Jak wykryć gumową kaczkę USB?


17

Trzy tygodnie temu moja firma zamówiła z Chin dużo sprzętu (prawdziwy sprzęt, niezwiązany z IT).

Dziś dziewczyna z magazynu przychodzi do mojego biura i mówi, że zmieszana z rzeczami znalazła biały dysk USB z napisem „Lihuiyu Studio Labs 2012.10.25”

dysk USB

Ciekawe, miałem reakcję typu „TAK! Wolny dysk USB! Zobaczmy, co jest w środku!” i głupio podłączyłem moją główną maszynę, i byłem zszokowany odkryciem, że została wykryta jako USB HID i klawiatura.

Sparaliżowany od szoku, czekałem 20-30 sekund, zanim go usunąłem.

Nic się nie wydarzyło na ekranie, urządzenie przypominające gumową pamięć USB powinno pokazywać coś na ekranie, prawda? Nie ma sposobu, aby zagroził naszemu systemowi firmy z niektórymi poleceniami prędkości światła, których nie można zobaczyć gołym okiem, prawda?

Podstawowe pytanie:

Czy jest jakiś sposób ochrony systemów Windows przed takimi urządzeniami USB?

Musimy co tydzień podłączać setki różnych napędów USB, więc usunięcie / wyłączenie obsługi USB nie jest możliwe

Drugie pytanie:

Jak mogę zobaczyć, co tak naprawdę robi to urządzenie USB?


8
Jeśli jest to zaprogramowana klawiatura, bez względu na to, czy autorun jest diasbled, może uruchomić dowolne polecenie ORAZ ominąć UAC
Magnetic_dud

Tak, myślę, że polecenia będą widoczne
Magnetic_dud

3
@James, dlaczego na świecie mieliby być widoczni? Polecenie może usuwać pliki, tworzyć je, wysyłać e-maile, otwierać tylne drzwi do systemu. Nic z tego nie spowodowałoby wyskakiwania okna na ekranie.
terdon 12.12.12

7
USB Rubber Ducky to urządzenie USB HID z którym „każdy jest w stanie ładunków rzemieślniczych w stanie zmienić ustawienia systemowe, otwierając tylne drzwi, odzyskiwanie danych, inicjowanie odwrotne muszli lub w zasadzie wszystko, co można osiągnąć z dostępem fizycznym - wszystko zautomatyzowane i wykonane w ciągu kilku sekund. ”
RedGrittyBrick,

1
There is nothing that could be done to protect Windows systems from USB devices like this? Jasne, nie podłączaj niczego podejrzanego. Może to zbyt oczywiste. How I could see what this USB device is really doing? Użyj poddanego kwarantannie plastra miodu zamiast podłączonego systemu produkcyjnego. Znów być może zbyt oczywiste; las dla drzew, coś w stylu…
Synetech

Odpowiedzi:


1

Nie ma niebezpieczeństwa po włożeniu tego urządzenia do komputera. To tylko klucz do pakietu oprogramowania do grawerowania laserowego o nazwie WingraverXP dostarczanego z niektórymi niedrogimi urządzeniami laserowymi. Mam jedną z maszyn i jest dostarczana z identyczną pamięcią USB.


Fajnie, dostałem darmowy klucz do oprogramowania do sterowania maszyną, której nie posiadam :)
Magnetic_dud

11
Dzięki Bogu nikt nie wymyślił sposobu, aby umieścić więcej niż jeden typ urządzenia w tej samej obudowie lub zaprogramować urządzenia do wykonywania więcej niż jednej rzeczy.
Rob Moir

1
Gdybym był crackerem komputerowym, włożyłbym gumowego kaczuszka do skrzynki, która zachęciłaby cię do podłączenia.
ctrl-alt-delor

1
Nie nie nie nie nie!!! proszę NIE słuchaj tej odpowiedzi! terdon ma rację. Nie mogę uwierzyć, że jest to oznaczone jako odpowiedź ...
MiaoHatola

17

W sposób podobny do tego, co mama powiedziała ci jako małe dziecko o przyjmowaniu paczek od nieznajomych, gdy w magazynie wypełnionym chińskimi śrubokrętami znajdziesz dziwny dysk USB lub cokolwiek to jest, nie podłączaj go do komputer, który jest częścią sieci Twojej firmy . Zawsze.

To naprawdę najlepszy sposób „ochrony systemów Windows przed takimi urządzeniami USB”. Powiedziawszy to, jak James powiedział w komentarzach, pierwsze i oczywiste metody ataku zostaną zablokowane przez wyłączenie funkcji automatycznego uruchamiania dysku wymiennego, ale jeśli ktoś naprawdę chce wyrządzić krzywdę komputerowi, jestem pewien, że utalentowany haker mógłby to zrobić więc bez włączonego automatycznego uruchamiania.

Następnym razem, gdy spadnie tak dziwny pendrive z nieba i chcesz zobaczyć, co to jest, podłącz go do komputera, który nie jest częścią żadnej sieci, nie ma połączenia z Internetem i nie ma krytycznych danych.

Teraz są szanse, że gdzieś nad brzegiem Chin znajduje się zirytowany doker, który ubolewa nad utratą swojej bezprzewodowej klawiatury, nic złego nie było w napędzie i absolutnie nic nie jest nie tak z komputerem. Zasadniczo jednak nie podłączasz dziwnych urządzeń do sieci.

AKTUALIZACJA

Nie sądzę, że istnieje sposób na wykrycie gumowego kaczuszka. Dobrą wiadomością jest to, że najbardziej znany nie wygląda jak zdjęcie, które opublikowałeś. Z drugiej strony, to, co robi hipotetyczne ptactwo USB, zależy całkowicie od jego ładunku i nie można go przewidzieć. Nie będzie zatem solidnego sposobu sprawdzania, ponieważ nie możesz z góry wiedzieć, co próbował zrobić.


I don't think there is a way of actually detecting a rubber ducky.- częściowo prawda. Zobacz moją odpowiedź.
Użytkownik42

6

Jeśli dysk naprawdę identyfikuje się jako klawiatura, najbezpieczniejszym sposobem ustalenia, które naciśnięcia klawiszy wysyła, jest prawdopodobnie sprzętowy rejestrator klawiatury USB. Możesz uzyskać je w całym Internecie, wystarczy google „rejestrator klawiatury USB”.

Oczywiście nie uniemożliwia to niezidentyfikowanemu urządzeniu wysyłania naciśnięć klawiszy do systemu, do którego podłączasz, więc nie powinieneś tego robić w systemie produkcyjnym.

Ponieważ prawdopodobnie nie chcesz wyłączać obsługi urządzeń USB HID i urządzeń z klawiaturą, nie sądzę, aby można było zrobić coś, aby zapobiec takim atakom, oprócz nie podłączania niezaufanych urządzeń do komputera.

EDYCJA: Ponieważ nie jestem w stanie skomentować innych odpowiedzi: Wyłączenie automatycznego uruchamiania zapobiega tylko automatycznemu wykonywaniu plików na podłączonym dysku USB. Jeśli jednak urządzenie zidentyfikuje się jako klawiatura, prawdopodobnie wyśle ​​naciśnięcia klawiszy i nie zaoferuje plików. Wyłączenie automatycznego uruchamiania nie chroni przed naciśnięciami klawiszy.


Keylogging, podobnie jak w przypadku rejestratora USB typu passsthru, takiego jak KeyGrabber, jest dobrym dodatkiem do użycia bezpiecznego urządzenia p0wnable do testowania znalezionej pamięci USB.
Rondo

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.