Come rilevare un USB Rubber Ducky?

Tre settimane fa la mia azienda ha ordinato un sacco di hardware (hardware reale, non relativo all'IT) dalla Cina.

Oggi, la ragazza del magazzino viene nel mio ufficio e dice che, mescolati in quella roba, ha trovato un USB bianco un'unità dicendo "Lihuiyu Studio Labs 2012/10/25"

Curioso, ho avuto una reazione come "YAY! Un'unità USB libera! Vediamo cosa c'è dentro!" e stupidamente collegato alla mia macchina principale, e sono rimasto scioccato nello scoprire che è stato rilevato come un HID USB e una tastiera.

Paralizzato dallo shock, ho aspettato 20-30 secondi prima di rimuoverlo.

Non è successo nulla sullo schermo, un dispositivo USB simile a una gomma Ducky dovrebbe mostrare qualcosa sullo schermo, giusto? Non c'è modo che abbia compromesso il nostro sistema aziendale con alcuni comandi di velocità della luce impossibili da vedere ad occhio nudo, giusto?

Domanda principale:

Esiste un modo per proteggere i sistemi Windows da dispositivi USB come questo?

Dobbiamo collegare centinaia di diverse unità USB ogni settimana, quindi rimuovere / disabilitare il supporto USB non è un'opzione

Domanda secondaria:

Come posso vedere cosa sta realmente facendo questo dispositivo USB?

Non c'è pericolo con l'inserimento di questo dispositivo nel tuo computer. È solo un dongle per una suite di software per incisori laser chiamata WingraverXP fornita con alcune macchine laser economiche. Ho una delle macchine ed è fornita con una chiavetta USB identica.

Allo stesso modo di quello che tua madre potrebbe averti detto da bambino sull'accettazione di pacchi da estranei, quando trovi una strana chiavetta USB in un magazzino pieno di cacciaviti cinesi, o qualunque cosa accada, non collegarlo a un computer che fa parte della rete della tua azienda . Mai.

Questo è davvero il modo migliore di "proteggere i sistemi Windows da dispositivi USB come questo". Detto questo, come ha detto James nei commenti, i primi e ovvi metodi di attacco sarebbero bloccati disattivando la funzione di esecuzione automatica dell'unità rimovibile, ma se qualcuno vuole davvero danneggiare un computer, sono sicuro che un hacker di talento potrebbe fare quindi senza l'esecuzione automatica abilitata.

La prossima volta che una bizzarra chiavetta USB cade dal cielo in quel modo e vuoi vedere di cosa si tratta, la colleghi a un computer che non fa parte di alcuna rete, non ha una connessione a Internet e nessun dato critico.

Ora, è probabile che ci sia un docker irato da qualche parte sulle rive della Cina che lamenta la perdita della sua tastiera wireless, niente di dannoso nell'unità e assolutamente nulla di sbagliato nel tuo computer. Come regola generale, tuttavia, non si collegano dispositivi strani alle reti.

AGGIORNARE

Non penso che ci sia un modo per rilevare effettivamente un papero di gomma. La buona notizia è che il più noto non assomiglia all'immagine che hai pubblicato. D'altra parte, ciò che fa l'ipotetico pollame USB dipende interamente dal suo carico utile e non può essere previsto. Pertanto, non ci sarà un modo solido di controllo poiché non puoi sapere in anticipo cosa ha tentato di fare.

Se l'unità si identifica davvero come una tastiera, il modo più sicuro per determinare quali sequenze di tasti invia è probabilmente un logger per tastiera USB hardware. Puoi ottenerli su Internet, semplicemente google "logger tastiera usb".

Naturalmente, ciò non impedisce al dispositivo non identificato di inviare effettivamente sequenze di tasti al sistema in cui lo si sta collegando, quindi non è necessario farlo su un sistema di produzione.

Dal momento che probabilmente non vuoi disabilitare il supporto per USB HID e dispositivi a tastiera, non penso che ci sia qualcosa che puoi fare per prevenire tali attacchi, oltre a non collegare dispositivi non attendibili al tuo computer.

EDIT: poiché non sono in grado di commentare le altre risposte: la disabilitazione dell'esecuzione automatica impedisce solo l'esecuzione automatica dei file sull'unità USB collegata. Tuttavia, se questo dispositivo si identifica come una tastiera, probabilmente invierà sequenze di tasti e non offrirà file. La disabilitazione della corsa automatica non ti protegge dalle sequenze di tasti.

Rilevatore tastiera mascherata penteract

Blocca lo schermo quando rileva che è stata collegata una tastiera.