这对于开发系统管理软件或者需要与存储设备交互的应用程序来说至关重要。以下将详细讲解如何使用VB来实现这些功能。 首先,我们...
Usb.rar_U盘_U盘加密_vb direct_visual basic usb
09-20
标题“Usb.rar_U盘_U盘加密_vb direct_visual basic usb”揭示了这个压缩包包含的是一个关于使用Visual Basic(VB)进行U盘加密的项目。在这个项目中,开发者使用了VB的直接访问功能(vbDirect)来获取U盘的序列号,...
GPS_Select.rar_VB2008_vb2008源码_wince_wince api_wince shell
09-23
总结来说,"GPS_Select.rar_VB2008_vb2008源码_wince_wince api_wince shell"是一个关于如何使用VB2008在WinCE平台上开发GPS应用和自定义Shell的教程资源。通过研究这个项目,开发者不仅可以学习到如何调用WinCE API...
对Autorun.inf类病毒(U盘病毒)的攻防经验总结
我的未来,我做主!
05-06 1338
“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵,系统安全的杀手,它们被称作“U盘病毒”。无数Windows用户,都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。  Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Auto
如何把U盘变成黑客工具攻击电脑
weixin_30556161的博客
08-23 1560
U盘怎么可能随便接入电脑就盗取数据? 有时候上网会看到有人说用一个U盘接入电脑自动盗取信息的,当时想想U盘怎么可能盗取数据?第一反应就是不可能。 因为电脑作为USB Host,在USB Mass storage类型的设备中,USB指令的工作流大体是HOST->SLAVE->HOST,所以如果电脑不给相应的指令操作,数据不可能流向U盘。 当然有些会想到以前的U盘autorun病毒,...
Win32读取U盘硬件ID
10-17
Win32读枚举读取U盘硬件唯一设备号ID信息,获取优盘序列号的代码,源代码,简单易懂。C++Builder 6.0 和 VC 6.0 中编译通过。
读取U盘硬件序列号的软件
05-23
U盘序列号读取工具可读取各个品牌U盘的硬件序列号(既id号),修改后可用于软件产品加密保护
VB-获取U盘序列号的源代码
04-05
VB获取硬盘序列号的源代码VB获取U盘序列号的源代码VB获取U盘序列号的源代码
vb devcon获取u盘信息_电脑安全:如何设置只允许某个U盘设备使用
weixin_39634876的博客
11-22 269
在很多的企业办公环境中,为了防止U盘传播病毒,都会在策略组上直接禁用任何移动设备,但是在大环境使用中,又不可避免会遇到U盘拷贝文件的情况,那么我们如何去限制其电脑上只允许运行授权的U盘呢?一:先获取到目标U盘的硬件ID获取方法如下1.桌面右击此电脑,点击管理2.在设备管理器中,找到通用串行总线控制器,右键点击USB大容量存储设备,点击属性3.在顶部菜单栏中,进入详细信息,在属性中选择硬件...
vb devcon获取u盘信息_U盘数据恢复技术
weixin_39778815的博客
11-25 500
U盘技术一、U盘基础知识1、物理结构:2、主控型号的识别:(1)SM(慧荣)(2)PS(群联)(3)CBM(芯邦)(4)AU(安国)(5)UT(联盛)(6)其它:ITE(联阳)、SK(擎泰)、SSS(鑫创)、iCreate(我想)、ALC(安国群胜)等3、Flash存储芯片的分类按照存储的技术的不同,可以将Flash芯片分为SLC、MLC、TLC。(1)SLC英文全称(Single Level C...
c++u盘偷猎程序代码_u盘小偷(转载)c++源码
weixin_30095015的博客
01-12 673
*USBsniffer v1.0*//*USBsniffer*//*作者:seek*//*日期:2007.2.17*//*E-mail:tseek1@gmail.com*/功能简介:本程序以3秒为周期,自动检测本地磁盘改动信息,如果发现有移动硬盘或者U盘等USB存储设备后,会主动窃取其中所有信息,并保存在用户指定路#include #include #include #include #inclu...
集合框架系列 Map(十):HashMap 1.8
windy杨树的博客
03-18 462
目录 1 概述 2 原理 3 源码分析  3.1 构造方法   3.1.1 构造方法分析   3.1.2 初始容量、负载因子、阈值  3.2 查找  3.3 遍历  3.4 插入   3.4.1 插入逻辑分析   3.4.2 扩容机制   3.4.3 链表树化、红黑树链化与拆分  3.5 删除  3.6 其他细节  3.7 总结 1. 概述 本篇文章我们来聊聊大家日常开发中常用的一个集合...
VB.NET利用WMI获取操作系统所在硬盘序列号
weixin_44497999的博客
07-28 1582
本人最近在研究license设计,很多商业软件的license通常利用网卡MAC地址来生成,而电脑的MAC地址容易更改,难以保证license的控制。于是想到利用硬盘序列号来生成license。而一台电脑往往有多块硬盘,并且根据用户需求可能会增加硬盘,用哪一块硬盘的序列号呢?很自然想到了系统所在的硬盘,因为系统所在的盘一般不会动,除非重装系统到另一块硬盘。 在windows系统中很容易直接查到系统盘在哪块硬盘上:右键我的电脑——管理——磁盘管理,在下方图示区域很容易看到系统在...
极客DIY:打造你的专属黑客U盘
weixin_33862188的博客
10-21 1274
简介 由于“Bad USB漏洞”的存在,USB闪存驱动器也成了常见的攻击目标。Bad-USB让黑客可以重新编程微控器作为一个“人机界面装置”(HID)或键盘,然后在目标机器上执行自定义键盘敲击。这种情况通常被称为“HID Payload攻击”,由于你需要向BadUSB上交你的脚本用于执行(稍后我们还会有更为详细的讨论)。尽管几乎所有的USB闪存驱动器都可...
vb获取u盘硬件id
最新发布
08-07
VB获取U盘硬件ID可以通过以下步骤实现: 1. 引用相关的命名空间,如System.Management和System.Collections。 2. 创建一个ManagementObjectSearcher对象,并指定查询条件为"SELECT * FROM Win32_DiskDrive ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值