Comment détecter un USB Rubber Ducky?

17

Il y a trois semaines, ma société a commandé beaucoup de matériel (matériel réel, non informatique) en Chine.

Aujourd'hui, la fille d'entrepôt vient à mon bureau et dit que, mélangé les choses, elle a trouvé une clé USB blanc lecteur disant « Lihuiyu studio Labs 25/10/2012 »

clé USB

Curieux, j'ai eu une réaction comme "YAY! Une clé USB gratuite! Voyons ce qu'il y a dedans!" et stupidement branché sur ma machine principale, et j'ai été choqué de découvrir qu'il est détecté comme un HID USB et un clavier.

Paralysé par le choc, j'ai attendu 20-30 secondes avant de le retirer.

Rien ne s'est passé à l'écran, un appareil USB en caoutchouc de type Ducky devrait montrer quelque chose à l'écran, non? Il n'y a aucun moyen qu'il ait compromis notre système d'entreprise avec certaines commandes de vitesse de la lumière impossibles à voir à l'œil nu, non?

Question principale:

Existe-t-il un moyen de protéger les systèmes Windows des périphériques USB comme celui-ci?

Nous devons brancher des centaines de clés USB différentes chaque semaine, donc la suppression / désactivation du support USB n'est pas une option

Question secondaire:

Comment puis-je voir ce que fait réellement ce périphérique USB?

usb hid Magnetic_dud
la source
8
S'il s'agit d'un clavier programmé, peu importe si l'exécution automatique est désactivée, il peut exécuter n'importe quelle commande ET contourner UAC
Magnetic_dud
Oui, je pense que les commandes seront visibles
Magnetic_dud
3
@James, pourquoi dans le monde seraient-ils visibles? Une commande peut supprimer des fichiers, les créer, envoyer des e-mails, ouvrir une porte dérobée à votre système. Rien de tout cela ne ferait apparaître une fenêtre sur votre écran.
terdon
7
Un USB Rubber Ducky est un périphérique USB HID avec lequel "n'importe qui est capable de créer des charges utiles capables de modifier les paramètres du système, d'ouvrir des portes dérobées, de récupérer des données, de lancer des obus inverses, ou fondamentalement tout ce qui peut être réalisé avec un accès physique - tous automatisés et exécuté en quelques secondes. "
RedGrittyBrick
1
There is nothing that could be done to protect Windows systems from USB devices like this? Bien sûr, ne branchez rien de suspect. C'est peut-être trop évident. How I could see what this USB device is really doing? Utilisez un pot de miel en quarantaine au lieu d'un système de production connecté. Encore une fois, peut-être trop évident; forêt pour les arbres genre de chose…
Synetech

Réponses:

1

Il n'y a aucun danger à insérer cet appareil dans votre ordinateur. C'est juste un dongle pour une suite logicielle de graveur laser nommée WingraverXP fournie avec certaines machines laser économiques. J'ai une des machines et elle est fournie avec une clé USB identique.

Estwick George
la source
Cool, j'ai un dongle gratuit pour un logiciel de contrôle d'une machine que je ne possède pas :)
Magnetic_dud
11
Dieu merci, personne n'a inventé un moyen de mettre plus d'un type d'appareil dans le même type de boîtier, ou de programmer des appareils pour faire plus d'une chose.
Rob Moir
1
Si j'étais un pirate informatique, je mettrais un canard en caoutchouc dans un étui, ce qui vous encouragerait à le brancher.
ctrl-alt-delor
1
Non non Non Non Non!!! veuillez NE PAS écouter cette réponse! terdon a raison. Je ne peux pas croire que cela soit marqué comme la réponse ...
MiaoHatola
17

Dans la même veine que ce que votre mère vous a peut-être dit en tant que jeune enfant concernant l'acceptation de colis par des étrangers, lorsque vous trouvez une étrange clé USB dans un entrepôt rempli de tournevis chinois, ou quoi que ce soit, ne le branchez pas sur un ordinateur faisant partie du réseau de votre entreprise . Déjà.

C'est vraiment le meilleur moyen de "protéger les systèmes Windows contre des périphériques USB comme celui-ci". Cela dit, comme James l'a dit dans les commentaires, les premières et évidentes méthodes d'attaque seraient bloquées en désactivant la fonction d'exécution automatique du lecteur amovible, mais si quelqu'un veut vraiment nuire à un ordinateur, je suis sûr qu'un pirate talentueux pourrait le faire donc sans l'exécution automatique activée.

La prochaine fois que vous avez une étrange clé USB qui tombe du ciel comme ça et que vous voulez voir ce que c'est, vous la connectez à un ordinateur qui ne fait partie d'aucun réseau, n'a pas de connexion Internet et pas de données critiques.

Maintenant, il y a des chances qu'il y ait un docker furieux quelque part sur les côtes de la Chine déplorant la perte de son clavier sans fil, rien de néfaste n'était dans le lecteur et absolument rien ne va mal avec votre ordinateur. En règle générale, vous ne connectez pas d'étranges appareils à des réseaux.

MISE À JOUR

Je ne pense pas qu'il existe un moyen de détecter un canard en caoutchouc. La bonne nouvelle est que la plus connue ne ressemble pas à la photo que vous avez publiée. D'un autre côté, ce que fait la volée USB hypothétique dépend entièrement de sa charge utile et ne peut pas être prévu. Il n'y aura donc pas de méthode de vérification solide car vous ne pouvez pas savoir à l'avance ce qu'elle a tenté de faire.

terdon
la source
I don't think there is a way of actually detecting a rubber ducky.- partiellement vrai. Voir ma réponse.
User42
6

Si votre lecteur s'identifie vraiment comme un clavier, le moyen le plus sûr de déterminer les frappes qu'il envoie est probablement un enregistreur de clavier USB matériel. Vous pouvez les obtenir partout sur Internet, il suffit de google "enregistreur de clavier USB".

Bien sûr, cela n'empêche pas le périphérique non identifié d'envoyer réellement des touches au système auquel vous le branchez, vous ne devez donc pas le faire sur un système de production.

Étant donné que vous ne voulez probablement pas désactiver la prise en charge des périphériques USB HID et clavier, je ne pense pas que vous puissiez faire quoi que ce soit pour empêcher de telles attaques, à part ne pas brancher des périphériques non fiables sur votre machine.

EDIT: Étant donné que je ne peux pas commenter les autres réponses: la désactivation de l'exécution automatique empêche uniquement l'exécution automatique des fichiers sur le lecteur USB connecté. Cependant, si cet appareil s'identifie comme un clavier, il enverra probablement des touches et ne vous proposera pas de fichiers. La désactivation de l'exécution automatique ne vous protège pas contre les frappes.

Chris
la source
L'enregistrement des clés, comme avec un enregistreur USB passthru comme KeyGrabber, est un bon ajout à l'utilisation d'un périphérique sûr pour tester la clé USB trouvée.
Rondo