วิธีการตรวจจับ USB Rubber Ducky

17

สามสัปดาห์ก่อน บริษัท ของฉันสั่งฮาร์ดแวร์จำนวนมาก (ฮาร์ดแวร์จริงไม่ใช่ที่เกี่ยวข้องกับ IT) จากประเทศจีน

วันนี้หญิงสาวคลังสินค้ามาที่สำนักงานของฉันและบอกว่าในสิ่งต่าง ๆ เธอพบไดรฟ์ USB สีขาวพูดว่า "Lihuiyu Studio Labs 2012.10.25"

ยูเอสบีไดรฟ์

อยากรู้อยากเห็นฉันมีปฏิกิริยาเช่น "YAY! ไดรฟ์ USB ฟรี! มาดูกันว่ามีอะไรอยู่ข้างใน!" และเสียบอย่างโง่เขลาในเครื่องหลักของฉันและฉันก็ตกใจที่พบว่ามันถูกตรวจพบว่าเป็น USB HID และแป้นพิมพ์

เป็นอัมพาตจากความตกใจฉันรอ 20-30 วินาทีก่อนที่จะลบมัน

ไม่มีอะไรเกิดขึ้นบนหน้าจออุปกรณ์ USB Rubber Ducky ควรแสดงบางอย่างบนหน้าจอใช่ไหม ไม่มีทางที่มันจะทำให้ระบบของ บริษัท ของเราแย่ลงโดยที่คำสั่ง Lightspeed บางคำเป็นไปไม่ได้ที่จะมองด้วยตาเปล่าใช่ไหม?

คำถามหลัก:

มีวิธีใดบ้างที่จะปกป้องระบบ Windows จากอุปกรณ์ USB เช่นนี้

เราจำเป็นต้องเสียบไดรฟ์ USB ที่แตกต่างกันหลายร้อยตัวทุกสัปดาห์ดังนั้นการถอด / ปิดการใช้งานการสนับสนุน USB จึงไม่ใช่ตัวเลือก

คำถามรอง:

ฉันจะดูได้อย่างไรว่าอุปกรณ์ USB นี้กำลังทำอะไรอยู่

usb hid

— Magnetic_dud
แหล่งที่มา

8

หากเป็นแป้นพิมพ์ที่ตั้งโปรแกรมไว้ไม่ว่าจะปิดใช้งานการทำงานอัตโนมัติหรือไม่ก็ตามก็สามารถเรียกใช้คำสั่งใด ๆ และบายพาส UAC ได้

— Magnetic_dud

ใช่ฉันคิดว่าคำสั่งจะมองเห็นได้

— Magnetic_dud

3

@ James ทำไมพวกเขาถึงมองเห็นในโลก? คำสั่งสามารถลบไฟล์สร้างส่งอีเมลเปิดแบ็คดอร์ไปยังระบบของคุณ สิ่งนี้จะทำให้หน้าต่างปรากฏขึ้นบนหน้าจอของคุณ

— terdon

7

USB ยาง Duckyเป็นอุปกรณ์ USB HID ที่"ทุกคนสามารถที่จะ payloads ฝีมือความสามารถในการเปลี่ยนการตั้งค่าระบบการเปิดประตูหลังเรียกข้อมูลเริ่มต้นเปลือกหอยกลับหรือพื้นอะไรที่สามารถทำได้ด้วยการเข้าถึงทางกายภาพ - ทั้งหมดโดยอัตโนมัติและ ดำเนินการในไม่กี่วินาที "

— RedGrittyBrick

1

There is nothing that could be done to protect Windows systems from USB devices like this? แน่นอนว่าอย่าเสียบอะไรที่น่าสงสัย บางทีมันอาจจะชัดเจนเกินไป How I could see what this USB device is really doing? ใช้ honeypot ที่กักกันไว้แทนที่จะเชื่อมต่อกับระบบการผลิต บางทีอาจชัดเจนเกินไป ป่าสำหรับต้นไม้เรียงลำดับ ...

— ซินเท

1

ไม่มีอันตรายจากการแทรกอุปกรณ์นี้ในคอมพิวเตอร์ของคุณ มันเป็นเพียงดองเกิลสำหรับชุดซอฟต์แวร์แกะสลักเลเซอร์ชื่อ WingraverXP ที่มาพร้อมกับเครื่องเลเซอร์ราคาประหยัด ฉันมีหนึ่งในเครื่องและมันมาพร้อมกับแท่ง USB ที่เหมือนกัน

— เอสวิคจอร์จ
แหล่งที่มา

เยี่ยมมากฉันมีดองเกิลฟรีสำหรับซอฟต์แวร์สำหรับควบคุมเครื่องที่ฉันไม่ได้เป็นเจ้าของ :)

— Magnetic_dud

11

ขอบคุณพระเจ้าที่ไม่มีใครคิดค้นวิธีที่จะนำอุปกรณ์มากกว่าหนึ่งประเภทมาไว้ในเคสชนิดเดียวกันหรือไปยังอุปกรณ์โปรแกรมเพื่อทำสิ่งต่างๆมากกว่าหนึ่งอย่าง

— Rob Moir

1

ถ้าฉันเป็นแครกเกอร์คอมพิวเตอร์ฉันจะเอายางที่รักใส่ลงในกล่องซึ่งจะกระตุ้นให้คุณเสียบเข้าด้วยกัน

— ctrl-alt-delor

1

ไม่ไม่ไม่ไม่ไม่!!! โปรดอย่าฟังคำตอบนี้! terdonถูกต้อง ฉันไม่อยากเชื่อเลยว่านี่จะถูกทำเครื่องหมายเป็นคำตอบ ...

— MiaoHatola

17

ในทำนองเดียวกันกับสิ่งที่แม่ของคุณอาจบอกคุณเมื่อยังเป็นเด็กเกี่ยวกับการรับพัสดุจากคนแปลกหน้าเมื่อคุณพบไดรฟ์ USB ที่แปลกประหลาดในคลังสินค้าที่เต็มไปด้วยไขควงจีนหรือสิ่งที่มันเกิดขึ้นอย่าเสียบเข้ากับ คอมพิวเตอร์ที่เป็นส่วนหนึ่งของเครือข่าย บริษัท ของคุณ เคย

นี่เป็นวิธีที่ดีที่สุดในการ "ปกป้องระบบ Windows จากอุปกรณ์ USB เช่นนี้" ต้องบอกว่าอย่างที่เจมส์พูดในความคิดเห็นวิธีแรกและชัดเจนของการจู่โจมจะถูกบล็อกโดยการปิดคุณลักษณะการเรียกใช้งานอัตโนมัติของไดรฟ์ที่ถอดออกได้ แต่ถ้ามีคนต้องการทำร้ายคอมพิวเตอร์จริงๆผมมั่นใจว่าแฮ็กเกอร์ที่มีความสามารถ ดังนั้นหากไม่มีการเปิดใช้งานการเรียกใช้อัตโนมัติ

ครั้งต่อไปที่คุณมีแท่ง USB แปลก ๆ หล่นลงมาจากท้องฟ้าอย่างนั้นและคุณต้องการดูว่ามันคืออะไรคุณเชื่อมต่อกับคอมพิวเตอร์ที่ไม่ได้เป็นส่วนหนึ่งของเครือข่ายใด ๆ ไม่มีการเชื่อมต่ออินเทอร์เน็ตและไม่มีข้อมูลที่สำคัญ

ตอนนี้โอกาสที่จะมีนักเทียบท่าโมโหอยู่ที่ไหนสักแห่งบนชายฝั่งของจีนที่เสียใจกับการสูญเสียคีย์บอร์ดไร้สายของเขาไม่มีอะไรเลวร้ายอะไรอยู่ในไดรฟ์และไม่มีอะไรผิดปกติกับคอมพิวเตอร์ของคุณ ตามกฎทั่วไปแล้วคุณไม่ต้องเชื่อมต่ออุปกรณ์แปลก ๆ กับเครือข่าย

UPDATE

ฉันไม่คิดว่าจะมีวิธีการตรวจจับยางที่รักจริง ๆ ข่าวดีก็คือคนที่รู้จักกันดีที่สุดนั้นดูไม่เหมือนภาพที่คุณโพสต์ ในทางกลับกันสิ่งที่ USB fowl สมมุติขึ้นอยู่กับน้ำหนักบรรทุกของมันและไม่สามารถคาดการณ์ได้ ดังนั้นจะไม่มีการตรวจสอบที่มั่นคงเนื่องจากคุณไม่สามารถทราบล่วงหน้าได้ว่าจะพยายามทำอะไร

— terdon
แหล่งที่มา

I don't think there is a way of actually detecting a rubber ducky.- จริงบางส่วน ดูคำตอบของฉัน

— 42

6

หากไดรฟ์ของคุณระบุว่าเป็นแป้นพิมพ์วิธีที่ปลอดภัยที่สุดในการพิจารณาการกดแป้นที่ส่งนั้นน่าจะเป็นตัวบันทึกแป้นพิมพ์ของฮาร์ดแวร์ USB คุณสามารถหาได้ทั่วอินเทอร์เน็ตเพียง google "usb keyboard logger"

แน่นอนสิ่งนี้ไม่ได้ป้องกันอุปกรณ์ที่ไม่ได้ระบุไม่ให้ส่งการกดแป้นจริงไปยังระบบที่คุณกำลังเสียบเข้าไปดังนั้นคุณไม่ควรทำสิ่งนี้กับระบบที่ใช้งานจริง

เนื่องจากคุณอาจไม่ต้องการปิดการใช้งานการสนับสนุนสำหรับ USB HID และอุปกรณ์แป้นพิมพ์ฉันไม่คิดว่าจะมีสิ่งใดที่คุณสามารถทำได้เพื่อป้องกันการโจมตีดังกล่าว

แก้ไข: เนื่องจากฉันไม่สามารถแสดงความคิดเห็นในคำตอบอื่น ๆ : การปิดใช้งานการทำงานอัตโนมัติเท่านั้นป้องกันการดำเนินการโดยอัตโนมัติของไฟล์ในไดรฟ์ USB ที่เชื่อมต่อ อย่างไรก็ตามหากอุปกรณ์นี้ระบุว่าเป็นแป้นพิมพ์อุปกรณ์นั้นอาจส่งการกดแป้นและไม่ให้ไฟล์คุณ การปิดใช้งานการเรียกใช้อัตโนมัติไม่ได้ป้องกันคุณจากการกดแป้น

— คริส
แหล่งที่มา

Keylogging เช่นเดียวกับ passthru usb logger เช่น KeyGrabber เป็นส่วนเสริมที่ดีในการใช้อุปกรณ์ที่ปลอดภัย p0wnable เพื่อทดสอบอุปกรณ์ USB ที่พบ

— Rondo

1

Penteract Disguised-Keyboard Detector

มันล็อคหน้าจอเมื่อตรวจพบการเชื่อมต่อแป้นพิมพ์

— User42
แหล่งที่มา