Как обнаружить USB резинового утенка?
Три недели назад моя компания заказала много оборудования (реального оборудования, не связанного с ИТ) из Китая.
Сегодня девушка со склада приходит ко мне в офис и говорит, что, перепутав вещи, она нашла белый USB- диск с надписью "Lihuiyu Studio Labs 2012.10.25"
Любопытно, у меня была реакция типа "ДА! Свободный USB-накопитель! Посмотрим, что внутри!" и тупо подключил мою основную машину, и я был шокирован, обнаружив, что она обнаружена как USB HID и клавиатура.
Парализованный от шока, я ждал 20-30 секунд, прежде чем снять его.
На экране ничего не происходило, устройство типа USB Rubber Ducky должно показывать что-то на экране, верно? Нет никакого способа, которым это скомпрометировало бы систему нашей компании некоторыми командами скорости света, которые невозможно увидеть невооруженным глазом, верно?
Основной вопрос:
Есть ли способ защитить системы Windows от таких USB-устройств?
Мы должны подключать сотни различных USB-накопителей каждую неделю, поэтому отключение / отключение поддержки USB не является вариантом
Вторичный вопрос:
Как я могу увидеть, что на самом деле делает это USB-устройство?
4 ответа
Вставка этого устройства в компьютер не представляет опасности. Это всего лишь ключ для набора программного обеспечения для лазерных граверов WingraverXP, который поставляется с некоторыми бюджетными лазерными станками. У меня есть одна из машин, и она поставляется с идентичной флешкой.
Аналогично тому, что ваша мать, возможно, рассказывала вам в раннем детстве о приеме посылок от незнакомцев, когда вы обнаруживаете странный USB-накопитель на складе, заполненном китайскими отвертками, или каким бы то ни было, не подключайте его к компьютер, который является частью сети вашей компании. Когда-либо.
Это действительно лучший способ "защиты систем Windows от таких USB-устройств". Сказав, что, как сказал Джеймс в комментариях, первый и очевидный способ атаки будет заблокирован отключением функции автозапуска съемного диска, но если кто-то действительно хочет навредить компьютеру, я уверен, что талантливый хакер мог бы сделать так что без автоматического запуска.
В следующий раз, когда у вас вот так странно падает USB-флешка, и вы хотите увидеть, что это такое, вы подключаете его к компьютеру, который не является частью какой-либо сети, не имеет подключения к Интернету и не имеет важных данных.
Теперь есть вероятность, что где-то на берегах Китая есть разгневанный докер, оплакивающий потерю его беспроводной клавиатуры, в нем нет ничего гнусного и абсолютно ничего плохого в вашем компьютере. Однако, как правило, странные устройства не подключаются к сетям.
ОБНОВИТЬ
Я не думаю, что есть способ обнаружить резинового утенка. Хорошей новостью является то, что самый известный не похож на фотографию, которую вы опубликовали. С другой стороны, то, что делает гипотетическая USB-птица, полностью зависит от ее полезной нагрузки и не может быть предсказано. Следовательно, не будет надежного способа проверки, так как вы не можете заранее знать, что он пытался сделать.
Если ваш диск действительно идентифицируется как клавиатура, самый безопасный способ определить, какие нажатия клавиш он посылает, - это, вероятно, аппаратный USB-клавиатурный регистратор. Вы можете получить их по всему интернету, просто Google "клавиатурный шпиона USB".
Конечно, это не мешает неопознанному устройству фактически отправлять нажатия клавиш в систему, в которую вы его подключаете, поэтому вам не следует делать это в производственной системе.
Поскольку вы, вероятно, не хотите отключать поддержку USB HID и клавиатурных устройств, я не думаю, что вы можете что-то сделать, чтобы предотвратить такие атаки, кроме как не подключать ненадежные устройства к вашей машине.
РЕДАКТИРОВАТЬ: Поскольку я не могу комментировать другие ответы: Отключение автозапуска только предотвращает автоматическое выполнение файлов на подключенном USB-накопителе. Однако, если это устройство идентифицируется как клавиатура, оно, скорее всего, отправит нажатия клавиш и не предложит вам файлы. Отключение автоматического запуска не защищает вас от нажатия клавиш.
Детектор с замаскированной клавиатурой Penteract
Он блокирует экран, когда обнаруживает, что клавиатура подключена.