Bir USB Rubber Ducky nasıl tespit edilir?

Üç hafta önce şirketim Çin'den çok fazla donanım (BT ile ilgili değil, gerçek donanım) sipariş etti.

Bugün, depo kızı ofisime geliyor ve malzemelerde karışık olarak "Lihuiyu Studio Labs 2012.10.25" diyerek beyaz bir USB sürücü bulduğunu söylüyor.

Merakla, "YAY! Ücretsiz bir USB sürücü! İçinde ne olduğunu görelim!" ve ana makineme aptalca takıldım ve USB HID ve klavye olarak algılandığını görünce şok oldum.

Şoktan felç oldu, çıkarmadan önce 20-30 saniye bekledim.

Ekranda hiçbir şey olmadı, USB Rubber Ducky benzeri bir cihaz ekranda bir şey göstermeli, değil mi? Şirket sistemimizi çıplak gözle görmesi imkansız ışık hızı komutları ile tehlikeye atmanın bir yolu yok, değil mi?

Birincil soru:

Windows sistemlerini böyle USB cihazlarından korumanın bir yolu var mı?

Her hafta yüzlerce farklı USB sürücü takmamız gerekiyor, bu nedenle USB desteğini kaldırmak / devre dışı bırakmak bir seçenek değil

İkincil soru:

Bu USB cihazının gerçekten ne yaptığını nasıl görebilirim?

Bu cihazı bilgisayarınıza takma tehlikesi yoktur. Bazı bütçe lazer makineleri ile birlikte verilen WingraverXP adlı bir lazer gravür yazılımı paketi için sadece bir dongle. Makinelerden birine sahibim ve aynı USB çubuğuyla birlikte geliyor.

Anneniz, Çince tornavida ile dolu bir depoda garip USB sürücüsünü bulmak, ya da ne olursa olsun, ne zaman, Yabancılardan gelen paketleri kabul ederken genç bir çocuk olarak söylemiş olabilir olanlarla benzer bir mantıkla için takın yok şirketinizin ağının bir parçası olan bir bilgisayar . Hiç.

"Windows sistemlerini böyle USB aygıtlarından korumanın" en iyi yolu budur. James'in yorumlarda söylediği gibi, ilk ve açık saldırı yöntemlerinin çıkarılabilir sürücü otomatik çalıştırma özelliğini kapatarak engelleneceğini söyledikten sonra, birisi gerçekten bir bilgisayara zarar vermek istiyorsa, yetenekli bir hacker'ın yapabileceğinden eminim böylece otomatik çalıştırma etkinleştirilmeden.

Bir dahaki sefere böyle garip bir USB çubuğunuz düştüğünde ve ne olduğunu görmek istediğinizde, herhangi bir ağın parçası olmayan, internet bağlantısı olmayan ve kritik verileri olmayan bir bilgisayara bağlarsınız.

Şimdi, şansını Çin'in kıyısında bir yerde kablosuz klavyesinin kaybını alay eden kızgın bir liman işçisi var, sürücüde hain bir şey yok ve kesinlikle hiçbir şey bilgisayarınızda yanlış değil. Genel bir kural olarak, garip cihazları ağlara bağlamazsınız.

GÜNCELLEME

Gerçekten bir lastik ördek tespit etmenin bir yolu olduğunu sanmıyorum. İyi haber şu ki, en iyi bilineni yayınladığınız resme benzemiyor. Öte yandan, varsayımsal USB kümes hayvanının yaptığı tamamen yüküne bağlıdır ve tahmin edilemez. Bu nedenle, ne yapmaya çalıştığını önceden bilemeyeceğiniz için, sağlam bir kontrol yolu olmayacaktır.

Sürücünüz gerçekten bir klavye olarak tanımlanıyorsa, hangi tuş vuruşlarını gönderdiğini belirlemenin en güvenli yolu muhtemelen bir donanım USB klavye kaydedicisidir. Bunları internet üzerinden alabilirsiniz, sadece google "usb klavye kaydedici".

Tabii ki, bu, tanımlanamayan cihazın taktığınız sisteme gerçekten tuş vuruşları göndermesini engellemez, bu yüzden bunu bir üretim sisteminde yapmamalısınız.

Muhtemelen USB HID ve klavye cihazları desteğini devre dışı bırakmak istemediğiniz için, bu tür saldırıları önlemek için makinenize güvenilmeyen cihazları takmaktan başka yapabileceğiniz bir şey olduğunu düşünmüyorum.

DÜZENLEME: Diğer yanıtlar hakkında yorum yapamadığım için: Otomatik çalıştırmayı devre dışı bırakmak yalnızca bağlı USB sürücüsündeki dosyaların otomatik yürütülmesini engeller. Ancak, bu aygıt klavye olarak tanımlanırsa, muhtemelen tuş vuruşları gönderir ve size dosya sunmaz. Otomatik çalıştırmayı devre dışı bırakmak sizi tuş vuruşlarına karşı korumaz.

Penteract Örtülü-Klavye Dedektörü

Bir klavye bağlandığını algıladığında ekranı kilitler.