一、介绍

2016年，伊利诺伊大学的研究人员在大学校园内留下了297个未标记的USB闪存，看看会发生什么。98％的驱动器由工作人员和学生捡起，并且至少有一半被插入计算机以查看内容。对于试图感染计算机网络的黑客来说，这是不可抗拒的。

USB设备已经存在了将近20年，它提供了一种简单方便的方式，可以在不直接连接到互联网的计算机之间存储和传输数字文件。这种功能已被网络威胁行为者利用，最著名的是2010年的Stuxnet蠕虫，它使用USB设备将恶意软件注入伊朗核设施的网络。

如今，像Dropbox这样的云服务在文件存储和传输方面已经承担了很多繁重的工作，并且人们对USB设备相关的安全风险有了更多的认识。它们作为必不可少的商业工具的使用率正在下降。尽管如此，每年仍然有数百万个USB设备被生产和分发，其中许多设备用于家庭，或者企业和营销推广活动的赠品。

USB设备仍然是网络威胁的目标。2017年卡巴斯基实验室数据显示，每12个月左右，全球四分之一的用户受到“本地”网络事件的影响。这是直接在用户计算机上检测到的攻击，包括由USB设备等可移动媒体引起的感染。

这篇简短的报告回顾了当前可移动媒体（尤其是USB）的网络威胁态势环境，并提供了有关保护这些设备及其所携带数据的建议和意见。

二、方法和主要发现

概述了基于卡巴斯基实验室在用户计算机驱动器根目录中的文件保护技术的检测，并应用了特定的扫描过滤器和其他措施。它仅涵盖恶意软件攻击，不包括对广告软件或风险工具等潜在危险或有害程序的检测。用户通过卡巴斯基安全网络（KSN）自愿共享检测数据。

主要发现

· USB设备和其他可移动媒体正被用于传播加密货币采矿软件，至少从2015年开始。一些受害者被发现已感染这种病毒很多年。

· 受欢迎的比特币挖矿软件Trojan.Win64.Miner.all的检测率同比增长约六分之一。

· 在2018年遭受可移动媒体感染的所有用户中，有十分之一是使用这种加密采矿软件（约为9.22％，高于2017年的6.7％和2016年的4.2％）。

· 通过可移动媒体/ USB传播的其他恶意软件包括Windows LNK系列特洛伊木马，这是自2016年以来检测到的三大USB威胁之一。

· 2010 Stuxnet漏洞利用程序CVE-2010-2568仍然是通过可移动媒体传播的十大恶意攻击之一。

· 新兴市场最容易受到可移动媒体传播的恶意感染——亚洲，非洲和南美洲受影响最大，但在欧洲和北美国家也发现了孤立的点击。

· Dark Tequila是一种复杂的银行恶意软件，于2018年8月21日报道发现。至少自2013年以来一直针对墨西哥的消费者和企业，感染主要通过USB设备传播。

三、USB不断发展的网络威胁领域

可移动媒体引起的感染被定义为本地威胁——直接在用户计算机上检测到的威胁，例如，在计划安装或用户启动的安全扫描期间。本地威胁不同于针对互联网计算机的威胁（网络威胁），这种威胁更为普遍。隐藏在复杂安装程序中的加密恶意程序也可能导致本地感染。为了隔离可移动媒体（如USB设备）传播的恶意软件数据，我们采取了受感染计算机驱动器根目录中触发的检测——这是感染源为可移动媒体的强烈指示。

此数据显示自2014年以来可移动媒体（驱动器根目录）威胁检测的数量稳步下降，但整体下降速度正在放缓。2014年，受可移动媒体威胁影响的用户与检测到的此类威胁总数之间的比例为1:42;到2017年，这个数字下降了一半到1:25;估计2018年达到1:22。

与网络威胁相比，这些数字显得苍白：2017年，卡巴斯基实验室的文件防病毒软件检测到了1.138亿可移动媒体威胁，而其网络防病毒软件则排除了从在线资源发起的12亿次攻击。鉴于此，即使全球约有400万用户在2018年通过这种方式受到感染，也很容易忽视可移动媒体带来的持久风险。

*2013-2018年在用户计算机的驱动器根目录中触发的恶意软件检测总数（以百万计），这是可移动媒体感染的指标。Source: KSN(download)

*2013-2018年在计算机的驱动器根目录中触发恶意软件检测的唯一用户数（以百万计），这是可移动媒体感染的指标。Source: KSN (download)

1．USB作为高级威胁行为者的工具

USB设备吸引针对未连接到互联网的计算机网络的攻击者——例如那些关键的国家电力基础设施。最著名的例子是Stuxnet行动。在2009年和2010年，Stuxnet蠕虫针对伊朗的核设施，破坏其运营。

USB设备被用于将恶意软件注入设施的隔离网络。除此之外，这些设备还包括对Windows LNK漏洞（CVE-2010-2568）的利用，该漏洞可以远程执行代码。其他高级威胁，包括Equation Group，Flame，Regin 和HackingTeam，都将此漏洞集成以用于攻击可移动媒体。

此外，大多数USB设备的结构允许它们被转换以提供隐藏的存储隔空间，例如用于移除被盗数据。ProjectSauron 2016工具包被发现包括一个特殊模块，旨在将数据从隔离网络传输到连接互联网的系统。这涉及USB驱动器，通过设置更改USB磁盘上分区的大小，在磁盘末端保留一些隐藏空间（几百兆字节）用于恶意目的。

2．Stuxnet中的CVE-2010-2568

Microsoft在2015年3月修复了最后一个存在漏洞的LNK代码路径。然而，在2016年，多达四分之一的卡巴斯基实验室用户遇到了通过所有攻击媒介（包括网络传播的威胁）的攻击，面临此漏洞的攻击（尽管它在2017年被EternalBlue漏洞利用所取代）。但是，CVE-2010-2568继续是USB设备和其他可移动媒体分发的恶意软件中的特色：尽管检测和受害者数量迅速下降，但它仍然是KSN检测到的十大驱动器源威胁之一。

2013-2018年CVE-2010-2568的漏洞利用（可移动媒体）检测（以百万计）。Source: KSN(download)

2013-2018年CVE-2010-2568,的漏洞利用的感染用户（可移动媒体）检测（以百万计）。

Source: KSN(download)

如果漏洞检测提供了通过可移动介质（例如USB）传输的恶意软件量的指示，下面说明以这种方式分发的恶意软件的类型。

3．通过可移动介质传播恶意软件

自2016年以来，通过可移动媒体传播的顶级恶意软件保持相对一致。例如，Windows LNK系列恶意软件，包含用于下载恶意文件的链接或用于启动恶意可执行文件路径的木马，仍然是通过可移动媒体传播的三大威胁。攻击者使用恶意软件来破坏、修改或复制数据，或者破坏设备或其网络的运行。WinLNK Runner特洛伊木马程序是2017年检测到的顶级USB威胁，是用于启动可执行文件的蠕虫。

2017年，检测到2270万次WinLNK.Agent感染，影响了近90万用户。2018年的数字约为2300万次攻击，仅超过70万用户。这意味着检测率上升2％，同比目标用户数下降20％。

对于WinLNK Runner特洛伊木马，预计数字将大幅下降—检出率从2017年的275万降至2018年的100万，下降61％;目标用户数量下降了51％（从2017年的约920,000人减少到2018年的450,000人）。

通过USB设备传播的其他顶级恶意软件包括Sality病毒，该病毒于2003年首次检测到，但自那以后经过大量修改；以及自动将自身复制到USB驱动器上的Dinihou 蠕虫，创建恶意快捷方式（LNK），一旦新的受害者打开它就会启动蠕虫。

4．Miners——少见但持久

USB设备也被用于传播加密货币挖掘软件。这种情况相对不常见，但足以让攻击者继续使用这种分发方法。根据KSN数据，在驱动器根中检测到的一种流行的加密挖掘软件是Trojan.Win32.Miner.ays / Trojan.Win64.Miner.all，自2014年起为人所知。

该系列的恶意软件秘密使用受感染计算机的处理器容量来生成加密货币。特洛伊木马将挖掘应用程序放到PC上，然后安装并静默启动挖掘软件并下载参数，使其能够将结果发送到攻击者控制的外部服务器。

卡巴斯基实验室的数据显示，2018年检测到的一些感染可以追溯到几年前，这表明长时间的感染可能对受害者设备的处理能力产生了明显的负面影响。

32位版本的Trojan.Win32.Miner.ays的检测数据如下：

在2017年上半年（136,954个独立用户）和2018年上半年（93,433个独立用户）之间，受32位版本挖矿软件影响的人数下降了28.13个百分点。

另一个版本Trojan.Win64.Miner.all在第一年检测中出现了预期的激增，之后用户数量达到了稳定的增长率，每年约为六分之一。当将使用此挖掘恶意软件的用户数量与受可移动媒体威胁击中的用户总数进行比较时，也可以看到这种小而稳定的增长率。这表明在2018年，大约十分之一的用户受到可移动媒体威胁的攻击，成为该挖矿软件的目标，两年增加两倍。

这些结果表明，这种威胁通过可移动媒体可以很好地传播。

Trojan.Win64.Miner.all的检测数据如下：

5．Dark Tequila – 高级银行木马

2018年8月，卡巴斯基实验室的研究人员报告了一项名为Dark Tequila的复杂网络行动，至少在过去的五年里一直瞄准墨西哥的用户，通过恶意软件窃取银行凭证、个人和公司数据以及在受害者电脑离线时进行横向移动。

根据卡巴斯基实验室的研究人员的说法，恶意代码通过受感染的USB设备和鱼叉式网络钓鱼传播，并包含规避检测的功能。Dark Tequila背后的威胁攻击者的母语很可能是西班牙语和拉丁语。

四、目标地理分布

新兴市场最容易被可移动媒体感染。

2017年的数据显示，在此类国家中约有三分之二的用户遇到“本地”事件，其中包括来自可移动媒体的驱动源恶意软件感染，而发达经济体中只有不到四分之一。这些数字与2018年保持一致。

对于通过可移动媒体传播的LNK漏洞，2018年迄今受影响最严重的国家是越南（受影响的用户占18.8％），阿尔及利亚（11.2％）和印度（10.9％），其他亚洲地区也有感染，俄罗斯和巴西等国，而一些欧洲国家（西班牙，德国，法国，英国和意大利），美国和日本只有零星感染。

2018年通过可移动媒体受CVE-2010-2568漏洞利用影响的用户比例。来源：KSN（仅包括卡巴斯基实验室客户超过10,000的国家/地区） Source: KSN(download)

挖矿软件的范围更广。Trojan.Win32.Miner.ays / Trojan.Win.64.Miner.all主要在印度（23.7％），俄罗斯（18.45％ – 可能受到更大客户群的影响）和哈萨克斯坦（14.38％）发现，在亚洲和非洲的其他地区也有感染，在几个欧洲国家（英国，德国，荷兰，瑞士，西班牙，比利时，奥地利，意大利，丹麦和瑞典），美国，加拿大和日本也有零星感染。

2018年通过可移动媒体受比特币加密货币采矿者影响的用户比例。来源：KSN（仅包括卡巴斯基实验室客户超过10,000名的国家）Source: KSN(download)

五、总结及建议

这篇短文的主要目的是提高人们对消费者和企业可能低估的威胁的认识。

USB驱动器具有许多优点：结构紧凑，便于携带，并且具有很好的品牌资产，但设备本身，存储在其上的数据以及插入的计算机如果不受保护，都可能容易受到网络威胁。

幸运的是，消费者和组织可以采取一些有效措施来保护USB设备的使用。

给所有USB用户的建议：

· 关注连接到计算机的设备——你知道它来自哪里吗？

· 使用信任品牌的加密USB设备——这样即使丢失设备，也知道数据是安全的

· 确保USB上存储的所有数据都已加密

· 制定安全解决方案，在连接到网络之前检查所有可移动媒体是否存在恶意软件 – 即使是受信任的品牌也可能通过其供应链受感染

针对企业的其他建议：

· 管理USB设备的使用：定义可以使用哪些USB设备，由谁以及为什么使用

· 教育员工安全使用USB：特别是如果他们在家用计算机和工作设备之间使用移动设备

· 请勿将USB放在显示器周围或显示屏上