Як виявити USB-гуму Ducky?

17

Три тижні тому моя компанія замовила багато обладнання (справжнє обладнання, не пов'язане з ІТ) з Китаю.

Сьогодні дівчина зі складу приходить до мене в офіс і каже, що, змішавшись з матеріалами, вона знайшла білий USB- привід із написом "Lihuiyu Studio Labs 2012.10.25"

usb drive

Цікаво, у мене була реакція на кшталт "Так! Безкоштовний USB-накопичувач! Подивимося, що всередині!" і тупо підключився до моєї основної машини, і я був шокований, виявивши, що це виявлено як USB HID та клавіатура.

Паралізований від шоку, я зачекав 20-30 секунд, перш ніж його зняти.

На екрані нічого не сталося, пристрій, подібний до гуми USB, повинен щось показувати на екрані, правда? Неможливо, що це поставило під загрозу систему нашої компанії за допомогою декількох команд світлодіодної швидкості, які неможливо побачити неозброєним оком, правда?

Основне питання:

Чи є спосіб захисту систем Windows від таких пристроїв USB?

Нам потрібно підключати сотні різних накопичувачів USB щотижня, тому видалення / відключення підтримки USB - це не варіант

Вторинне запитання:

Як я бачу, що насправді робить цей USB-пристрій?

usb hid

— Magnetic_dud
джерело

8

Якщо це запрограмована клавіатура, незалежно від того, чи автозапуск вимкнено, вона може запустити будь-яку команду ТА обійти UAC

— Magnetic_dud

Так, я думаю, команди будуть видні

— Magnetic_dud

3

@James, чому б у світі їх було видно? Команда може видаляти файли, створювати їх, надсилати електронні листи, відкривати backdoor для вашої системи. Ніщо з цього не призведе до появи вікна на екрані.

— тердон

7

USB Rubber Ducky є USB HID пристрій , з яким «кожен здатний ремісничих корисних навантажень з можливістю зміни параметрів системи, відкриття задніх дверей, вилучення даних, ініціюючи зворотні оболонки, або в основному все , що може бути досягнуто з фізичним доступом - все автоматизовано і виконується за лічені секунди ".

— RedGrittyBrick

1

There is nothing that could be done to protect Windows systems from USB devices like this? Звичайно, не підключайте нічого підозрілого. Можливо, це занадто очевидно. How I could see what this USB device is really doing? Використовуйте карантинний медовий горщик замість підключеної системи виробництва. Знову, можливо, занадто очевидно; ліс для дерев щось подібне…

— Synetech

1

Встановити цей пристрій у комп’ютер немає небезпеки. Це просто ключ до набору програмного забезпечення для лазерного гравірування під назвою WingraverXP, що постачається з деякими бюджетними лазерними машинами. У мене є одна з машин, і вона постачається з однаковою USB-накопичувачем.

— Ествік Джордж
джерело

Класно, я отримав безкоштовний ключ для програмного забезпечення для управління машиною, якою я не володію :)

— Magnetic_dud

11

Слава Богу, ніхто не винайшов спосіб поставити більше одного типу пристроїв у один і той же тип корпусу або запрограмувати пристрої, щоб зробити більше ніж одну справу.

— Роб Моїр

1

Якби я був комп’ютерним зломщиком, я би вклав гумовий дук у футляр, який би спонукав вас підключити його.

— ctrl-alt-delor

1

Ні ні ні ні ні !!! будь ласка, НЕ слухайте цю відповідь! тердон правильний. Я не можу повірити, що це позначено як відповідь ...

— MiaoHatola

17

Аналогічно тому, що ваша мама, можливо, розповіла вам у дитинстві про прийняття пакетів від незнайомих людей, коли ви знайдете дивний USB-накопичувач на складі, наповненому китайськими викрутками, або що б там не сталося, не підключайте його до комп’ютер, який є частиною мережі вашої компанії . Колись.

Це дійсно найкращий спосіб "захистити системи Windows від таких пристроїв USB". Сказавши, що, як сказав Джеймс у коментарях, перші та очевидні методи атаки будуть заблоковані, вимкнувши функцію автоматичного запуску знімного накопичувача, але якщо хтось дійсно хоче завдати шкоди комп’ютеру, я впевнений, що може зробити талановитий хакер тому без ввімкнення автоматичного запуску.

Наступного разу, коли дивний USB-накопичувач падає з неба таким чином, і ви хочете побачити, що це таке, ви підключаєте його до комп'ютера, який не є частиною жодної мережі, не має підключення до Інтернету та немає критичних даних.

Тепер, швидше за все, є десь на березі Китаю розлючений докер, який скаржиться на втрату своєї бездротової клавіатури, нічого прикрого не було в приводі і абсолютно нічого поганого з вашим комп’ютером. Як правило, ви не підключаєте дивні пристрої до мереж.

ОНОВЛЕННЯ

Я не думаю, що існує спосіб насправді виявити гумового каченяти. Хороша новина полягає в тому, що найвідоміший не схожий на фотографію, яку ви розмістили. З іншого боку, те, що робить гіпотетична пташина USB, повністю залежить від її корисної навантаження і не може бути передбачена. Таким чином, не існує надійного способу перевірки, оскільки ви не можете заздалегідь знати, що він намагався зробити.

— тердон
джерело

I don't think there is a way of actually detecting a rubber ducky.- частково вірно. Дивіться мою відповідь.

— Користувач42

6

Якщо ваш привід дійсно ідентифікується як клавіатура, найбезпечніший спосіб визначити, які натискання клавіш він надсилає - це, ймовірно, апаратний USB-реєстратор клавіатури. Ви можете отримати їх по всьому Інтернету, просто google "usb реєстратор клавіатури".

Звичайно, це не заважає невстановленому пристрою фактично надсилати натискання клавіш до системи, в яку ви підключаєте його, тому не слід робити цього у виробничій системі.

Оскільки ви, мабуть, не хочете відключати підтримку USB HID та пристроїв клавіатури, я не думаю, що ви можете зробити що-небудь для запобігання таких атак, крім того, щоб не підключати ненадійні пристрої у вашу машину.

EDIT: Оскільки я не можу коментувати інші відповіді: Вимкнення автоматичного запуску запобігає лише автоматичному виконанню файлів на підключеному USB-накопичувачі. Однак якщо цей пристрій ідентифікує як клавіатуру, він, ймовірно, надсилатиме натискання клавіш і не пропонує вам файли. Вимкнення автоматичного запуску не захищає вас від натискань клавіш.

— Кріс
джерело

Керування брелоками, як і у випадку з passthru usb-реєстратором, як KeyGrabber, є хорошим доповненням до використання безпечного пристрою для перевірки знайденого USB-накопичувача.

— Рондо

1

Детектор замаскованого клавіатури Penteract

Він блокує екран, коли виявляє підключення клавіатури.

— Користувач42
джерело