Wie erkennt man einen USB Rubber Ducky?

17

Vor drei Wochen hat meine Firma eine Menge Hardware (echte Hardware, nicht IT-bezogen) aus China bestellt.

Heute kommt das Lagerhausmädchen in mein Büro und sagt, dass sie, gemischt mit dem Zeug, einen weißen USB- Stick mit der Aufschrift "Lihuiyu Studio Labs 2012.10.25" gefunden hat.

USB Laufwerk

Neugierig, hatte ich eine Reaktion wie "YAY! Ein freies USB-Laufwerk! Mal sehen, was drin ist!" und steckte dummerweise mein Hauptgerät an, und ich war schockiert zu entdecken, dass es als USB-HID und Tastatur erkannt wird.

Gelähmt von dem Schock wartete ich 20 bis 30 Sekunden, bevor ich ihn entfernte.

Auf dem Bildschirm ist nichts passiert, ein USB Rubber Ducky-ähnliches Gerät sollte etwas auf dem Bildschirm anzeigen, oder? Es gibt keine Möglichkeit, unser Unternehmenssystem mit einigen Lichtgeschwindigkeitsbefehlen zu kompromittieren, die mit bloßem Auge nicht zu sehen sind, oder?

Hauptfrage:

Gibt es eine Möglichkeit, Windows-Systeme vor solchen USB-Geräten zu schützen?

Wir müssen jede Woche Hunderte verschiedener USB-Laufwerke anschließen, daher ist das Entfernen / Deaktivieren der USB-Unterstützung keine Option

Sekundäre Frage:

Wie kann ich sehen, was dieses USB-Gerät wirklich tut?

usb hid Magnetic_dud
quelle
8
Wenn es sich um eine programmierte Tastatur handelt, kann sie jeden Befehl ausführen UND die UAC umgehen
Magnetic_dud
Ja, ich denke, die Befehle werden sichtbar sein
Magnetic_dud
3
@ James, warum in aller Welt würden sie sichtbar sein? Ein Befehl kann Dateien löschen, erstellen, E-Mails senden und eine Hintertür zu Ihrem System öffnen. Nichts davon würde dazu führen, dass ein Fenster auf Ihrem Bildschirm erscheint.
Terdon
7
Ein USB Rubber Ducky ist ein USB - HID - Gerät, mit dem "jeder in der Lage ist, Nutzdaten zu erstellen, die Systemeinstellungen ändern, Hintertüren öffnen, Daten abrufen, Reverse Shells einleiten oder im Grunde alles, was mit physischem Zugriff erreicht werden kann - alles automatisiert und in wenigen Sekunden ausgeführt. "
RedGrittyBrick
1
There is nothing that could be done to protect Windows systems from USB devices like this? Sicher, schließen Sie nichts Verdächtiges an. Vielleicht ist das zu offensichtlich. How I could see what this USB device is really doing? Verwenden Sie einen Honeypot in Quarantäne anstelle eines angeschlossenen Produktionssystems. Wieder vielleicht zu offensichtlich; Wald für die Bäume Art der Sache ...
Synetech

Antworten:

1

Es besteht keine Gefahr, dieses Gerät in Ihren Computer einzusetzen. Es ist nur ein Dongle für eine Software-Suite für Lasergravierer namens WingraverXP, die mit einigen preisgünstigen Lasermaschinen geliefert wird. Ich habe eine der Maschinen und sie wird mit einem identischen USB-Stick geliefert.

Estwick George
quelle
Cool, ich habe einen kostenlosen Dongle für eine Software zur Steuerung einer Maschine, die ich nicht besitze :)
Magnetic_dud
11
Gott sei Dank hat niemand eine Möglichkeit erfunden, mehr als einen Gerätetyp in denselben Gehäusetyp zu stecken oder Geräte so zu programmieren, dass sie mehr als eine Aufgabe erfüllen.
Rob Moir
1
Wenn ich ein Computer-Cracker wäre, würde ich ein Gummi-Ducky in ein Gehäuse stecken, das Sie ermutigt, es anzuschließen.
Strg-Alt-Delor
1
Nein nein Nein Nein Nein!!! bitte NICHT hören auf diese Antwort! Terdon ist richtig. Ich kann nicht glauben, dass dies als Antwort markiert ist ...
MiaoHatola
17

In ähnlicher Weise, wie es Ihnen Ihre Mutter als kleines Kind über die Annahme von Paketen von Fremden erzählt hat, sollten Sie ein seltsames USB-Laufwerk in einem mit chinesischen Schraubenziehern gefüllten Lagerhaus oder was immer es auch sein mag, nicht anschließen Ein Computer, der Teil des Netzwerks Ihres Unternehmens ist . Je.

Das ist wirklich der beste Weg, "Windows-Systeme vor solchen USB-Geräten zu schützen". Wie James in den Kommentaren sagte, würden die ersten und offensichtlichen Angriffsmethoden durch Deaktivieren der Funktion zum automatischen Ausführen von Wechseldatenträgern blockiert, aber wenn jemand wirklich einen Computer beschädigen möchte, könnte dies sicher ein talentierter Hacker tun also ohne das auto-run aktiviert.

Wenn Sie das nächste Mal einen seltsamen USB-Stick vom Himmel fallen lassen und sehen möchten, was er ist, schließen Sie ihn an einen Computer an, der nicht Teil eines Netzwerks ist, keine Internetverbindung und keine kritischen Daten hat.

Jetzt gibt es wahrscheinlich irgendwo in China einen wütenden Hafenarbeiter, der über den Verlust seiner kabellosen Tastatur klagt. Es befand sich nichts Schändliches im Laufwerk und absolut nichts stimmt mit Ihrem Computer nicht. In der Regel verbinden Sie jedoch keine fremden Geräte mit Netzwerken.

AKTUALISIEREN

Ich glaube nicht, dass es eine Möglichkeit gibt, ein Gummiente tatsächlich zu erkennen. Die gute Nachricht ist, dass das bekannteste nicht so aussieht wie das Bild, das Sie gepostet haben. Auf der anderen Seite hängt das, was das hypothetische USB-Geflügel tut, vollständig von seiner Nutzlast ab und kann nicht vorhergesagt werden. Es wird daher keine wirklich solide Art der Überprüfung geben, da Sie nicht im Voraus wissen können, was versucht wurde.

terdon
quelle
I don't think there is a way of actually detecting a rubber ducky.- teilweise wahr. Siehe meine Antwort.
User42
6

Wenn sich Ihr Laufwerk wirklich als Tastatur identifiziert, ist wahrscheinlich ein Hardware-USB-Tastatur-Logger die sicherste Methode, um festzustellen, welche Tastenanschläge es sendet. Sie können diese über das Internet bekommen, googeln Sie einfach "USB Keyboard Logger".

Dies hindert das nicht identifizierte Gerät natürlich nicht daran, tatsächlich Tastatureingaben an das System zu senden, an das Sie es anschließen. Sie sollten dies also nicht auf einem Produktionssystem tun.

Da Sie die Unterstützung für USB-HID- und Tastaturgeräte wahrscheinlich nicht deaktivieren möchten, gibt es meines Erachtens keine Möglichkeit, solche Angriffe zu verhindern, außer nicht vertrauenswürdige Geräte nicht an Ihren Computer anzuschließen.

BEARBEITEN: Da ich die anderen Antworten nicht kommentieren kann: Durch Deaktivieren von Autostart wird nur die automatische Ausführung von Dateien auf dem angeschlossenen USB-Laufwerk verhindert. Wenn sich dieses Gerät jedoch als Tastatur identifiziert, sendet es wahrscheinlich Tastenanschläge und bietet Ihnen keine Dateien an. Das Deaktivieren der automatischen Ausführung schützt Sie nicht vor Tastenanschlägen.

Chris
quelle
Keylogging ist, wie bei einem USB-Durchgangslogger wie KeyGrabber, eine gute Ergänzung zur Verwendung eines sicheren Geräts zum Testen des gefundenen USB-Sticks.
Rondo