Come rilevare un USB Rubber Ducky?


17

Tre settimane fa la mia azienda ha ordinato un sacco di hardware (hardware reale, non relativo all'IT) dalla Cina.

Oggi, la ragazza del magazzino viene nel mio ufficio e dice che, mescolati in quella roba, ha trovato un USB bianco un'unità dicendo "Lihuiyu Studio Labs 2012/10/25"

chiavetta USB

Curioso, ho avuto una reazione come "YAY! Un'unità USB libera! Vediamo cosa c'è dentro!" e stupidamente collegato alla mia macchina principale, e sono rimasto scioccato nello scoprire che è stato rilevato come un HID USB e una tastiera.

Paralizzato dallo shock, ho aspettato 20-30 secondi prima di rimuoverlo.

Non è successo nulla sullo schermo, un dispositivo USB simile a una gomma Ducky dovrebbe mostrare qualcosa sullo schermo, giusto? Non c'è modo che abbia compromesso il nostro sistema aziendale con alcuni comandi di velocità della luce impossibili da vedere ad occhio nudo, giusto?

Domanda principale:

Esiste un modo per proteggere i sistemi Windows da dispositivi USB come questo?

Dobbiamo collegare centinaia di diverse unità USB ogni settimana, quindi rimuovere / disabilitare il supporto USB non è un'opzione

Domanda secondaria:

Come posso vedere cosa sta realmente facendo questo dispositivo USB?


8
Se è una tastiera programmata, indipendentemente dal fatto che l'esecuzione automatica sia diasbled, può eseguire qualsiasi comando E bypassare UAC
Magnetic_dud

Sì, penso che i comandi saranno visibili
Magnetic_dud

3
@James, perché nel mondo sarebbero visibili? Un comando può eliminare file, crearli, inviare e-mail, aprire una backdoor al tuo sistema. Niente di tutto ciò farebbe apparire una finestra sullo schermo.
terdon,

7
Un USB Rubber Ducky è un dispositivo USB HID con il quale "chiunque è in grado di creare payload in grado di modificare le impostazioni di sistema, aprire backdoor, recuperare dati, avviare shell inverse o praticamente qualsiasi cosa che si possa ottenere con l'accesso fisico - tutto automatizzato e eseguito in pochi secondi ".
RedGrittyBrick

1
There is nothing that could be done to protect Windows systems from USB devices like this? Certo, non collegare nulla di sospetto. Forse è troppo ovvio. How I could see what this USB device is really doing? Utilizzare un honeypot in quarantena anziché un sistema di produzione collegato. Ancora una volta, forse troppo ovvio; foresta per le specie di alberi ...
Synetech,

Risposte:


1

Non c'è pericolo con l'inserimento di questo dispositivo nel tuo computer. È solo un dongle per una suite di software per incisori laser chiamata WingraverXP fornita con alcune macchine laser economiche. Ho una delle macchine ed è fornita con una chiavetta USB identica.


Bene, ho un dongle gratuito per un software per il controllo di una macchina che non possiedo :)
Magnetic_dud

11
Per fortuna nessuno ha inventato un modo per mettere più di un tipo di dispositivo nello stesso tipo di involucro o per programmare i dispositivi per fare più di una cosa.
Rob Moir

1
Se fossi un cracker di computer, metterei un papero di gomma in un caso, questo ti incoraggerebbe a collegarlo.
ctrl-alt-delor

1
No no no no no !!! per favore NON ascoltare questa risposta! terdon è corretto. Non riesco a credere che questo sia contrassegnato come la risposta ...
MiaoHatola

17

Allo stesso modo di quello che tua madre potrebbe averti detto da bambino sull'accettazione di pacchi da estranei, quando trovi una strana chiavetta USB in un magazzino pieno di cacciaviti cinesi, o qualunque cosa accada, non collegarlo a un computer che fa parte della rete della tua azienda . Mai.

Questo è davvero il modo migliore di "proteggere i sistemi Windows da dispositivi USB come questo". Detto questo, come ha detto James nei commenti, i primi e ovvi metodi di attacco sarebbero bloccati disattivando la funzione di esecuzione automatica dell'unità rimovibile, ma se qualcuno vuole davvero danneggiare un computer, sono sicuro che un hacker di talento potrebbe fare quindi senza l'esecuzione automatica abilitata.

La prossima volta che una bizzarra chiavetta USB cade dal cielo in quel modo e vuoi vedere di cosa si tratta, la colleghi a un computer che non fa parte di alcuna rete, non ha una connessione a Internet e nessun dato critico.

Ora, è probabile che ci sia un docker irato da qualche parte sulle rive della Cina che lamenta la perdita della sua tastiera wireless, niente di dannoso nell'unità e assolutamente nulla di sbagliato nel tuo computer. Come regola generale, tuttavia, non si collegano dispositivi strani alle reti.

AGGIORNARE

Non penso che ci sia un modo per rilevare effettivamente un papero di gomma. La buona notizia è che il più noto non assomiglia all'immagine che hai pubblicato. D'altra parte, ciò che fa l'ipotetico pollame USB dipende interamente dal suo carico utile e non può essere previsto. Pertanto, non ci sarà un modo solido di controllo poiché non puoi sapere in anticipo cosa ha tentato di fare.


I don't think there is a way of actually detecting a rubber ducky.- parzialmente vero. Vedi la mia risposta
Utente42

6

Se l'unità si identifica davvero come una tastiera, il modo più sicuro per determinare quali sequenze di tasti invia è probabilmente un logger per tastiera USB hardware. Puoi ottenerli su Internet, semplicemente google "logger tastiera usb".

Naturalmente, ciò non impedisce al dispositivo non identificato di inviare effettivamente sequenze di tasti al sistema in cui lo si sta collegando, quindi non è necessario farlo su un sistema di produzione.

Dal momento che probabilmente non vuoi disabilitare il supporto per USB HID e dispositivi a tastiera, non penso che ci sia qualcosa che puoi fare per prevenire tali attacchi, oltre a non collegare dispositivi non attendibili al tuo computer.

EDIT: poiché non sono in grado di commentare le altre risposte: la disabilitazione dell'esecuzione automatica impedisce solo l'esecuzione automatica dei file sull'unità USB collegata. Tuttavia, se questo dispositivo si identifica come una tastiera, probabilmente invierà sequenze di tasti e non offrirà file. La disabilitazione della corsa automatica non ti protegge dalle sequenze di tasti.


Il keylogging, come con un logger USB passthru come KeyGrabber, è una buona aggiunta all'uso di un dispositivo sicuro per testare la chiavetta USB trovata.
Rondo,

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.