Replication Through Removable Media

Adversaries may move onto systems, possibly those on disconnected or air-gapped networks, by copying malware to removable media and taking advantage of Autorun features when the media is inserted into a system and executes. In the case of Lateral Movement, this may occur through modification of executable files stored on removable media or by copying malware and renaming it to look like a legitimate file to trick users into executing it on a separate system. In the case of Initial Access, this may occur through manual manipulation of the media, modification of systems used to initially format the media, or modification to the media's firmware itself.

Angreifer können in Systeme eindringen, die sich möglicherweise in getrennten oder abgehörten Netzwerken befinden, indem sie Malware auf Wechselmedien kopieren und die Autorun-Funktionen ausnutzen, wenn das Medium in ein System eingelegt und ausgeführt wird. Im Fall von Lateral Movement kann dies durch die Modifizierung von ausführbaren Dateien geschehen, die auf Wechselmedien gespeichert sind, oder indem Malware kopiert und umbenannt wird, so dass sie wie eine legitime Datei aussieht, um Benutzer dazu zu bringen, sie auf einem anderen System auszuführen. Im Falle des Erstzugriffs kann dies durch eine manuelle Manipulation des Datenträgers, eine Modifikation der Systeme, die zur ursprünglichen Formatierung des Datenträgers verwendet werden, oder eine Modifikation der Firmware des Datenträgers selbst erfolgen.

Les adversaires peuvent se déplacer sur des systèmes, éventuellement sur des réseaux déconnectés ou à couverture aérienne, en copiant des logiciels malveillants sur des supports amovibles et en profitant des fonctions Autorun lorsque le support est inséré dans un système et s'exécute. Dans le cas d'un mouvement latéral, cela peut se produire par la modification de fichiers exécutables stockés sur des supports amovibles ou en copiant des logiciels malveillants et en les renommant pour qu'ils ressemblent à des fichiers légitimes afin d'inciter les utilisateurs à les exécuter sur un autre système. Dans le cas de l'accès initial, cela peut se produire par la manipulation manuelle du support, la modification des systèmes utilisés pour formater initialement le support ou la modification du micrologiciel du support lui-même.

Gli avversari possono spostarsi su sistemi, possibilmente su reti scollegate o con air-gapped, copiando malware su supporti rimovibili e approfittando delle caratteristiche di Autorun quando il supporto viene inserito in un sistema ed eseguito. Nel caso di Movimento Laterale, questo può avvenire attraverso la modifica di file eseguibili memorizzati su supporti rimovibili o copiando il malware e rinominandolo per farlo sembrare un file legittimo per ingannare gli utenti ad eseguirlo su un sistema separato. Nel caso di Accesso Iniziale, questo può avvenire attraverso la manipolazione manuale del supporto, la modifica dei sistemi usati per formattare inizialmente il supporto o la modifica del firmware del supporto stesso.

Law Assessment

Die Replikation über Wechselmedien ist nicht tatbestandsmässig. Bei der beabsichtigten Ausführung des Codes durch das Opfer, ist lediglich das Zugangstor geöffnet und somit die besondere Sicherung umgangen. Solange der Code nur den Zugang an sich verschafft und keine Daten übermittelt, ist die Tat nicht vollendet und es kommt höchstens die versuchte Tatbegehung in Frage.

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

La réplication via des supports amovibles ne constitue pas une infraction. Si la victime a l'intention d'exécuter le code, seule la porte d'accès est ouverte et la sécurité spéciale est ainsi contournée. Tant que le code ne fait qu'ouvrir l'accès en soi et ne transmet pas de données, l'infraction n'est pas consommée et seule la tentative de commission de l'infraction peut être prise en considération.

La replica tramite supporti rimovibili non è un reato. L'esecuzione prevista del codice da parte della vittima apre semplicemente la porta d'accesso e quindi aggira la sicurezza speciale. Finché il codice fornisce solo l'accesso e non trasmette dati, il reato non è completato e al massimo è possibile il tentativo di commettere il reato.

Replication via removable media does not constitute an offense. The intended execution of the code by the victim merely opens the access gate and thus bypasses the special security. As long as the code only provides access and does not transmit any data, the crime is not completed and at most the attempted commission of the crime is possible.

Article	Assessment
Art. 143 Abs. 1 StGB (Datenbeschaffung) Contribution Details Last update: 2021-11-4 Autoren: Roman Kost ⓘ	Les attaques via des supports amovibles peuvent être utilisées pour effacer des données sur le système cible (cela peut également inclure le cryptage, par exemple dans le cas d'attaques par ransomeware). Ce type d'attaque tombe sous le coup de l'article 144bis du Code pénal. Gli attacchi tramite supporti rimovibili possono essere usati per cancellare i dati sul sistema bersaglio (questo può anche includere la crittografia, per esempio nel caso di attacchi ransomware). Questo tipo di attacco rientra nell'art. 144bis SCC. Attacks via removable media can be used to delete data on the target system (this can also include encryption, for example in the case of ransomware attacks). This type of attack falls under Art. 144bis SCC. Angriffe über Wechselmedien können dazu benutzt werden, auf dem Zielsystem Daten zu löschen (darunter kann auch die Verschlüsselung fallen, bspw. bei Ransomeware-Angriffen). Diese Spielart des Angriffs fällt unter Art. 144bis StGB.
Art. 143^bis Abs. 1 StGB (Hacking) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ	Parmi les attaques classiques, on trouve la compromission via des supports de données tels que les clés USB. Ces supports présentent des mécanismes de démarrage automatique qui sont exécutés sans autre contrôle par un système insuffisamment sécurisé. Il est également possible de lancer des attaques par force brute via des périphériques USB (bien que nous ne parlions plus ici de médias ou de supports de données comme moyen d'action), qui simulent un clavier et effectuent d'innombrables saisies en quelques secondes. Les systèmes qui ne retardent pas délibérément les tentatives de connexion par un temps d'attente ou qui ne bloquent pas le compte après un certain nombre d'échecs peuvent être piratés très efficacement avec de telles méthodes. Il existe également des méthodes d'attaque qui dépendent de l'entrée de l'utilisateur, par exemple en cachant des applications troyennes derrière des noms de fichiers intéressants et en spéculant sur le fait que l'utilisateur exécute ces fichiers. - Parmi les attaques classiques, on trouve la compromission via des supports de données tels que les clés USB. Ces supports présentent des mécanismes de démarrage automatique qui sont exécutés sans autre contrôle par un système insuffisamment sécurisé. Il est également possible de lancer des attaques par force brute via des périphériques USB (bien que nous ... + Gli attacchi classici includono la compromissione tramite supporti di dati come le chiavette USB. Questi supporti dati hanno meccanismi di avvio automatico che vengono eseguiti da un sistema non sufficientemente sicuro senza ulteriore controllo. Sono concepibili anche attacchi brute-force tramite dispositivi USB (anche se non stiamo più parlando di supporti o supporti dati come mezzo di attacco), che simulano una tastiera e fanno innumerevoli inserimenti in pochi secondi. I sistemi che non ritardano intenzionalmente i tentativi di logon o non bloccano l'account dopo un certo numero di tentativi falliti possono essere craccati molto efficacemente con questi metodi. Poi ci sono metodi di attacco che si basano sull'input dell'utente, come nascondere applicazioni troianizzate dietro nomi di file interessanti e speculare che l'utente eseguirà questi file. - Gli attacchi classici includono la compromissione tramite supporti di dati come le chiavette USB. Questi supporti dati hanno meccanismi di avvio automatico che vengono eseguiti da un sistema non sufficientemente sicuro senza ulteriore controllo. Sono concepibili anche attacchi brute-force tramite dispositivi USB (anche se non stiamo più parlando di supporti o supporti dati come mezzo ... + One of the classic attacks is compromise via data carriers such as USB sticks. These data carriers have autostart mechanisms that are executed by an insufficiently secured system without further control. Also conceivable are brute-force attacks via USB devices (although we are no longer talking about media or data carriers as a means of committing the crime), which simulate a keyboard and make countless entries within seconds. Systems that do not intentionally delay login attempts or do not lock the account after a number of failed attempts can be cracked very efficiently with such methods. Next, there are attack methods that rely on user input, such as hiding Trojanized applications behind interesting-sounding file names and speculating that the user will execute these files. - One of the classic attacks is compromise via data carriers such as USB sticks. These data carriers have autostart mechanisms that are executed by an insufficiently secured system without further control. Also conceivable are brute-force attacks via USB devices (although we are no longer talking about media or data carriers as a means of committing ... + Zu den klassischen Angriffen gehört die Kompromittierung über Datenträger wie USB-Sticks. Diese Datenträger weisen Autostartmechanismen auf, die von einem ungenügend gesicherten System ohne weitere Kontrolle ausgeführt werden. Denkbar sind auch brute-force-Angriffe über USB-Geräte (wobei wir hier dann nicht mehr von Medien resp. Datenträgern als Tatmittel sprechen), die eine Tastatur simulieren und innert Sekunden unzählige Eingaben absetzen. Systeme, die Anmeldeversuche nicht absichtlich durch eine Wartezeit verzögern oder den Account nach einer Anzahl Fehlversuche nicht sperren, können mit solchen Methoden sehr effizient geknackt werden. Sodann gibt es Angriffsmethoden, die auf Benutzerinput angewiesen sind, so werden bspw. trojanisierte Anwendungen hinter interessant klingenden Dateinamen verborgen und darauf spekuliert, dass der Benutzer diese Dateien ausführt. - Zu den klassischen Angriffen gehört die Kompromittierung über Datenträger wie USB-Sticks. Diese Datenträger weisen Autostartmechanismen auf, die von einem ungenügend gesicherten System ohne weitere Kontrolle ausgeführt werden. Denkbar sind auch brute-force-Angriffe über USB-Geräte (wobei wir hier dann nicht mehr von Medien resp. Datenträgern als Tatmittel sprechen), die eine Tastatur simulieren und innert Sekunden unzählige Eingaben ... +
Art. 144^bis Ziff. 1 StGB (Datenbeschädigung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	Les attaques via des supports amovibles peuvent être utilisées pour effacer des données sur le système cible (cela peut également inclure le cryptage, par exemple dans le cas d'attaques par ransomeware). Ce type d'attaque tombe sous le coup de l'article 144bis du Code pénal. Gli attacchi tramite supporti rimovibili possono essere usati per cancellare i dati sul sistema bersaglio (questo può anche includere la crittografia, per esempio nel caso di attacchi ransomware). Questo tipo di attacco rientra nell'art. 144bis SCC. Attacks via removable media can be used to delete data on the target system (this can also include encryption, for example in the case of ransomware attacks). This type of attack falls under Art. 144bis SCC. Angriffe über Wechselmedien können dazu benutzt werden, auf dem Zielsystem Daten zu löschen (darunter kann auch die Verschlüsselung fallen, bspw. bei Ransomeware-Angriffen). Diese Spielart des Angriffs fällt unter Art. 144bis StGB.

Forensics

Forensic Domain	Assessment
Log Files	Angriffe über Wechselmedien können zu einem gewissen Grad anhand der Einträge in Systemlogs nachvollzogen werden. Die allermeisten Betriebssysteme registrieren in irgendeiner Art, dass neue Medien am System angeschlossen oder gar ins System eingehängt wurden. Windows wie auch Linux-Systeme zeichnen das Einstecken z.B. eines USB-Sticks als Event auf. Ausserdem wird aufgezeichnet, zu welchem Zeitpunkt das Dateisystem des Sticks dem Benutzer zur Verfügung gestellt wurde. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Les attaques via des supports amovibles peuvent être suivies dans une certaine mesure grâce aux entrées dans les journaux système. La plupart des systèmes d'exploitation enregistrent d'une manière ou d'une autre que de nouveaux supports ont été connectés au système ou même montés sur le système. Les systèmes Windows et Linux enregistrent l'insertion d'une clé USB, par exemple, comme un événement. Ils enregistrent également le moment où le système de fichiers de la clé a été mis à la disposition de l'utilisateur. - Les attaques via des supports amovibles peuvent être suivies dans une certaine mesure grâce aux entrées dans les journaux système. La plupart des systèmes d'exploitation enregistrent d'une manière ou d'une autre que de nouveaux supports ont été connectés au système ou même montés sur le système. Les systèmes Windows et Linux enregistrent l'insertion d'une clé ... + Gli attacchi tramite supporti rimovibili possono essere rintracciati in una certa misura in base alle voci nei log di sistema. La grande maggioranza dei sistemi operativi registra in qualche modo che nuovi media sono stati collegati al sistema o addirittura montati nel sistema. I sistemi Windows e Linux registrano l'inserimento di una chiavetta USB, per esempio, come un evento. Inoltre, viene registrato il momento in cui il file system della chiavetta è stato reso disponibile all'utente. - Gli attacchi tramite supporti rimovibili possono essere rintracciati in una certa misura in base alle voci nei log di sistema. La grande maggioranza dei sistemi operativi registra in qualche modo che nuovi media sono stati collegati al sistema o addirittura montati nel sistema. I sistemi Windows e Linux registrano l'inserimento di una chiavetta USB, per ... + Attacks via removable media can be traced to a certain extent on the basis of entries in system logs. The vast majority of operating systems register in some way that new media have been connected to the system or even mounted in the system. Windows as well as Linux systems record the insertion of e.g. a USB stick as an event. In addition, it is recorded at which time the file system of the stick was made available to the user.
HIDS/Host	HIDS detektieren ans System angeschlossene Datenträger oder das Einhängen von Datenträgern häufig dadurch, dass sie die Systemprotokolle monitoren. Sinnvollerweise senden HIDS ihre festgestellten Events an einen Logserver, da nicht ausgeschlossen werden kann, dass die HIDS nach einem erfolgreichen Angriff deaktiviert werden, oder im Falle versierterer Angreifer durch Modifikation sprichwörtlich blind gemacht werden, damit die einschlägigen Events nicht mehr weitergeleitet werden, das HIDS aber weiterhin mitteilt, es sei noch aktiv. - HIDS detektieren ans System angeschlossene Datenträger oder das Einhängen von Datenträgern häufig dadurch, dass sie die Systemprotokolle monitoren. Sinnvollerweise senden HIDS ihre festgestellten Events an einen Logserver, da nicht ausgeschlossen werden kann, dass die HIDS nach einem erfolgreichen Angriff deaktiviert werden, oder im Falle versierterer Angreifer durch Modifikation sprichwörtlich blind gemacht werden, damit die einschlägigen Events nicht mehr weitergeleitet werden ... + Les HIDS détectent souvent les disques connectés au système ou le montage de disques en surveillant les journaux du système. Il est préférable que les HIDS envoient les événements qu'ils détectent à un serveur de logs, car il n'est pas exclu que les HIDS soient désactivés après une attaque réussie ou, dans le cas d'attaquants plus expérimentés, qu'ils soient littéralement rendus aveugles par modification, de sorte que les événements pertinents ne soient plus transmis, mais que le HIDS continue à indiquer qu'il est encore actif. - Les HIDS détectent souvent les disques connectés au système ou le montage de disques en surveillant les journaux du système. Il est préférable que les HIDS envoient les événements qu'ils détectent à un serveur de logs, car il n'est pas exclu que les HIDS soient désactivés après une attaque réussie ou, dans le cas d'attaquants ... + L'HIDS spesso rileva i volumi attaccati al sistema o il montaggio di volumi monitorando i log di sistema. Ha senso che gli HIDS inviino i loro eventi rilevati a un server di log, poiché non si può escludere che gli HIDS vengano disattivati dopo un attacco riuscito o, nel caso di attaccanti più esperti, vengano letteralmente accecati dalla modifica in modo che gli eventi rilevanti non vengano più inoltrati, ma l'HIDS continui a segnalare che è ancora attivo. HIDS often detect volumes attached to the system or the mounting of volumes by monitoring the system logs. It makes sense for HIDS to send their detected events to a log server, since it cannot be ruled out that the HIDS are deactivated after a successful attack or, in the case of more experienced attackers, are literally made blind by modification so that the relevant events are no longer forwarded, but the HIDS continues to report that it is still active.
Data Media	Können die für den Angriff eingesetzten Datenträger sichergestellt werden, können sich durch deren Analyse wertvolle Hinweise auf die Täterschaft, deren Vorgehen und deren Motivation ergeben. Ist Schadsoftware auf den Datenträgern enthalten, die z.B. nach deren Ausführung eine Verbindung zu einem Controlserver aufbaut, lässt sich dieser Controlserver weiterverfolgen und es lässt sich die Kommunikation mit ihm untersuchen. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Si les supports de données utilisés pour l'attaque peuvent être récupérés, leur analyse peut fournir des informations précieuses sur les auteurs, leur mode opératoire et leur motivation. Si les supports de données contiennent un logiciel malveillant qui, par exemple, établit une connexion avec un serveur de contrôle après son exécution, il est possible de suivre ce serveur de contrôle et d'examiner la communication avec lui. Se i supporti dati usati per l'attacco possono essere protetti, la loro analisi può fornire informazioni preziose sugli autori, le loro azioni e la loro motivazione. Se i supporti dati contengono malware che, per esempio, stabilisce una connessione con un server di controllo dopo l'esecuzione, questo server di controllo può essere rintracciato e si può esaminare la comunicazione con esso. If the data carriers used for the attack can be recovered, their analysis can provide valuable information about the perpetrators, their actions and their motivation. If malware is contained on the data carriers, which, for example, establishes a connection to a control server after execution, this control server can be traced and the communication with it can be investigated.

ID: T1091

Sub-techniques: No sub-techniques

ⓘ

Tactics: Lateral Movement, Initial Access

ⓘ

Platforms: Windows

ⓘ

System Requirements: Removable media allowed, Autorun enabled or vulnerability present that allows for code execution

ⓘ

Permissions Required: User

Version: 1.1

Created: 31 May 2017

Last Modified: 20 July 2021

Translations: DE FR IT EN

Schweizerisches Strafgesetzbuch (StGB)

Relevant Articles:

Art. 143 Abs. 1 StGB (Datenbeschaffung)

Art. 143^bis Abs. 1 StGB (Hacking)

Art. 144^bis Ziff. 1 StGB (Datenbeschädigung)

Relevant Forensic Domains:

Log Files HIDS/Host Data Media

Provided by LAYER 8

Procedure Examples

ID	Name	Description
S0092	Agent.btz	Agent.btz drops itself onto removable media devices and creates an autorun.inf file with an instruction to run that file. When the device is inserted into another system, it opens autorun.inf and loads the malware.^[1]
G0007	APT28	APT28 uses a tool to infect connected USB devices and transmit itself to air-gapped computers when the infected USB device is inserted.^[2]
S0023	CHOPSTICK	Part of APT28's operation involved using CHOPSTICK modules to copy itself to air-gapped machines and using files written to USB sticks to transfer data and command traffic.^[3]^[2]
S0608	Conficker	Conficker variants used the Windows AUTORUN feature to spread through USB propagation.^[4]^[5]
S0115	Crimson	Crimson can spread across systems by infecting removable media.^[6]
G0012	Darkhotel	Darkhotel's selective infector modifies executables stored on removable media as a method of spreading across computers.^[7]
S0062	DustySky	DustySky searches for removable media and duplicates itself onto it.^[8]
S0143	Flame	Flame contains modules to infect USB sticks and spread laterally to other Windows systems the stick is plugged into using Autorun functionality.^[9]
S0132	H1N1	H1N1 has functionality to copy itself to removable media.^[10]
G0129	Mustang Panda	Mustang Panda has used a customized PlugX variant which could spread through USB connections.^[11]
S0385	njRAT	njRAT can be configured to spread via removable drives.^[12]^[13]
S0650	QakBot	QakBot has the ability to use removable drives to spread through compromised networks.^[14]
S0458	Ramsay	Ramsay can spread itself by infecting other portable executable files on removable drives.^[15]
S0028	SHIPSHAPE	APT30 may have used the SHIPSHAPE malware to move onto air-gapped networks. SHIPSHAPE targets removable drives to spread to other systems by modifying the drive to use Autorun to execute or by hiding legitimate document files and copying an executable to the folder with the same name as the legitimate document.^[16]
S0603	Stuxnet	Stuxnet can propagate via removable media using an autorun.inf file or the CVE-2010-2568 LNK vulnerability.^[17]
G0081	Tropic Trooper	Tropic Trooper has attempted to transfer USBferry from an infected USB device by copying an Autorun function to the target machine.^[18]
S0130	Unknown Logger	Unknown Logger is capable of spreading to USB devices.^[19]
S0386	Ursnif	Ursnif has copied itself to and infected removable drives for propagation.^[20]^[21]
S0452	USBferry	USBferry can copy its installer to attached USB storage devices.^[18]
S0136	USBStealer	USBStealer drops itself onto removable media and relies on Autorun to execute the malicious file when a user opens the removable media on another system.^[22]

Mitigations

ID	Mitigation	Description
M1040	Behavior Prevention on Endpoint	On Windows 10, enable Attack Surface Reduction (ASR) rules to block unsigned/untrusted executable files (such as .exe, .dll, or .scr) from running from USB removable drives. ^[23]
M1042	Disable or Remove Feature or Program	Disable Autorun if it is unnecessary. ^[24] Disallow or restrict removable media at an organizational policy level if it is not required for business operations. ^[25]
M1034	Limit Hardware Installation	Limit the use of USB devices and removable media within a network.

Detection

ID	Data Source	Data Component
DS0016	Drive	Drive Creation
DS0022	File	File Access
		File Creation
DS0009	Process	Process Creation

Monitor file access on removable media. Detect processes that execute from removable media after it is mounted or when initiated by a user. If a remote access tool is used in this manner to move laterally, then additional actions are likely to occur after execution, such as opening network connections for Command and Control and system and network information Discovery.

Überwachen Sie den Dateizugriff auf Wechselmedien. Erkennen Sie Prozesse, die von Wechseldatenträgern ausgeführt werden, nachdem diese eingehängt wurden oder wenn sie von einem Benutzer initiiert wurden. Wenn ein Fernzugriffs-Tool auf diese Weise verwendet wird, um sich seitlich zu bewegen, dann werden nach der Ausführung wahrscheinlich zusätzliche Aktionen durchgeführt, wie das Öffnen von Netzwerkverbindungen für Command and Control und die Ermittlung von System- und Netzwerkinformationen.

Surveillez l'accès aux fichiers sur les supports amovibles. Détectez les processus qui s'exécutent à partir d'un support amovible après son montage ou lorsqu'il est initié par un utilisateur. Si un outil d'accès à distance est utilisé de cette manière pour se déplacer latéralement, d'autres actions sont susceptibles de se produire après l'exécution, comme l'ouverture de connexions réseau pour la commande et le contrôle et la découverte d'informations système et réseau.

Monitorare l'accesso ai file su supporti rimovibili. Rileva i processi che vengono eseguiti da supporti removibili dopo che sono stati montati o quando vengono iniziati da un utente. Se uno strumento di accesso remoto viene usato in questo modo per muoversi lateralmente, è probabile che si verifichino ulteriori azioni dopo l'esecuzione, come l'apertura di connessioni di rete per Command and Control e Discovery di informazioni di sistema e di rete.