文章总结： 本文阐述USB钓鱼攻击如何结合社会工程与物理接触渗透内网，涵盖MITREATT&CKT1091、FIN7案例及BadUSB伪装技术。文章指出该攻击低成本高成功率，建议企业建立明确规范、强化安全意识并严控USB接入策略，以防御此类难以完全杜绝的威胁。 综合评分： 89 文章分类： 社会工程学,红队,渗透测试,内网渗透,安全意识

USB 钓鱼攻击

原创

寰宇秘阁

寰宇密阁

2026年1月9日 10:00 安徽

当人们谈到钓鱼攻击时，第一反应往往是电子邮件或恶意链接。然而，在真实攻防环境中，一种结合了物理接触与社会工程的攻击方式仍然频繁奏效，那就是 USB 钓鱼攻击（USB Phishing）。

与纯线上攻击不同，USB 钓鱼攻击利用了“人的好奇心”和“对内部环境的信任感”，在很多情况下甚至无需复杂技术即可成功。

一、什么是 USB 钓鱼攻击？

在 USB 钓鱼攻击中，测试人员（或攻击者）会准备好带有恶意负载（payload）的 USB 闪存盘，并将它们分发或遗留在企业环境中。接下来，只需要等待员工将这些 USB 设备插入办公电脑即可。

为了提高成功率，USB 闪存盘通常被放置在尽可能只被公司员工接触到的地方，例如：

• 公司私有停车场
• 办公区域入口
• 茶水间或员工餐厅
• 洗手间或更衣室
• 会议室

这些位置都符合一个共同特征：员工会默认这是“内部遗失物品”，从而降低警惕。

二、USB 钓鱼中的 Payload 特点

USB 钓鱼中使用的 payload，与电子邮件钓鱼活动中使用的负载几乎没有区别。例如：

• 恶意文档
• 带宏的 Office 文件
• 可执行文件伪装
• 利用漏洞的文件

因此，在 payload 的创建方式上，可以直接参考电子邮件钓鱼章节。

三、MITRE ATT&CK 视角：T1091

在 MITRE ATT&CK 框架中，这类行为被归类为：

T1091 – Replication Through Removable Media

用于描述通过可移动介质分发恶意软件，通常针对不直接连接到其他网络部分的系统。

尽管 USB 钓鱼具有明显的“物理接触”特征，但这种攻击方式仍然被多个高级攻击组织频繁使用。

四、真实攻击案例：FIN7 组织

FIN7 攻击组织简介

• 自 2013 年以来一直活跃

• 经济动机明确

• 主要攻击目标包括：

• 餐饮企业

• 酒店

• 零售连锁机构

• 曾使用专门针对支付终端的恶意软件

战术演进

• 自 2020 年起，FIN7 开始专注于 Big Game Hunting（BGH）
• 使用过 REvil 勒索软件
• 还开发并使用自有的 Darkside 勒索软件
• Darkside 同时作为 Ransomware-as-a-Service（RaaS） 对外提供

在 USB 钓鱼方面，FIN7 曾通过邮寄 BadUSB 设备的方式向潜在受害者投递攻击载体。

五、USB 钓鱼为何容易成功？

这类攻击的门槛极低：

• 只需从普通厂商购买一些常见 USB 闪存盘
• 攻击成本低
• 操作简单
• 不依赖网络边界防护

关键策略细节：

• 在 USB 中放置少量被感染的文档 + 少量正常文档
• 文档数量不要太多，以提高受害者打开恶意文件的概率
• 文档内容应设计得“有吸引力”

如果文件集合看起来合理且相关，成功率会显著提高。

六、绕过员工警惕心理的方法

如今，很多员工已经被培训过 “不要随意插入陌生 USB”。因此攻击者往往会通过降低这种心理防线来提高成功率。

• 在 USB 上贴上公司相关的贴纸
• 使用个性化钥匙扣
• 模拟“内部资产”外观
• 让 USB 看起来像是某个同事遗失的

一句话总结：让 USB 看起来“像自己人”。

七、关于 AutoRun、AutoPlay 与误解

1. AutoRun 已被禁用

在 1990 年代，可移动介质（如 CD）通常默认启用自动运行（autorun）。 由于安全问题，这一行为如今在主流操作系统中已默认禁用。

在 USB 钓鱼中，实际上并不需要依赖自动运行，因为：

大多数捡到 USB 的人会主动打开里面的内容。

2. AutoPlay 仍可能被利用

如果攻击者希望更进一步，一种可能的攻击向量是：

AutoPlay 功能

AutoPlay 会根据介质内容将设备识别为：

• 图片
• 音乐
• 视频
• 混合内容

通过设计内容结构，攻击者可以影响用户的下一步操作。

3. CD 与 autorun.inf 的特殊情况

虽然 USB 不再支持 autorun，但在 CD 介质中：

• 仍可通过 autorun.inf 启动可执行文件
• autorun.inf 不仅能执行 CD 上的程序
• 还可以执行本地文件并传递参数
• 菜单项外观可被修改，诱导用户在不知情的情况下运行程序。

八、BadUSB：更高隐蔽性的 USB 攻击方式

近年来，BadUSB 攻击越来越受欢迎。

其核心思想是：

• USB 设备伪装成其他 USB 设备（例如：USB 键盘）
• 插入后可以直接在目标系统中模拟键盘输入
• 从而执行命令或投递恶意代码

为了降低被察觉的风险，BadUSB 设备还可以：

• 延迟代码执行（等用户不再使用电脑）
• 同时对用户提供“正常的 U 盘存储功能”

九、形态进化：当 USB 不再像 USB

近年来，BadUSB 设备的物理形态发生了巨大变化：

• 早期设备外观较为特殊
• 现在已经无法从外观上与普通设备区分

一个典型例子是：

恶意 USB 数据线

• 看起来是普通的充电/数据线

• 插入后可以：

• 正常充电

• 正常传输数据

• 同时伪装成 USB 键盘

• 向目标主机注入恶意指令

这类攻击载体使“物理信任边界”进一步被打破。

总结

USB 钓鱼攻击将社会工程、物理接触和技术利用结合在一起，是一种成本低、成功率高、难以完全防御的攻击方式。

对于企业而言：

• 不仅要依赖技术防护
• 更要建立明确的行为规范
• 强化员工安全意识
• 严格控制 USB 与外设接入策略

否则，一枚被“好心捡起”的 USB，很可能就是打开企业内网的第一把钥匙。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁《USB 钓鱼攻击》