Как обнаружить USB резинового утенка?

17

Три недели назад моя компания заказала много оборудования (реального оборудования, не связанного с ИТ) из Китая.

Сегодня девушка со склада приходит ко мне в офис и говорит, что, перепутав вещи, она нашла белый USB- диск с надписью «Lihuiyu Studio Labs 2012.10.25»

USB-накопитель

Любопытно, у меня была реакция типа «ДА! Свободный USB-накопитель! Посмотрим, что внутри!» и тупо подключил мою основную машину, и я был шокирован, обнаружив, что она обнаружена как USB HID и клавиатура.

Парализованный от шока, я ждал 20-30 секунд, прежде чем снять его.

На экране ничего не происходило, устройство типа USB Rubber Ducky должно показывать что-то на экране, верно? Нет никакого способа, которым это скомпрометировало бы систему нашей компании некоторыми командами скорости света, которые невозможно увидеть невооруженным глазом, верно?

Основной вопрос:

Есть ли способ защитить системы Windows от таких USB-устройств?

Мы должны подключать сотни различных USB-накопителей каждую неделю, поэтому отключение / отключение поддержки USB не является вариантом

Вторичный вопрос:

Как узнать, что на самом деле делает это USB-устройство?

usb hid Magnetic_dud
источник
8
Если это запрограммированная клавиатура, независимо от того, отключен ли автозапуск, она может выполнить любую команду и обойти UAC
Magnetic_dud
Да, я думаю, что команды будут видны
Magnetic_dud
3
@ Джеймс, почему в мире они будут видны? Команда может удалять файлы, создавать их, отправлять электронные письма, открывать черный ход в вашей системе. Ничто из этого не приведет к появлению окна на вашем экране.
Тердон
7
USB Rubber Ducky является USB HID устройство , с которым «каждый способен ремесленных полезных нагрузок с возможностью изменения параметров системы, открытие задних дверей, извлечения данных, инициируя обратные оболочки, или в основном все , что может быть достигнуто с физическим доступом - все автоматизировано и выполнено в считанные секунды. "
RedGrittyBrick
1
There is nothing that could be done to protect Windows systems from USB devices like this? Конечно, не включайте ничего подозрительного. Может быть, это слишком очевидно. How I could see what this USB device is really doing? Используйте карантинную приманку вместо подключенной производственной системы. Опять же, возможно, слишком очевидно; лес за деревьями вроде вещей…
Synetech

Ответы:

1

Вставка этого устройства в компьютер не представляет опасности. Это всего лишь ключ для набора программного обеспечения для лазерных граверов WingraverXP, который поставляется с некоторыми бюджетными лазерными станками. У меня есть одна из машин, и она поставляется с идентичной флешкой.

Эствик Джордж
источник
Круто, я получил бесплатный ключ для программного обеспечения для управления машиной, которой у меня нет :)
Magnetic_dud
11
Слава богу, никто не изобрел способ поместить более одного типа устройства в один и тот же тип корпуса или запрограммировать устройства для выполнения более чем одной задачи.
Роб Мойр
1
Если бы я был компьютерным взломщиком, я бы положил резинового утенка в футляр, который бы побудил вас подключить его.
ctrl-alt-delor
1
Нет-нет-нет-нет-нет!!! пожалуйста, НЕ слушайте этот ответ! Тердон прав. Я не могу поверить, что это помечено как ответ ...
MiaoHatola
17

Аналогично тому, что ваша мать, возможно, рассказывала вам в раннем детстве о приеме посылок от незнакомцев, когда вы обнаруживаете странный USB-накопитель на складе, заполненном китайскими отвертками, или каким бы то ни было, не подключайте его к компьютер, который является частью сети вашей компании . Когда-либо.

Это действительно лучший способ «защиты систем Windows от таких USB-устройств». Сказав, что, как сказал Джеймс в комментариях, первый и очевидный способ атаки будет заблокирован отключением функции автозапуска съемного диска, но если кто-то действительно хочет навредить компьютеру, я уверен, что талантливый хакер мог бы сделать так что без автоматического запуска.

В следующий раз, когда у вас вот так странно падает USB-флешка и вы хотите увидеть, что это такое, вы подключаете его к компьютеру, который не является частью какой-либо сети, не имеет подключения к Интернету и не имеет важных данных.

Теперь есть вероятность, что где-то на берегах Китая есть разгневанный докер, оплакивающий потерю его беспроводной клавиатуры, в нем нет ничего гнусного и абсолютно ничего плохого в вашем компьютере. Однако, как правило, странные устройства не подключаются к сетям.

ОБНОВИТЬ

Я не думаю, что есть способ обнаружить резинового утенка. Хорошей новостью является то, что самый известный не похож на фотографию, которую вы опубликовали. С другой стороны, то, что делает гипотетическая USB-птица, полностью зависит от ее полезной нагрузки и не может быть предсказано. Следовательно, не будет надежного способа проверки, так как вы не можете заранее знать, что он пытался сделать.

terdon
источник
I don't think there is a way of actually detecting a rubber ducky.- частично верно. Смотри мой ответ.
User42
6

Если ваш диск действительно идентифицируется как клавиатура, самый безопасный способ определить, какие нажатия клавиш он посылает, - это, вероятно, аппаратный USB-клавиатурный регистратор. Вы можете получить их по всему интернету, просто Google "клавиатурный шпиона USB".

Конечно, это не мешает неопознанному устройству фактически отправлять нажатия клавиш в систему, в которую вы его подключаете, поэтому вам не следует делать это в производственной системе.

Поскольку вы, вероятно, не хотите отключать поддержку USB HID и клавиатурных устройств, я не думаю, что вы можете что-то сделать, чтобы предотвратить такие атаки, кроме как не подключать ненадежные устройства к вашей машине.

РЕДАКТИРОВАТЬ: Поскольку я не могу комментировать другие ответы: Отключение автозапуска только предотвращает автоматическое выполнение файлов на подключенном USB-накопителе. Однако, если это устройство идентифицируется как клавиатура, оно, скорее всего, отправит нажатия клавиш и не предложит вам файлы. Отключение автоматического запуска не защищает вас от нажатия клавиш.

Крис
источник
Кейлоггинг, как и в случае с обычным USB-регистратором, таким как KeyGrabber, является хорошим дополнением к использованию надежного устройства для тестирования найденного USB-накопителя.
Рондо