E安全9月8日讯 安全研究人员Rob Fuller发现了一种独特的攻击方法，能从Windows、Mac计算机（也可能是Linux，目前还未测试）窃取PC凭证。

Fuller的攻击能有效针对用户登录的锁定计算机。

研究人员使用USB以太网适配器。为了运行特殊的软件，研究人员修改了USB以太网适配器的固件代码。特殊软件将即插即用USB设备作为连接计算机的网关、DNS和WAPD服务器。

攻击奏效，因为计算机信任PnP设备

攻击存在可能性，因为大多数电脑将自动安装任何即插即用（PnP）USB设备。

Fuller昨日在博文中写道，“为什么会奏效？因为USB为即插即用。这就意味着即使系统处于锁定状态，设备仍能安装。”

“现在，我认为在新操作系统锁定状态下允许安装的设备类型有限（Win10/El Capitan），但以太网/LAN绝对在白名单上。”

经改造的USB以太网适配器记录PC凭证

当安装新（流氓）即插即用USB以太网适配器，计算机将分发必需的本地凭证安装该设备。

Fuller改造的设备包括拦截这些凭证并保存至SQLite数据库的软件。此外，还包含LED，当记录凭证时会发亮。

攻击平均运行时间为13秒

攻击者需要物理访问设备插入流氓USB以太网适配器，但Fuller表示，平均攻击时间为13秒。此类攻击可能会窃取储存在目标设备上的各种信息。

Fuller通过USB以太网软件狗（比如155美元的USB Armory和49.99美元的Hak5 Turtle）进行了测试。

Fuller解释道，当目标设备试图通过适配器连接到网络时，以太网适配器需要装配来嗅探流量并捕获目标设备发送的凭证。

这类攻击利用Laurent Gaffié的响应器获取凭证。Hak5 Turtle已有一个模块。对于USB Armory，可能使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。

他表示，“基本上是通过Laurent Gaffié的响应器完成，因此你需要找到在设备上获取响应器的方式。Hak5 Turtle已有模块，第一次需要“启用”模块（插入互联网访问），从而下载所有相关性和数据包本身。对于USB Armory，你可以使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。”

攻击在某些设备上可能会失败。无论如何，研究人员在Windows 企业和家庭（除了Windows 8）等Windows系统，以及OS X El Capitan上做了测试，结果奏效。比如，当目标设备发现无线和有线网络，它将会连接至最快的网络，可能会出现攻击失败的情况。当然，为了发起攻击，有必要物理访问目标设备。

https://v.qq.com/txp/iframe/player.html?vid=l0326ori9wf&width=500&height=375&auto=0

Fuller表示，这种攻击在Windows 98 SE、Windows 2000 SP4、 Windows XP SP3、Windows 7 SP1、Windows 10 (Enterprise and Home)、 OS X El Capitan、和OS X Mavericks上能成功实现。Fuller还计划测试Linux发行版。

E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。