Bagaimana cara mendeteksi Ducky Karet USB?

17

Tiga minggu lalu perusahaan saya memesan banyak perangkat keras (perangkat keras nyata, tidak terkait IT) dari Cina.

Hari ini, gadis gudang datang ke kantor saya dan mengatakan bahwa, tercampur dalam barang-barang itu, ia menemukan drive USB putih yang mengatakan "Lihuiyu Studio Labs 2012.10.25"

usb drive

Penasaran, saya mendapat reaksi seperti "YAY! USB drive gratis! Ayo lihat apa yang ada di dalamnya!" dan dengan bodohnya terpasang di mesin utama saya, dan saya terkejut menemukan bahwa itu terdeteksi sebagai USB HID dan keyboard.

Lumpuh karena syok, saya menunggu 20-30 detik sebelum melepaskannya.

Tidak ada yang terjadi di layar, perangkat USB Rubber Ducky harus menunjukkan sesuatu di layar, bukan? Tidak mungkin itu telah membahayakan sistem perusahaan kami dengan beberapa perintah kecepatan cahaya yang tidak mungkin dilihat dengan mata telanjang, bukan?

Pertanyaan utama:

Apakah ada cara untuk melindungi sistem Windows dari perangkat USB seperti ini?

Kita perlu mencolokkan ratusan drive USB yang berbeda setiap minggu, jadi melepas / menonaktifkan dukungan USB bukanlah suatu pilihan

Pertanyaan sekunder:

Bagaimana saya bisa melihat apa yang sebenarnya dilakukan perangkat USB ini?

usb hid Magnetic_dud
sumber
8
Jika itu adalah keyboard yang diprogram, tidak masalah apakah autorun diasbled, ia dapat menjalankan perintah DAN memotong UAC
Magnetic_dud
Ya, saya pikir perintahnya akan terlihat
Magnetic_dud
3
@ James, mengapa mereka bisa terlihat? Perintah dapat menghapus file, membuatnya, mengirim email, membuka pintu belakang ke sistem Anda. Semua ini tidak akan menyebabkan jendela muncul di layar Anda.
terdon
7
Sebuah USB Rubber Ducky adalah perangkat USB HID dengan yang "ada yang mampu muatan kerajinan mampu mengubah pengaturan sistem, membuka pintu belakang, mengambil data, memulai kerang terbalik, atau pada dasarnya apapun yang dapat dicapai dengan akses fisik - semua otomatis dan dieksekusi dalam hitungan detik. "
RedGrittyBrick
1
There is nothing that could be done to protect Windows systems from USB devices like this? Tentu, jangan tancapkan sesuatu yang mencurigakan. Mungkin itu terlalu jelas. How I could see what this USB device is really doing? Gunakan honeypot yang dikarantina alih-alih sistem produksi yang terhubung. Sekali lagi, mungkin terlalu jelas; hutan untuk pohon-pohon semacam itu ...
Synetech

Jawaban:

1

Tidak ada bahaya dengan memasukkan perangkat ini ke komputer Anda. Itu hanya dongle untuk perangkat lunak pengukir laser bernama WingraverXP yang disertakan dengan beberapa mesin laser anggaran. Saya memiliki salah satu mesin dan dilengkapi dengan stik USB yang identik.

Estwick George
sumber
Keren, saya mendapat dongle gratis untuk perangkat lunak untuk mengendalikan mesin yang tidak saya miliki :)
Magnetic_dud
11
Syukurlah tidak ada yang menemukan cara untuk menempatkan lebih dari satu jenis perangkat ke dalam jenis casing yang sama, atau memprogram perangkat untuk melakukan lebih dari satu hal.
Rob Moir
1
Jika saya seorang cracker komputer, saya akan memasukkan bebek karet ke dalam kasing, yang akan mendorong Anda untuk memasangnya.
ctrl-alt-delor
1
Tidak, tidak, tidak, tidak, tidak !!! tolong JANGAN dengarkan jawaban ini! terdon benar. Saya tidak percaya ini ditandai sebagai jawabannya ...
MiaoHatola
17

Dalam nada yang serupa dengan apa yang mungkin dikatakan ibu Anda saat masih kecil tentang menerima paket dari orang asing, ketika Anda menemukan drive USB aneh di gudang yang diisi dengan obeng Cina, atau apa pun yang terjadi, jangan tancapkan ke komputer yang merupakan bagian dari jaringan perusahaan Anda . Pernah.

Itu benar-benar cara terbaik "melindungi sistem Windows dari perangkat USB seperti ini". Karena itu, seperti yang dikatakan James dalam komentar, metode serangan pertama dan jelas akan diblokir dengan mematikan fitur auto-run drive yang dapat dilepas, tetapi jika seseorang benar-benar ingin membahayakan komputer, saya yakin peretas berbakat dapat melakukan jadi tanpa menjalankan otomatis diaktifkan.

Lain kali Anda memiliki tongkat USB aneh jatuh dari langit seperti itu dan Anda ingin melihat apa itu, Anda menghubungkannya ke komputer yang bukan bagian dari jaringan apa pun, tidak memiliki koneksi internet dan tidak ada data penting.

Sekarang, ada kemungkinan ada buruh pelabuhan yang marah di suatu tempat di pantai Cina meratapi hilangnya keyboard nirkabelnya, tidak ada yang jahat dalam drive dan sama sekali tidak ada yang salah dengan komputer Anda. Sebagai aturan umum, Anda tidak menghubungkan perangkat aneh ke jaringan.

MEMPERBARUI

Saya tidak berpikir ada cara untuk benar-benar mendeteksi bebek karet. Berita baiknya adalah yang paling terkenal tidak terlihat seperti gambar yang Anda poskan. Di sisi lain, apa yang dilakukan unggas USB hipotetis bergantung sepenuhnya pada muatannya dan tidak dapat diprediksi. Oleh karena itu, tidak akan ada cara yang solid untuk memeriksa karena Anda tidak bisa tahu sebelumnya apa yang berusaha dilakukan.

terdon
sumber
I don't think there is a way of actually detecting a rubber ducky.- sebagian benar. Lihat jawaban saya.
User42
6

Jika drive Anda benar-benar diidentifikasi sebagai keyboard, cara teraman untuk menentukan penekanan tombol yang dikirimkannya, mungkin adalah perangkat keras keyboard USB logger. Anda bisa mendapatkannya di internet, cukup google "usb keyboard logger".

Tentu saja, ini tidak mencegah perangkat yang tidak dikenal untuk benar-benar mengirim penekanan tombol ke sistem yang Anda hubungkan, jadi Anda tidak boleh melakukan ini pada sistem produksi.

Karena Anda mungkin tidak ingin menonaktifkan dukungan untuk USB HID dan perangkat keyboard, saya tidak berpikir ada yang bisa Anda lakukan untuk mencegah serangan seperti itu, selain tidak memasukkan perangkat yang tidak tepercaya ke mesin Anda.

EDIT: Karena saya tidak dapat mengomentari jawaban lain: Menonaktifkan jalankan otomatis hanya mencegah eksekusi otomatis file pada drive USB yang terhubung. Namun, jika perangkat ini mengidentifikasi sebagai keyboard, itu kemungkinan akan mengirim penekanan tombol dan tidak menawarkan file. Menonaktifkan menjalankan otomatis tidak melindungi Anda dari penekanan tombol.

Chris
sumber
Keylogging, seperti dengan usb logger passthru seperti KeyGrabber, adalah tambahan yang bagus untuk penggunaan perangkat yang aman untuk menguji stik USB yang ditemukan.
Rondo