[原创]分析：针对物理隔离网络的NSA级USB摆渡木马

分析：针对物理隔离网络的NSA级USB摆渡木马
前言
在网络安全领域，物理隔离网络一直被认为是最安全的防护手段。然而，本文将为您揭示一个专门针对物理隔离网络的高级持续性威胁（APT）攻击样本——一个被泄露到普通环境的USB摆渡木马。
这个样本展现了极高的代码质量和精密的攻击设计，采用三层载荷架构，通过USB设备在隔离网络中实现数据窃取和横向传播。让我们一起深入了解这个技术精湛的攻击工具。
样本哈希：42b2c3e2e7752de78879a8ce4ecf5eb1
本次分析大量使用AI辅助分析，采用的项目：5e0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3d9f1c8m8i4K6u0V1f1$3E0A6L8r3H3`. 2c1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3f1%4m8G2M7X3f1`. c81K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9i4g2F1j5i4y4#2i4K6u0r3f1V1g2m8d9g2)9#2k6V1W2p5b7b7`.`.
一、攻击概览
核心特征
本样本是一个专门针对物理隔离网络的USB摆渡木马，采用三层载荷架构。
四大攻击特点
1. 无网络回传

不通过网络发送窃取数据
完全适应物理隔离环境

2. 双向数据同步

通过U盘在不同被感染机器间同步窃取数据
实现数据的自动汇聚

3. 离线远控能力

可通过U盘上的配置文件下发命令
无需网络连接即可控制目标

4. 广泛传播

通过U盘自动感染实现蠕虫式传播
快速覆盖隔离网络内的所有机器

二、攻击流程解析
攻击方式为攻击者携带USB进入隔离网络或被其他方式带入环境，木马自动在内网开始传播和感染。
攻击效果：

攻击者插入USB到一台机器或木马被钓鱼执行，该机器被感染
蠕虫木马通过正常USB使用在内网相互感染
最终每台被感染的机器上都具有所有窃取的完整数据
攻击者回到隔离网络，插入USB，同步窃取所有数据

三、技术实现深度剖析
三层载荷架构
第一阶段：伪装与反检测
伪装手段：

伪装成文件夹图标，诱导用户点击
在未开启扩展名显示的系统上真假难辨

反检测机制：

检测杀毒软件，特别针对卡巴斯基
如果检测到卡巴斯基，进行特殊处理以规避检测
通过系统快照遍历进程，识别安全软件

检测的安全软件列表：

进程名
安全软件
地域

ravmond.exe
瑞星
中国

ccenter.exe
瑞星
中国

ravtask.exe
瑞星
中国

op_mon.exe
木马监控类

360tray.exe
360安全卫士
中国

pctstray.exe
中国

avp.exe
卡巴斯基
俄罗斯

vsserv.exe
Bitdefender
罗马尼亚

v3ltray.exe
安博士
韩国

v3svc.exe
安博士
韩国

ccsvchst.exe
诺顿
美国

mcagent.exe
McAfee
美国

avguard.exe
Avira
德国

avastsvc.exe
Avast
捷克

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290768.htm