所有USB设备都需要从锁定的PC窃取凭据
Fairware Ransomware通过暴露的Redis实例感染服务器
SAM Labs展示了一个新的教育电子工具包 - 没有电线
中东银行家敦促地区的银行为机器人自动化做准备
Microsoft用跨平台SQL和现场Azure轻松启动
巴克莱戒指围栏项目意味着客户停机
Windows,Office,IE和Edge中的Microsoft修补程序27漏洞
高通公司的一体化VR设计旨在享受甜蜜点
慢速互联网的隐藏原因以及如何解决它
Pizza Hut DataBreac区显示董事会控制需求
CCS声称技术服务2框架将有助于中小企业赢得更多的公共部门
三星的Massive 32TB SSD包括3D芯片技术
电子医疗系统的第二阶段居住在迪拜
汇丰通过人均软件简化抵押贷款
IBM在NVIDIA的快速NVLink互连中的新电源8服务器包
大多数公司不测试,但依靠供应商到规范存储,查找调查
HP的Elite Slice Mini-PC堆叠带有卡扣模块的功能
为什么有人会投资VDI启动?也许是因为企业它太糟糕了
UKTECH50 2017 - 帮助我们在英国找到最有影响力的人
Google+获得了一个改造,但有人会关心吗?
在疑似贩毒者在手机账单中审核后罚款
研究员在合法的数字签名文件中隐藏隐秘的恶意软件
精致的恶意软件可能绑定到泰国最近的自动取款机
男性的中位数比女性更高,比女性更高
NHS数字签署网络安全协议与Microsoft
内容交付创新可提高电子茶叶的用户体验
宝马在英国打开其第二次技术启动程序
Twitter发现对其服务的ISIS活动不承担责任
McAfee说,Wannacry伪勒索瓶的一个例子
Bupa牙科通过批发和veeam备份节省350英镑
联盟会员拒绝公司提案后,富士通可以看到更多的工业行动
英特尔的骑士厂Mega芯片在AI中接受GPU
Dropbox会提示某些用户更改密码
一系列管:什么是家庭自动化
SDN未来公共部门网络的重要组成部分
NCSC表示,网络安全应该是基于数据的基于数据
Cerber Ransomware赚取2.3亿美元,回复率为0.3%
Apple赢得了爱尔兰法院的雅典雅典兰州850亿欧元
企业数据中心运营商在451次研究报告中分享工作人员招聘挑战
Salesforce世界旅游在阿姆斯特丹
政府恢复了645万英镑的BDUK宽带推出
美国表示,必须在法律挑战中听到对欧盟的法律挑战
LG的智能冰箱在透明显示屏上有Windows 10
美国调查俄罗斯试图破解选举
忘记双因素身份验证,这里有上下文感知身份验证
随着Equifax的头部卷揭示了受违规影响的400,000英国人
HBO坚定,因为黑客释放了更多盗窃的内容
区块链测试提供结果和IBM被视为领导者
英国政府争取新的抱怨在国外
移动网络恢复到飓风袭击加勒比群岛
您的位置:首页 >科技 > 消费电子 >

所有USB设备都需要从锁定的PC窃取凭据

2021-07-18 12:44:14 [来源]:

大多数用户暂时锁定他们的计算机屏幕。虽然这似乎是一个良好的安全措施,但这是本周展示的研究员就够了。

R5 Industries的主要安全工程师Rob Fileer发现,从锁定的Windows计算机中复制OS账户密码哈希需要所有所需的是要插入特殊的USB设备几秒钟。哈希可以在某些网络攻击中直接破解或直接使用。

对于他的攻击,富勒使用了一个名为USB Armory的闪光盘尺寸的电脑,费用为155美元,但可以使用更便宜的设备退出相同的攻击,如Hak5 Lan龟,费用为50美元。

设备需要伪装为USB到以太网LAN适配器,使其成为目标计算机上的主要网络接口。这应该是困难的,因为:1)操作系统自动启动安装新连接的USB设备,包括以太网卡,即使它们处于锁定状态,2)它们也会自动突出有线或快速以太网卡作为默认网关。

例如,如果攻击者将Rogue USB-to-Gigabit-以太网适配器插入锁定的Windows笔记本电脑,则适配器将安装并将成为首选的网络接口。

此外,当安装新网卡时,OS均致力于通过动态主机配置协议(DHCP)自动检测网络设置。这意味着攻击者可以在以太网电缆的另一端具有作为DHCP服务器的另一端的流氓计算机。USB Armory是一台计算机上的一台计算机,它通过USB提供支持,可以运行Linux,因此不需要单独的机器。

一旦攻击者通过DHCP控制目标计算机的网络设置,他还可以控制DNS(域名系统)响应,可以通过WPAD(Web代理自动发现)协议和更多的流氓Internet代理。他基本上获得了一个特权的中间位置,可以用来拦截和篡改计算机的网络流量。

根据富勒,锁定状态中的计算机仍然生成网络流量,允许提取帐户名称和散列密码。他说,Rogue USB设备从系统中捕获凭据所需的时间是大约13秒。

他在Windows和OS X上成功地测试了攻击。然而,如果OS X默认,他仍然正在努力确认,或者它是他的MAC的特定配置易受攻击。

“首先,这是真的很简单,不应该工作,但它确实如此,”研究人员在一个博客文章中说。“此外,我没有可能的方式是我是第一个发现这个的人,而是这里。”

根据计算机上安装的Windows版本及其配置,密码哈希将位于NT LAN管理器(NTLM)版本2或NTLMV1格式中。NTLMV2哈希仍然易于破解,但不是不可能的,特别是如果密码不是很复杂,攻击者可以访问强大的密码开裂钻机。

还有一些反对网络服务的继电器攻击,可以直接使用NTLM哈希,而无需了解用户的明文密码。

所有这些都是如此,因为在Twitter上指出的富勒:“不要让你的工作站登录,特别是过夜,无人看管,即使你锁定屏幕。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。