題:
USB棒如何危險?
TheHidden
2015-10-16 13:13:57 UTC
view on stackexchange narkive permalink

我們都知道留在電廠外面的USB驅動器的故事,這是工人發現並插入計算機中以查看內容的,然後可以進行黑客入侵。

這是我的問題,如何?我知道該代碼已執行,但是如何執行?我真的很希望能夠做到這一點(當然是出於我自己的好奇心)。我一直對安全性有很好的了解,如何使事物變得安全等,但是諸如病毒,特洛伊木馬,USB驅動程序之類的事物……如何在很少的人為乾預下就被激活?

我真的很想學習關於這些事情,我是一名程序員/系統管理員,所以想敲一個腳本,但從未教過或從未做過,所以我不知道該怎麼做或從哪裡開始。我真的想在這個方面進行盡可能多的討論,並提供盡可能多的信息。

SET(社會工程工具包)具有創建感染介質的選項,可能是一個很好的起點。
雖然我討厭成為腳本小子,但只要了解腳本的工作原理,我會很好地使用腳本。有什麼資源嗎?
@silverpenguin我的意思是從軟件的角度出發-不知道*今天的孩子*在這個糟糕的時期正在做什麼。但是,大多數USB記憶棒攻擊(除了吞嚥和炸PC以外)都是使用基於軟件的方法-讓它成為隱藏的鍵盤,漏洞利用程序或簡單的自動運行程序(=社會工程學)。
HTTP://superuser.com/questions/709275/what-is-他和-當兒-of-inserting-安定-browsing-按-untrusted-USB-drive
友情提示:我不能滿足您對實際電廠的好奇心。
相關:[插入和瀏覽不受信任的USB驅動器有什麼危險?](https://superuser.com/q/709275/150988),[閃存驅動器如何傳播病毒?](https:// superuser.com / q / 93939/150988),[如何安全檢查工作中的停車場中發現的USB記憶棒?](https://superuser.com/q/1206321/150988),[安全打開可疑的USB驅動器](https://superuser.com/q/167878/150988),[如何安全瀏覽不受信任的USB閃存驅動器?](https://superuser.com/q/983709/150988)以及更多。
五 答案:
Philipp
2015-10-16 13:30:32 UTC
view on stackexchange narkive permalink

看看這個USB鍵盤

Rubber Ducky USB Device

”“但這不是鍵盤!那是一個USB驅動器,太傻了!”

實際上,不。它看起來像USB驅動器,但是當它連接到計算機時,它將報告它是USB鍵盤。安裝後,它將開始鍵入您事先在其上編程的按鍵序列。我知道的任何操作系統都會自動信任USB鍵盤,並將其安裝為受信任的輸入設備,而無需在連接時立即進行任何用戶交互。

有許多可用的負載。例如,有一種可以鍵入鍵盤輸入來打開外殼,啟動WGET以從Internet下載二進製文件並運行它。

也許還值得一提的是USB [U3](https://en.wikipedia.org/wiki/U3)(usb鋼鋸,彈簧刀),它帶我回去:)。也是社會工程方面;諸如普通USB棒之類的簡單技巧就帶有一個名為“ super secret.doc”的帶有宏的單詞文檔。
為了得到完整的答案,您實際上至少應該提到有關漏洞利用的示例(stuxnet等)。
另外...這個....(哎呀!)https://grahamcluley.com/2015/10/usb-killer/
如果必須先批准USB HID設備才能安裝,則安裝可能會有些棘手! “我剛剛在鍵盤上拆了咖啡。沒關係,這裡有備用”->“要安裝新硬件,您需要進行身份驗證。輸入密碼”。解決這個問題將很有趣。
在其中也有一個集線器和存儲設備並不是很難,然後,您將需要非常敏銳的目光來發現額外的安裝,因為預期的驅動器將會出現。
您可能會在笑@ChrisH,但這實際上是一個解決方案:任何新鍵盤都需要首先輸入當前登錄用戶的密碼,然後才能輸入其他任何內容。它們已經安裝,但是在使用它們之前,您需要證明它實際上是鍵盤。
-1
@ChrisH我不確定您有多認真,因為您正在談論一種涉及實際USB鍵盤的假設情況。我還要求新插入的鍵盤必須是鍵入密碼的鍵盤。我個人對屏幕上的隨機字符串保持警惕的原因是,足夠先進的鍵盤甚至可以利用它。只有足夠體裁精通的用戶才知道但從不顯示的內容可能是更好的選擇。
並非所有的HID設備都能夠輸入所有密碼:想想USB數字鍵盤。如果您想要這種級別的妄想症,那麼最好構建一種新的設備,該設備可以在協議層進行質詢響應身份驗證。
@NateKerkhofs。我也許有點願意再舉一個例子,甚至是一個有點荒謬的例子。但是,如果將偽造的鍵盤檢測為引起提示的鍵盤,那麼真正的鍵盤將執行相同的操作。您對隨機字符串提出了一個很好的建議,總的來說,我認為我們的討論表明,任何解決方案都可以使用,特別是對於現實世界中的用戶,我們可以假定他們不閱讀要求輸入密碼的對話框,而只是輸入。
@ChrisH恰當的例子:[Yubikeys](https://en.wikipedia.org/wiki/Yubikey)?
@ChrisH:有一個免費贈品工具,可強製手動激活尚未使用的USB鍵盤:[G Data USB Keyboard Guard](https://www.gdatasoftware.com/en-usb-keyboard-guard)。
@Nzall只需修改記錄的鍵序列以`password`開始:P
@Philipp:對不起,錯誤的問題。SD卡可以使用同樣的方法嗎?
@user2284570 SD卡不過是大容量存儲,因此這種特殊的攻擊不可能發生。但是SD卡可能不是專業領域。您應該打開一個新問題,詢問將不可信的SD卡放入閱讀器的風險。
IQAndreas
2015-10-16 20:40:10 UTC
view on stackexchange narkive permalink

最近,一種攻擊形式浮出水面,這種攻擊不會通過代碼或軟件漏洞“入侵”計算機,而是對電子設備造成實際損害。稱為USB Killer 2.0(基於他基於相同概念創建的早期版本),將其插入計算機的USB插槽時,會將發送到設備的少量電能存儲在電容器中,然後發送儲存的能量立即以-220伏特全部返回。

它會不斷重複此過程,直到計算機沒電為止。這會破壞通常內置在主板中的I / O控制器(也可能導致其他損壞;我還沒有閱讀有關廣泛測試的任何詳細信息)。 ( 俄語的原始來源 Google翻譯版本 。)

USB drive, USB Killer 1.0, USB Killer 2.0

右側為暴露的USB Killer 1.0及其後續產品USB Killer 2.0,左側為封閉式外殼的USB Killer,外觀就像普通的USB閃存驅動器一樣。

結果顯示在此處,在插入USB插槽後立即殺死了Lenovo ThinkPad X60的主板: YouTube: USB Killer v2.0 testing.

但是如何?當然,輸入上有保護二極管。
@Michael保護二極管有其自身的物理局限性。每種二極管都有自己的反向電壓,如果電壓不太高,我也不會感到驚訝。另外,我希望輸入的大部分引腳不受短路和靜電的影響。靜電具有高壓,但能量不多。這些電容器可能比預期包裝的能量要多得多。同樣,所有這些都假設確實存在標準中所述的保護電路。許多便宜的主板都沒有。
一會兒我以為那是一個嵌入式YouTube播放器。
@Derek朕會功夫不,[某些網站具有嵌入式播放器](http://meta.stackexchange.com/a/104189/205964),但不幸的是_Security StackExchange_沒有,因此它只是在答案中顯示為醜陋的鏈接。 [如您所見](http://security.stackexchange.com/posts/102915/revisions),我在“替代解決方案”中進行了編輯,以使其看起來更漂亮。 ;)
僅供參考,物理攻擊的正確解決方案是將不受信任的硬件連接到的端口進行光學隔離。
可憐的ThinkPad,它不應該得到這樣的命運。
@r ..您仍然必須以某種方式為其供電。這將花費更長的時間,但是我想我仍然可以油炸電源。
這次攻擊的目的是什麼?我不希望將國外的USB設備插入任何重要的設備。我猜您可以將其中的幾台扔到辦公室前,殺死幾台公司的筆記本電腦(上面的視頻中的主板和HDD倖存下來),從而阻止所有者為(OMG!)工作一整天。似乎不值得麻煩。
@JanDvorak:是的,但是最多只能油炸(隔離的)電源,沒有其他東西可以油炸。 (如果您對此感到瘋狂,則可以在光學上隔離電源(LED / PV電源傳輸)。
@MartinCarney您是指4月1日的視頻嗎?
@kasperd是。該死的。
如果必須檢查USB筆,從理論上講,可以使用[USB集線器](https://en.wikipedia.org/wiki/USB_hub)防止這種攻擊。據說它將炸掉集線器,而不是PC(儘管測試會有用)。
我不是很精通電子或物理學。負號是否為“ -220伏”?這是什麼意思?
@Mauris引用[文章的翻譯版本](https://translate.google.com/translate?sl=ru&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fhabrahabr.ru% 2Fpost%2F268421%2F)_““輸出”電壓,現在是220(嚴格來說,是負220)。”我可能完全關閉,但我相信負是指電流的方向,在這種情況下,向後向該引腳發送220伏的電壓,該引腳通常向該設備發送+5伏的電壓(它甚至可能通過其他TX端口之一發送電流)。
Jeff Meden
2015-10-16 18:29:17 UTC
view on stackexchange narkive permalink

您正在談論的“ USB棒留在電廠外面”聽起來很像Stuxnet事件。 倒計時到零日一書中有關技術方面的細節令人驚訝(令人滿意)。如果您真的好奇,我強烈建議您閱讀。

給您一個tl; dr的問題。它不是使用腳本而是通過較低級別的文件來完成的,以利用操作系統處理USB驅動器的方式來利用漏洞。當您將USB驅動器插入Windows時,它將嘗試做一些有用的事情,例如評估文件結構並查看您是否特別想要使用任何文件,以便提示您立即訪問這些文件。雖然它不是有意直接執行任何文件,但操作系統掃描文件的方式還是有漏洞,可用於誘使操作系統執行代碼。

Konstantin Shemyak
2015-10-16 14:30:00 UTC
view on stackexchange narkive permalink

您要問的一個著名示例是 Microsoft的此通報。所提到的漏洞僅通過插入USB記憶棒即可觸發;無需用戶進行其他交互。這就是Stuxnet病毒的傳播方式-例如來自 Symantec F-Secure的報告。

該漏洞是否已經修補了好幾年?
@Philipp:除了那裡有許多未打補丁的系統(ATM機嗎?)之外,還有什麼理由相信沒有無數類似的漏洞在黑市上可以賣出幾百萬...
@Philipp該確切的外傷在2010年修補得很差。有關其餘的故事,請參見http://www.extremetech.com/computing/200898-windows-pcs-vulnerable-to-stuxnet-attack-five-years-after-patches。直到今年之前,幾乎都可以像Stuxnet所使用的一樣進行攻擊,並且類似的但尚未發現/修補的攻擊可能已經存在(需要付費)。
pedromendessk
2015-10-16 18:07:28 UTC
view on stackexchange narkive permalink

這些方法曾經可以使用,但是由於病毒通過筆的傳播程度很高,因此在啟用USB插入後即可運行的操作系統上, autorun 選項已被禁用。

在禁用該選項之前,您可能在USB設備上擁有一個EXE文件,該文件將在您將USB插入計算機時執行。在最新的操作系統上,默認情況下禁用 autorun 選項。

可以重新編程USB設備以模擬USB鍵盤。將USB設備插入系統後,操作系統會將其識別為USB鍵盤。或者,作為更簡單的替代方法,您可以獲取為此目的專門創建的硬件,例如@Philipp建議。

這遵循了鴨子測試的原理(USB橡皮鴨的改版):

>

如果它像鍵盤一樣嘎嘎叫,並且像鍵盤一樣類型,則必須是鍵盤

USB鍵盤具有已登錄用戶的權限,可用於向其中註入惡意軟件操作系統。

這是一個[示例](http://security.stackexchange.com/questions/34009/i-found-a-virus-on-my-usb-stick-now-what)。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...