¿Cómo detectar un USB Rubber Ducky?

17

Hace tres semanas, mi compañía ordenó una gran cantidad de hardware (hardware real, no relacionado con TI) de China.

Hoy, la chica del almacén viene a mi oficina y dice que, mezclada con las cosas, encontró una unidad USB blanca que decía "Lihuiyu Studio Labs 2012.10.25"

unidad USB

Curioso, tuve una reacción como "¡YAY! ¡Una unidad USB gratis! ¡A ver qué hay dentro!" y conecté estúpidamente mi máquina principal, y me sorprendió descubrir que se detecta como un USB HID y un teclado.

Paralizado por el shock, esperé 20-30 segundos antes de quitarlo.

No pasó nada en la pantalla, un dispositivo tipo USB Ducky debería mostrar algo en la pantalla, ¿verdad? No hay forma de que haya comprometido nuestro sistema de la compañía con algunos comandos de velocidad de la luz imposibles de ver a simple vista, ¿verdad?

Pregunta primaria:

¿Hay alguna forma de proteger los sistemas Windows de dispositivos USB como este?

Necesitamos conectar cientos de unidades USB diferentes cada semana, por lo que eliminar / deshabilitar la compatibilidad con USB no es una opción

Pregunta secundaria:

¿Cómo puedo ver lo que realmente está haciendo este dispositivo USB?

usb hid

— Magnetic_dud
fuente

8

Si es un teclado programado, no importa si la ejecución automática está desactivada, puede ejecutar cualquier comando Y omitir UAC

— Magnetic_dud

Sí, creo que los comandos serán visibles

— Magnetic_dud

3

@ James, ¿por qué en el mundo serían visibles? Un comando puede eliminar archivos, crearlos, enviar correos electrónicos, abrir una puerta trasera a su sistema. Nada de esto provocaría que aparezca una ventana en su pantalla.

— terdon

77

Un USB Rubber Ducky es un dispositivo USB HID con el que "cualquiera puede crear cargas útiles capaces de cambiar la configuración del sistema, abrir puertas traseras, recuperar datos, iniciar proyectiles inversos, o básicamente cualquier cosa que se pueda lograr con acceso físico, todo automatizado y ejecutado en cuestión de segundos ".

— RedGrittyBrick

1

There is nothing that could be done to protect Windows systems from USB devices like this? Claro, no enchufes nada sospechoso. Quizás eso es demasiado obvio. How I could see what this USB device is really doing? Use un honeypot en cuarentena en lugar de un sistema de producción conectado. De nuevo, quizás demasiado obvio; bosque para los árboles, algo así ...

— Synetech

1

No hay peligro al insertar este dispositivo en su computadora. Es solo un dongle para un paquete de software de grabadora láser llamado WingraverXP suministrado con algunas máquinas láser de bajo presupuesto. Tengo una de las máquinas y se suministra con una memoria USB idéntica.

— Estwick George
fuente

Genial, obtuve un dongle gratis para un software para controlar una máquina que no me pertenece :)

— Magnetic_dud

11

Gracias a Dios, nadie inventó una forma de colocar más de un tipo de dispositivo en el mismo tipo de carcasa, o de programar dispositivos para hacer más de una cosa.

— Rob Moir

1

Si fuera un cracker de computadora, pondría un patito de goma en una caja, eso lo alentaría a enchufarlo.

— ctrl-alt-delor

1

¡¡¡No no no no no!!! por favor NO escuche esta respuesta! Terdon es correcto. No puedo creer que esto esté marcado como la respuesta ...

— MiaoHatola

17

De manera similar a lo que su madre le pudo haber dicho cuando era niño acerca de aceptar paquetes de extraños, cuando encuentre una unidad USB extraña en un almacén lleno de destornilladores chinos, o lo que sea que sea, no lo conecte a una computadora que es parte de la red de su empresa . Nunca.

Esa es realmente la mejor manera de "proteger los sistemas Windows de dispositivos USB como este". Dicho esto, como dijo James en los comentarios, los primeros y obvios métodos de ataque se bloquearían desactivando la función de ejecución automática de la unidad extraíble, pero si alguien realmente quiere dañar una computadora, estoy seguro de que un hacker con talento podría hacerlo así que sin la ejecución automática habilitada.

La próxima vez que un dispositivo USB extraño caiga del cielo de esa manera y quiera ver qué es, lo conecta a una computadora que no forma parte de ninguna red, no tiene conexión a Internet y no tiene datos críticos.

Ahora, lo más probable es que haya un docker iracundo en algún lugar de las costas de China lamentando la pérdida de su teclado inalámbrico, no hay nada malo en el disco y absolutamente nada está mal con su computadora. Sin embargo, como regla general, no conecta dispositivos extraños a las redes.

ACTUALIZAR

No creo que haya una forma de detectar realmente un patito de goma. La buena noticia es que la más conocida no se parece a la imagen que publicaste. Por otro lado, lo que hace el hipotético ave USB depende completamente de su carga útil y no se puede predecir. Por lo tanto, no habrá una forma sólida de verificación, ya que no puede saber de antemano lo que intentó hacer.

— terdon
fuente

I don't think there is a way of actually detecting a rubber ducky.- parcialmente cierto. Mira mi respuesta.

— Usuario42

6

Si su unidad realmente se identifica como un teclado, la forma más segura de determinar qué pulsaciones de teclas envía es probablemente un registrador de teclado USB de hardware. Puede obtenerlos en Internet, solo google "usb keyboard logger".

Por supuesto, esto no evita que el dispositivo no identificado realmente envíe pulsaciones de teclas al sistema en el que lo está conectando, por lo que no debe hacer esto en un sistema de producción.

Dado que probablemente no desee deshabilitar la compatibilidad con USB HID y dispositivos de teclado, no creo que pueda hacer nada para evitar tales ataques, aparte de no conectar dispositivos no confiables a su máquina.

EDITAR: dado que no puedo comentar las otras respuestas: deshabilitar la ejecución automática solo evita la ejecución automática de archivos en la unidad USB conectada. Sin embargo, si este dispositivo se identifica como un teclado, probablemente enviará pulsaciones de teclas y no le ofrecerá archivos. Deshabilitar la ejecución automática no lo protege contra las pulsaciones de teclas.

— Chris
fuente

El registro de teclas, como con un registrador usb passthru como KeyGrabber, es una buena adición al uso de un dispositivo seguro para probar la memoria USB encontrada.

— Rondo

1

Detector de teclado disfrazado de Penteract

Bloquea la pantalla cuando detecta que se ha conectado un teclado.

— Usuario42
fuente