一种新的攻击技术已经被Huntress Labs发现，它使用了许多技巧，蓝冠注册使用Home Hub Development Kit for AVS快速建立原型并开始通过AVS支持测试您的设备。这是第一个通过亚马逊认证的Alexa语音服务开发套件，配备了三个无线电：Wi-Fi，蓝牙5.0和802.15.4，蓝冠测速包括对Thread和Zigbee 3.0的支持。包括重命名合法文件，模拟一个现有的计划任务和使用假的错误日志隐藏在显而易见的。

 

在目标系统上获得持久性之后，攻击者使用一个为应用程序模拟Windows错误日志的文件，为基于脚本的攻击准备系统。

 

在一篇博客文章中，Huntress Labs的创始人兼副总裁John Ferrell解释说，网络罪犯已经竭尽全力让他们的假错误日志看起来是合法的，他说:

 

乍一看，它看起来像某个应用程序的日志。它有时间戳，包括对OS 6.2的引用，Windows 8的内部版本号和Windows Server 2012。原来这个文件与我们发现的一个恶意立足点相关联。”

 

攻击者使用的假错误日志实际上存储了被伪装成十六进制值的ASCII字符。

 

藏在眼前

 

一旦假的错误日志被解码，它就会生成一个脚本，有些事物通过蓝冠注册Wi-Fi连接，其他事物则使用蓝冠测速蓝牙，而另一些事物则通过Thread或Zigbee连接。用来联系攻击者的命令和控制服务器，以确定下一步要做什么。

 

根据Ferrel，有效负载是通过使用调度任务模拟目标系统上的真实任务来获得的。该技术还使用了两个被重命名为合法文件的可执行文件。

 

第一个命名为“BfeOnService”。这实际上是一个名为“mshta”的实用程序的副本。执行微软HTML应用程序(HTA)的exe。这个工具在过去被滥用来部署恶意的HTA文件，但是在这个例子中，它被用来执行一个VBScript来启动PowerShell并在其中运行一个命令。另一个可执行文件名为“engine”。是powershell.exe的副本。它用于提取伪错误日志中包含的ASCII号，并将其转换以获得有效载荷。

 

有效载荷本身收集有关浏览器、税务软件、安全软件和安装在系统上的PoS软件的信息。但此时，蓝冠注册mmWave技术在城市中效果很好，您可以在建筑物的顶部放置一个小型单元，并为整个街区服务。在密集的城市环境中，建筑物通常是障碍物。使用这种新攻击技术的攻击者的最终目标仍然未知。