如何检测 USB Rubber Ducky?

如何检测 USB Rubber Ducky?

三周前,我的公司从中国订购了大量硬件(真正的硬件,与 IT 非相关的)。

今天,仓库女孩来到我的办公室,说她在东西里发现了一个白色的 USB驾驶说“Lihuiyu Studio Labs 2012.10.25”

USB驱动器

出于好奇,我的反应是“耶!一个免费的 USB 驱动器!让我们看看里面有什么!”然后愚蠢地插入了我的主机,结果我震惊地发现它被检测为 USB HID 和键盘。

我被惊呆了,等了 20-30 秒才把它取下来。

屏幕上什么都没发生,类似 USB Rubber Ducky 的设备应该会在屏幕上显示一些东西,对吧?它不可能用一些肉眼无法看到的光速命令来破坏我们公司的系统,对吧?

主要问题:

有没有什么办法可以保护 Windows 系统免受此类 USB 设备的侵害?

我们每周需要插入数百个不同的 USB 驱动器,因此删除/禁用 USB 支持不是一个选择

次要问题:

我如何才能知道这个 USB 设备到底在做什么?

答案1

将此设备插入计算机不会有任何危险。它只是激光雕刻软件套件 WingraverXP 的加密狗,随一些廉价激光机提供。我有一台这样的机器,它随附了一个相同的 USB 记忆棒。

答案2

就像你小时候妈妈告诉你不要接受陌生人的包裹一样,当你在堆满中国螺丝刀或其他东西的仓库里发现一个奇怪的 USB 驱动器时,请勿将其插入属于公司网络的计算机。 曾经。

这确实是“保护 Windows 系统免受此类 USB 设备攻击”的最佳方法。话虽如此,正如 James 在评论中所说,第一种明显的攻击方法可以通过关闭可移动驱动器自动运行功能来阻止,但如果有人真的想破坏计算机,我相信一个有才华的黑客可以在不启用自动运行的情况下做到这一点。

下次当您遇到类似的奇怪的 USB 记忆棒从天而降并且想看看它是什么时,您可以将其连接到不属于任何网络、没有互联网连接且没有关键数据的计算机。

现在,很可能中国海岸的某个地方有一位愤怒的码头工人正在哀叹他的无线键盘丢失了,驱动器中没有任何恶意的东西,你的电脑也绝对没有问题。不过一般来说,不要将陌生的设备连接到网络。

更新

我认为没有办法真正检测出小黄鸭。好消息是最知名的一个看起来不像您发布的图片。另一方面,假设的 USB 飞虫会做什么完全取决于其有效载荷,无法预测。因此,没有可靠的检查方法,因为您无法事先知道它试图做什么。

答案3

如果您的驱动器确实被识别为键盘,那么确定它发送了哪些击键的最安全方法可能是硬件 USB 键盘记录器。您可以在互联网上找到这些,只需谷歌搜索“usb 键盘记录器”即可。

当然,这并不能阻止未识别的设备实际向您插入的系统发送击键,因此您不应该在生产系统上执行此操作。

由于您可能不想禁用对 USB HID 和键盘设备的支持,因此我认为除了不将不受信任的设备插入您的机器之外,您无法采取任何措施来防止此类攻击。

编辑:由于我无法对其他答案发表评论:禁用自动运行只会阻止自动执行所连接 USB 驱动器上的文件。但是,如果此设备被识别为键盘,它可能会发送击键而不会向您提供文件。禁用自动运行并不能保护您免受击键的影响。

答案4

Penteract 伪装键盘探测器

当它检测到键盘已连接时,它会锁定屏幕。

相关内容