Как обнаружить USB резинового утенка?

Question

Три недели назад моя компания заказала много оборудования (реального оборудования, не связанного с ИТ) из Китая.

Сегодня девушка со склада приходит ко мне в офис и говорит, что, смешавшись с вещами, она нашла белый USB- диск с надписью «Lihuiyu Studio Labs 2012.10.25».

Любопытно, у меня была реакция, как "YAY! Бесплатный USB-накопитель! Посмотрим, что внутри!"и тупо подключил мой основной компьютер, и я был шокирован, обнаружив, что он обнаружен как USB HID и клавиатура.

Парализованный от шока, я ждал 20-30 секунд, прежде чем снять его.

На экране ничего не происходило, устройство типа USB Rubber Ducky должно показывать что-то на экране, верно? Нет никакого способа, которым это скомпрометировало бы систему нашей компании некоторыми командами скорости света, которые невозможно увидеть невооруженным глазом, верно?

Основной вопрос:

Есть ли способ защитить системы Windows от таких USB-устройств?

Мы должны подключать сотни различных USB-накопителей каждую неделю, поэтому отключение / отключение поддержки USB не является вариантом

Вторичный вопрос:

Как я могу увидеть, что на самом деле делает это USB-устройство?

Answer 1

Аналогично тому, что ваша мать, возможно, рассказывала вам в раннем детстве о приеме посылок от незнакомцев, когда вы обнаружите странный USB-накопитель на складе, заполненном китайскими отвертками, или каким бы то ни было, не подключайте его к компьютер, который является частью сети вашей компании. Когда-либо.

Это действительно лучший способ «защиты систем Windows от таких USB-устройств». Сказав, что, как сказал Джеймс в комментариях, первый и очевидный способ атаки будет заблокирован отключением функции автозапуска съемного диска, но если кто-то действительно хочет навредить компьютеру, я уверен, что талантливый хакер мог бы так что без автоматического запуска.

В следующий раз, когда у вас будет странное падение USB-флешки с неба, вы захотите увидеть, что это такое, подключите его к компьютеру, который не является частью какой-либо сети, не имеет подключения к Интернету и не имеет важных данных.

Теперь есть вероятность, что где-то на берегах Китая есть разгневанный докер, оплакивающий потерю его беспроводной клавиатуры, в нем нет ничего гнусного и абсолютно ничего плохого в вашем компьютере. Однако, как правило, странные устройства не подключаются к сетям.

ОБНОВИТЬ

Я не думаю, что есть способ обнаружить резинового утенка. Хорошей новостью является то, что самый известный из них не похож на фотографию, которую вы опубликовали. С другой стороны, то, что делает гипотетическая USB-птица, полностью зависит от ее полезной нагрузки и не может быть предсказано. Поэтому не будет надежного способа проверки, так как вы не можете заранее знать, что он пытался сделать.

Answer 2

Если ваш диск действительно идентифицируется как клавиатура, самый безопасный способ определить, какие нажатия клавиш он посылает, - это, вероятно, аппаратный USB-клавиатурный регистратор. Вы можете получить их по всему интернету, просто Google "клавиатурный шпиона USB".

Конечно, это не мешает неопознанному устройству фактически отправлять нажатия клавиш в систему, в которую вы его подключаете, поэтому вам не следует делать это в производственной системе.

Поскольку вы, вероятно, не хотите отключать поддержку USB HID и клавиатурных устройств, я не думаю, что вы можете что-либо сделать, чтобы предотвратить такие атаки, кроме как не подключать ненадежные устройства к вашей машине.

РЕДАКТИРОВАТЬ: Поскольку я не могу комментировать другие ответы: отключение автоматического запуска только предотвращает автоматическое выполнение файлов на подключенном USB-накопителе. Однако, если это устройство идентифицируется как клавиатура, оно, скорее всего, отправит нажатия клавиш и не предложит вам файлы. Отключение автозапуска не защищает вас от нажатия клавиш.

Answer 3

Вставка этого устройства в компьютер не представляет опасности. Это всего лишь ключ для набора программного обеспечения для лазерных граверов WingraverXP, который поставляется с некоторыми бюджетными лазерными станками. У меня есть одна из машин, и она поставляется с идентичной флешкой.

Answer 4

Детектор с замаскированной клавиатурой Penteract

Он блокирует экран, когда обнаруживает, что клавиатура подключена.