E安全9月8日讯 安全研究人员Rob Fuller发现了一种独特的攻击方法，能从Windows、Mac计算机（也可能是Linux，目前还未测试）窃取PC凭证。

Fuller的攻击能有效针对用户登录的锁定计算机。

研究人员使用USB以太网适配器。为了运行特殊的软件，研究人员修改了USB以太网适配器的固件代码。特殊软件将即插即用USB设备作为连接计算机的网关、DNS和WAPD服务器。

攻击奏效，因为计算机信任PnP设备

攻击存在可能性，因为大多数电脑将自动安装任何即插即用（PnP）USB设备。

Fuller昨日在博文中写道，“为什么会奏效？因为USB为即插即用。这就意味着即使系统处于锁定状态，设备仍能安装。”

“现在，我认为在新操作系统锁定状态下允许安装的设备类型有限（Win10/El Capitan），但以太网/LAN绝对在白名单上。”

经改造的USB以太网适配器记录PC凭证

当安装新（流氓）即插即用USB以太网适配器，计算机将分发必需的本地凭证安装该设备。

Fuller改造的设备包括拦截这些凭证并保存至SQLite数据库的软件。此外，还包含LED，当记录凭证时会发亮。

攻击平均运行时间为13秒

攻击者需要物理访问设备插入流氓USB以太网适配器，但Fuller表示，平均攻击时间为13秒。此类攻击可能会窃取储存在目标设备上的各种信息。

Fuller通过USB以太网软件狗（比如155美元的USB Armory和49.99美元的Hak5 Turtle）进行了测试。

Fuller解释道，当目标设备试图通过适配器连接到网络时，以太网适配器需要装配来嗅探流量并捕获目标设备发送的凭证。

这类攻击利用Laurent Gaffié的响应器获取凭证。Hak5 Turtle已有一个模块。对于USB Armory，可能使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。

他表示，“基本上是通过Laurent Gaffié的响应器完成，因此你需要找到在设备上获取响应器的方式。Hak5 Turtle已有模块，第一次需要“启用”模块（插入互联网访问），从而下载所有相关性和数据包本身。对于USB Armory，你可以使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。”

攻击在某些设备上可能会失败。无论如何，研究人员 在Windows 企业和家庭（除了Windows 8）等Windows系统，以及OS X El Capitan上做了测试，结果奏效。比如，当目标设备发现无线和有线网络，它将会连接至最快的网络，可能会出现攻击失败的情况。当然，为了发起攻击，有 必要物理访问目标设备。

http://static.video.qq.com/TPout.swf?auto=1&vid=l0326ori9wf