Como detectar um Ducky de borracha USB?

17

Há três semanas, minha empresa encomendou muito hardware (hardware real, não relacionado a TI) da China.

Hoje, a garota do armazém vem ao meu escritório e diz que, misturada, encontrou uma unidade USB branca dizendo "Lihuiyu Studio Labs 2012.10.25"

pendrive

Curioso, tive uma reação como "YAY! Um drive USB gratuito! Vamos ver o que há dentro!" e estupidamente conectado à minha máquina principal, e fiquei chocado ao descobrir que ele foi detectado como um HID e teclado USB.

Paralisado pelo choque, esperei 20 a 30 segundos antes de removê-lo.

Nada aconteceu na tela, um dispositivo USB Rubber Ducky-like deve mostrar algo na tela, certo? Não há como comprometer o sistema da empresa com alguns comandos de velocidade da luz impossíveis de ver a olho nu, certo?

Pergunta principal:

Existe alguma maneira de proteger os sistemas Windows de dispositivos USB como este?

Precisamos conectar centenas de unidades USB diferentes a cada semana, portanto, remover / desativar o suporte USB não é uma opção

Pergunta secundária:

Como posso ver o que este dispositivo USB está realmente fazendo?

usb hid Magnetic_dud
fonte
8
Se é um teclado programado, não importa se a execução automática estiver desativou, ele pode executar qualquer comando e ignorar UAC
Magnetic_dud
Sim, acho que os comandos serão visíveis #
Magnetic_dud
3
@ James, por que no mundo eles seriam visíveis? Um comando pode excluir arquivos, criá-los, enviar e-mails, abrir um backdoor para o seu sistema. Nada disso faria com que uma janela fosse exibida na tela.
terdon
7
Um USB Rubber Ducky é um dispositivo USB HID com o qual "qualquer pessoa é capaz de criar cargas úteis capazes de alterar as configurações do sistema, abrir portas traseiras, recuperar dados, iniciar shells reversos ou basicamente qualquer coisa que possa ser alcançada com acesso físico - tudo automatizado e executado em questão de segundos. "
RedGrittyBrick
1
There is nothing that could be done to protect Windows systems from USB devices like this? Claro, não conecte nada suspeito. Talvez isso seja óbvio demais. How I could see what this USB device is really doing? Use um honeypot em quarentena em vez de um sistema de produção conectado. Mais uma vez, talvez óbvio demais; floresta para as árvores tipo de coisa ...
Synetech 27/10

Respostas:

1

Não há perigo em inserir este dispositivo no seu computador. É apenas um dongle para um pacote de software de gravação a laser chamado WingraverXP, fornecido com algumas máquinas a laser econômicas. Eu tenho uma das máquinas e é fornecida com um stick USB idêntico.

Estwick George
fonte
Cool, eu tenho um dongle livre por um software para controlar uma máquina que eu não possuo :)
Magnetic_dud
11
Graças a Deus ninguém inventou uma maneira de colocar mais de um tipo de dispositivo no mesmo tipo de caixa ou de programar dispositivos para fazer mais de uma coisa.
precisa
1
Se eu fosse um cracker de computador, eu iria colocar um patinho de borracha em um caso, que iria encorajá-lo a ligá-lo.
ctrl-alt-Delor
1
Não não não não não!!! por favor, NÃO ouça esta resposta! Terdon está correto. Eu não posso acreditar que isso está marcado como a resposta ...
MiaoHatola
17

De maneira semelhante ao que sua mãe pode ter lhe dito quando criança sobre a aceitação de pacotes de estranhos, quando você encontra uma unidade USB estranha em um armazém cheio de chaves de fenda chinesas, ou o que quer que seja, não o conecte um computador que faz parte da rede da sua empresa . Sempre.

Essa é realmente a melhor maneira de "proteger os sistemas Windows de dispositivos USB como este". Dito isto, como James disse nos comentários, os primeiros e óbvios métodos de ataque seriam bloqueados ao desativar o recurso de execução automática da unidade removível, mas se alguém realmente quiser danificar um computador, tenho certeza de que um hacker talentoso poderia fazer isso. portanto, sem a execução automática ativada.

Da próxima vez que um pendrive USB cair do céu assim e você quiser ver o que é, conecte-o a um computador que não faz parte de nenhuma rede, não tenha conexão com a Internet e dados críticos.

Agora, é provável que exista um estivador irado em algum lugar nas margens da China lamentando a perda de seu teclado sem fio, nada de nefasto na unidade e absolutamente nada de errado com o seu computador. Como regra geral, porém, você não conecta dispositivos estranhos às redes.

ATUALIZAR

Acho que não há como detectar um patinho de borracha. A boa notícia é que a mais conhecida não se parece com a foto que você postou. Por outro lado, o que a hipotética ave USB faz depende inteiramente de sua carga útil e não pode ser previsto. Portanto, não haverá uma maneira sólida de verificar, pois você não pode saber de antemão o que ela tentou fazer.

Terdon
fonte
I don't think there is a way of actually detecting a rubber ducky.parcialmente verdadeiro. Veja minha resposta.
User42
6

Se sua unidade realmente se identifica como um teclado, a maneira mais segura de determinar quais pressionamentos de tecla ela envia é provavelmente um registrador de teclado USB de hardware. Você pode obter aqueles por toda a internet, apenas no google "usb keyboard logger".

Obviamente, isso não impede que o dispositivo não identificado envie as teclas digitadas para o sistema em que está sendo conectado, portanto, você não deve fazer isso em um sistema de produção.

Como você provavelmente não deseja desativar o suporte a dispositivos USB HID e teclado, acho que não há nada que você possa fazer para impedir esses ataques, além de não conectar dispositivos não confiáveis ​​à sua máquina.

EDIT: Como não consigo comentar as outras respostas: A desativação da execução automática impede apenas a execução automática de arquivos na unidade USB conectada. No entanto, se este dispositivo for identificado como um teclado, provavelmente enviará pressionamentos de tecla e não oferecerá arquivos. Desativar a execução automática não protege você contra pressionamentos de tecla.

Chris
fonte
O registro de chaves, como em um registrador USB intermediário como o KeyGrabber, é um bom complemento ao uso de um dispositivo que pode ser usado com segurança para testar o dispositivo USB encontrado.
Rondo