Làm thế nào để phát hiện USB Ducky?

Ba tuần trước công ty của tôi đã đặt hàng rất nhiều phần cứng (phần cứng thực sự, không liên quan đến CNTT) từ Trung Quốc.

Hôm nay, cô gái kho đến văn phòng của tôi và nói rằng, trộn lẫn trong những thứ, cô tìm thấy một USB trắng ổ đĩa nói "Lihuiyu Studio Labs 2012/10/25"

Tò mò, tôi đã có một phản ứng như "YAY! Một ổ USB miễn phí! Hãy xem những gì bên trong!" và ngu ngốc cắm vào máy chính của tôi, và tôi đã bị sốc khi phát hiện ra rằng nó được phát hiện dưới dạng USB HID và bàn phím.

Bị tê liệt vì sốc, tôi đã đợi 20-30 giây trước khi gỡ nó ra.

Không có gì xảy ra trên màn hình, một thiết bị giống như USB Rubber Ducky sẽ hiển thị một cái gì đó trên màn hình, phải không? Không có cách nào mà nó đã làm tổn hại hệ thống công ty của chúng tôi bằng một số lệnh lightpeed không thể nhìn thấy bằng mắt thường, phải không?

Câu hỏi chính:

Có cách nào để bảo vệ các hệ thống Windows khỏi các thiết bị USB như thế này không?

Chúng tôi cần cắm hàng trăm ổ USB khác nhau mỗi tuần, vì vậy, loại bỏ / vô hiệu hóa hỗ trợ USB không phải là một tùy chọn

Câu hỏi phụ:

Làm cách nào tôi có thể thấy thiết bị USB này thực sự đang làm gì?

Không có nguy hiểm với việc chèn thiết bị này vào máy tính của bạn. Nó chỉ là một dongle cho bộ phần mềm khắc laser có tên là WingraverXP được cung cấp cùng với một số máy laser ngân sách. Tôi có một trong những máy và nó được cung cấp một thanh USB giống hệt nhau.

Tương tự như những gì mẹ bạn có thể đã nói với bạn khi còn nhỏ về việc chấp nhận các gói hàng từ người lạ, khi bạn tìm thấy một ổ USB lạ trong kho chứa đầy tua vít Trung Quốc, hoặc bất cứ điều gì xảy ra, đừng cắm nó vào một máy tính là một phần của mạng công ty bạn . Không bao giờ.

Đó thực sự là cách tốt nhất để "bảo vệ các hệ thống Windows khỏi các thiết bị USB như thế này". Như đã nói, như James đã nói trong các bình luận, các phương thức tấn công đầu tiên và rõ ràng sẽ bị chặn bằng cách tắt tính năng tự động chạy ổ đĩa di động, nhưng nếu ai đó thực sự muốn làm hại máy tính, tôi chắc chắn một hacker tài năng có thể làm được vì vậy không có tự động kích hoạt.

Lần tới khi bạn có một thanh USB kỳ lạ từ trên trời rơi xuống và bạn muốn xem nó là gì, bạn kết nối nó với một máy tính không phải là một phần của bất kỳ mạng nào, không có kết nối internet và không có dữ liệu quan trọng.

Bây giờ, rất có thể có một docker irate ở đâu đó trên bờ biển Trung Quốc than thở về việc mất bàn phím không dây của anh ta, không có gì bất chính trong ổ đĩa và hoàn toàn không có gì sai với máy tính của bạn. Theo nguyên tắc chung, bạn không kết nối các thiết bị lạ với mạng.

CẬP NHẬT

Tôi không nghĩ rằng có một cách thực sự phát hiện ra một người may mắn bằng cao su. Tin tốt là bức ảnh nổi tiếng nhất không giống như bức ảnh bạn đăng. Mặt khác, những gì mà gà giả định USB phụ thuộc hoàn toàn vào trọng tải của nó và không thể dự đoán được. Do đó, sẽ không phải là một cách kiểm tra vững chắc vì bạn không thể biết trước những gì nó đã cố gắng làm.

Nếu ổ đĩa của bạn thực sự xác định là bàn phím, cách an toàn nhất để xác định tổ hợp phím nào được gửi, có lẽ là bộ ghi bàn phím USB phần cứng. Bạn có thể lấy tất cả những thứ đó qua internet, chỉ cần google "logger bàn phím usb".

Tất nhiên, điều này không ngăn thiết bị không xác định thực sự gửi tổ hợp phím đến hệ thống bạn đang cắm, vì vậy bạn không nên làm điều này trên hệ thống sản xuất.

Vì có lẽ bạn không muốn tắt hỗ trợ cho USB HID và các thiết bị bàn phím, tôi không nghĩ bạn có thể làm gì để ngăn chặn các cuộc tấn công đó, ngoài việc không cắm các thiết bị không đáng tin cậy vào máy của bạn.

EDIT: Vì tôi không thể nhận xét về các câu trả lời khác: Tắt tự động chạy chỉ ngăn việc thực thi tự động các tệp trên ổ USB được kết nối. Tuy nhiên, nếu thiết bị này xác định là bàn phím, nó có thể sẽ gửi tổ hợp phím và không cung cấp cho bạn tệp. Vô hiệu hóa tự động chạy không bảo vệ bạn chống lại tổ hợp phím.

Penteract Ngụy trang-Bàn phím dò

Nó khóa màn hình khi phát hiện bàn phím đã được kết nối.