Vor drei Wochen hat meine Firma eine Menge Hardware (echte Hardware, nicht IT-bezogen) aus China bestellt.
Heute kommt das Lagerhausmädchen in mein Büro und sagt, dass sie, gemischt mit dem Zeug, einen weißen USB- Stick mit der Aufschrift "Lihuiyu Studio Labs 2012.10.25" gefunden hat.
Neugierig, hatte ich eine Reaktion wie "YAY! Ein freies USB-Laufwerk! Mal sehen, was drin ist!" und steckte dummerweise mein Hauptgerät an, und ich war schockiert zu entdecken, dass es als USB-HID und Tastatur erkannt wird.
Gelähmt von dem Schock wartete ich 20 bis 30 Sekunden, bevor ich ihn entfernte.
Auf dem Bildschirm ist nichts passiert, ein USB Rubber Ducky-ähnliches Gerät sollte etwas auf dem Bildschirm anzeigen, oder? Es gibt keine Möglichkeit, unser Unternehmenssystem mit einigen Lichtgeschwindigkeitsbefehlen zu kompromittieren, die mit bloßem Auge nicht zu sehen sind, oder?
Hauptfrage:
Gibt es eine Möglichkeit, Windows-Systeme vor solchen USB-Geräten zu schützen?
Wir müssen jede Woche Hunderte verschiedener USB-Laufwerke anschließen, daher ist das Entfernen / Deaktivieren der USB-Unterstützung keine Option
Sekundäre Frage:
Wie kann ich sehen, was dieses USB-Gerät wirklich tut?
There is nothing that could be done to protect Windows systems from USB devices like this?
Sicher, schließen Sie nichts Verdächtiges an. Vielleicht ist das zu offensichtlich.How I could see what this USB device is really doing?
Verwenden Sie einen Honeypot in Quarantäne anstelle eines angeschlossenen Produktionssystems. Wieder vielleicht zu offensichtlich; Wald für die Bäume Art der Sache ...Antworten:
Es besteht keine Gefahr, dieses Gerät in Ihren Computer einzusetzen. Es ist nur ein Dongle für eine Software-Suite für Lasergravierer namens WingraverXP, die mit einigen preisgünstigen Lasermaschinen geliefert wird. Ich habe eine der Maschinen und sie wird mit einem identischen USB-Stick geliefert.
quelle
In ähnlicher Weise, wie es Ihnen Ihre Mutter als kleines Kind über die Annahme von Paketen von Fremden erzählt hat, sollten Sie ein seltsames USB-Laufwerk in einem mit chinesischen Schraubenziehern gefüllten Lagerhaus oder was immer es auch sein mag, nicht anschließen Ein Computer, der Teil des Netzwerks Ihres Unternehmens ist . Je.
Das ist wirklich der beste Weg, "Windows-Systeme vor solchen USB-Geräten zu schützen". Wie James in den Kommentaren sagte, würden die ersten und offensichtlichen Angriffsmethoden durch Deaktivieren der Funktion zum automatischen Ausführen von Wechseldatenträgern blockiert, aber wenn jemand wirklich einen Computer beschädigen möchte, könnte dies sicher ein talentierter Hacker tun also ohne das auto-run aktiviert.
Wenn Sie das nächste Mal einen seltsamen USB-Stick vom Himmel fallen lassen und sehen möchten, was er ist, schließen Sie ihn an einen Computer an, der nicht Teil eines Netzwerks ist, keine Internetverbindung und keine kritischen Daten hat.
Jetzt gibt es wahrscheinlich irgendwo in China einen wütenden Hafenarbeiter, der über den Verlust seiner kabellosen Tastatur klagt. Es befand sich nichts Schändliches im Laufwerk und absolut nichts stimmt mit Ihrem Computer nicht. In der Regel verbinden Sie jedoch keine fremden Geräte mit Netzwerken.
AKTUALISIEREN
Ich glaube nicht, dass es eine Möglichkeit gibt, ein Gummiente tatsächlich zu erkennen. Die gute Nachricht ist, dass das bekannteste nicht so aussieht wie das Bild, das Sie gepostet haben. Auf der anderen Seite hängt das, was das hypothetische USB-Geflügel tut, vollständig von seiner Nutzlast ab und kann nicht vorhergesagt werden. Es wird daher keine wirklich solide Art der Überprüfung geben, da Sie nicht im Voraus wissen können, was versucht wurde.
quelle
I don't think there is a way of actually detecting a rubber ducky.
- teilweise wahr. Siehe meine Antwort.Wenn sich Ihr Laufwerk wirklich als Tastatur identifiziert, ist wahrscheinlich ein Hardware-USB-Tastatur-Logger die sicherste Methode, um festzustellen, welche Tastenanschläge es sendet. Sie können diese über das Internet bekommen, googeln Sie einfach "USB Keyboard Logger".
Dies hindert das nicht identifizierte Gerät natürlich nicht daran, tatsächlich Tastatureingaben an das System zu senden, an das Sie es anschließen. Sie sollten dies also nicht auf einem Produktionssystem tun.
Da Sie die Unterstützung für USB-HID- und Tastaturgeräte wahrscheinlich nicht deaktivieren möchten, gibt es meines Erachtens keine Möglichkeit, solche Angriffe zu verhindern, außer nicht vertrauenswürdige Geräte nicht an Ihren Computer anzuschließen.
BEARBEITEN: Da ich die anderen Antworten nicht kommentieren kann: Durch Deaktivieren von Autostart wird nur die automatische Ausführung von Dateien auf dem angeschlossenen USB-Laufwerk verhindert. Wenn sich dieses Gerät jedoch als Tastatur identifiziert, sendet es wahrscheinlich Tastenanschläge und bietet Ihnen keine Dateien an. Das Deaktivieren der automatischen Ausführung schützt Sie nicht vor Tastenanschlägen.
quelle
Verkleideter Penteract-Tastaturdetektor
Der Bildschirm wird gesperrt, wenn festgestellt wird, dass eine Tastatur angeschlossen ist.
quelle