Como detectar um Ducky de borracha USB?

17

Três semanas atrás, minha empresa solicitou muito hardware (hardware real, não relacionado a TI) da China.

Hoje, a garota do armazém vem ao meu escritório e diz que, misturada ao material, encontrou uma unidade USB dizendo: "Lihuiyu Studio Labs 2012.10.25"

Curioso,eutiveumareaçãocomo"YAY! Um drive USB grátis! Vamos ver o que tem dentro!" e estupidamente plugado na minha máquina principal, e fiquei chocado ao descobrir que ele é detectado como um HID USB e teclado.

Paralisado pelo choque, esperei 20-30 segundos antes de removê-lo.

Nada aconteceu na tela, um dispositivo USB Rubber Ducky deve mostrar algo na tela, certo? Não há como comprometer o sistema da nossa empresa com alguns comandos de velocidade da luz impossíveis de serem vistos a olho nu, certo?

Pergunta principal:

Existe alguma maneira de proteger os sistemas Windows de dispositivos USB como este?

Precisamos conectar centenas de unidades USB diferentes toda semana, portanto, remover / desativar o suporte a USB não é uma opção

Pergunta secundária:

Como posso ver o que esse dispositivo USB está realmente fazendo?

    
por Magnetic_dud 12.12.2012 / 12:14

4 respostas

1

Não há perigo em inserir este dispositivo no seu computador. É apenas um dongle para um conjunto de software de gravação a laser chamado WingraverXP fornecido com algumas máquinas a laser econômicas. Eu tenho uma das máquinas e é fornecido com um stick USB idêntico.

    
por 31.12.2012 / 18:25
17

Na mesma linha do que sua mãe pode ter dito a você quando criança sobre aceitar pacotes de estranhos, quando você encontra uma estranha unidade USB em um depósito cheio de chaves de fenda chinesas, ou o que quer que ela seja, não conecte-o a um computador que faça parte da rede da sua empresa . Ever.

Essa é realmente a melhor maneira de "proteger os sistemas Windows a partir de dispositivos USB como este". Tendo dito isso, como James disse nos comentários, os primeiros e óbvios métodos de ataque seriam bloqueados desativando o recurso de execução automática da unidade removível, mas se alguém realmente quiser prejudicar um computador, tenho certeza que um hacker talentoso poderia fazer então sem a execução automática ativada.

Da próxima vez que você tiver um estranho pendrive USB caindo do céu e quiser ver o que é, você o conecta a um computador que não faz parte de nenhuma rede, não tem conexão com a internet nem dados críticos.

Agora, há chances de que haja um docker irado em algum lugar na costa da China, lamentando a perda de seu teclado sem fio, nada de ruim na unidade e absolutamente nada de errado com seu computador. Como regra geral, você não conecta dispositivos estranhos a redes.

UPDATE

Eu não acho que há uma maneira de realmente detectar um patinho de borracha. A boa notícia é que a mais conhecida não se parece com a foto que você postou. Por outro lado, o que a hipotética USB faz depende inteiramente de sua carga útil e não pode ser previsto. Não haverá, portanto, uma maneira sólida de checar, já que você não pode saber de antemão o que tentou fazer.

    
por 12.12.2012 / 13:43
6

Se a sua unidade realmente se identifica como um teclado, a maneira mais segura de determinar quais pressionamentos de tecla ela envia provavelmente é um registrador de teclado USB de hardware. Você pode obter aqueles em toda a internet, apenas google "usb keyboard logger".

Naturalmente, isso não impede que o dispositivo não identificado realmente envie pressionamentos de teclas para o sistema no qual você está conectando, portanto, você não deve fazer isso em um sistema de produção.

Como você provavelmente não deseja desativar o suporte a dispositivos HID e de teclado USB, não acho que você possa fazer nada para evitar esses ataques, além de não conectar dispositivos não confiáveis ao seu computador.

EDIT: Desde que eu sou incapaz de comentar sobre as outras respostas: Desativar a execução automática só impede a execução automática de arquivos na unidade USB conectada. No entanto, se esse dispositivo se identificar como um teclado, ele provavelmente enviará pressionamentos de tecla e não oferecerá arquivos. Desativar a execução automática não protege você contra pressionamentos de teclas.

    
por 12.12.2012 / 14:46
1

Penteract Detector de Teclado Disfarçado

Bloqueia a tela quando detecta que um teclado foi conectado.

    
por 20.11.2017 / 14:11

Tags