कैसे एक यूएसबी रबर डस्की का पता लगाने के लिए?


17

तीन हफ्ते पहले मेरी कंपनी ने चीन से बहुत सारे हार्डवेयर (असली हार्डवेयर, आईटी से संबंधित नहीं) का आदेश दिया।

आज, गोदाम लड़की मेरे कार्यालय में आती है और कहती है कि, सामान में मिलाया गया, उसने एक सफेद USB ड्राइव पाया, जिसमें कहा गया था "Lihuiyu Studio Labs 2012.10.25"

यू एस बी ड्राइव

जिज्ञासु, मुझे "YAY! एक निःशुल्क USB ड्राइव जैसी प्रतिक्रिया मिली! चलो देखते हैं कि अंदर क्या है!" और मूर्खता से मेरे मुख्य मशीन में प्लग किया गया, और मुझे यह जानकर धक्का लगा कि यह USB छिपाई और कीबोर्ड के रूप में पाया गया है।

झटके से लकवाग्रस्त, मैंने निकालने से पहले 20-30 सेकंड इंतजार किया।

स्क्रीन पर कुछ भी नहीं हुआ, एक यूएसबी रबर डस्की जैसी डिवाइस को स्क्रीन पर कुछ दिखाना चाहिए, है ना? ऐसा कोई तरीका नहीं है कि इसने हमारी कंपनी प्रणाली के साथ कुछ हल्की-फुल्की आज्ञाओं के साथ समझौता किया है, जिसे नग्न आंखों से देखना असंभव है?

प्राथमिक प्रश्न:

क्या इस तरह से विंडोज डिवाइसों से विंडोज सिस्टम को बचाने का कोई तरीका है?

हमें हर हफ्ते सैकड़ों अलग-अलग यूएसबी ड्राइव प्लग करने की आवश्यकता होती है, इसलिए यूएसबी सपोर्ट को हटाना / अक्षम करना एक विकल्प नहीं है

द्वितीयक प्रश्न:

मैं कैसे देख सकता हूं कि यह USB डिवाइस वास्तव में क्या कर रहा है?


8
यदि यह एक क्रमादेशित कीबोर्ड दिया गया है, कोई फर्क नहीं पड़ता अगर ऑटोरन करना अक्षम कर रहा है, यह किसी भी आदेश और यूएसी बाईपास चला सकते हैं
Magnetic_dud

हाँ, मुझे लगता है कि आदेशों दिखाई जाएगी
Magnetic_dud

3
@ जेम्स, दुनिया में वे क्यों दिखाई देंगे? एक कमांड फाइलों को हटा सकती है, उन्हें बना सकती है, ईमेल भेज सकती है, आपके सिस्टम में एक बैकडोर खोल सकती है। इससे कोई भी स्क्रीन आपकी स्क्रीन पर पॉप अप करने का कारण नहीं बनेगी।
टेराडॉन

7
एक USB रबड़ डकी एक USB HID डिवाइस है जिसके साथ "कोई भी सिस्टम लोड को बदलने में सक्षम पेलोड्स को सक्षम करने में सक्षम है, पीछे के दरवाजे खोल रहा है, डेटा पुनर्प्राप्त कर रहा है, रिवर्स शेल की शुरुआत कर रहा है, या मूल रूप से कुछ भी जो भौतिक पहुंच के साथ प्राप्त किया जा सकता है - सभी स्वचालित और सेकंड के एक मामले में निष्पादित। "
RedGrittyBrick

1
There is nothing that could be done to protect Windows systems from USB devices like this? यकीन है, कुछ भी संदिग्ध में प्लग नहीं है। शायद यह बहुत स्पष्ट है। How I could see what this USB device is really doing? एक जुड़े, उत्पादन प्रणाली के बजाय एक संगरोध हनीपोट का उपयोग करें। फिर, शायद बहुत स्पष्ट; पेड़ों की तरह जंगल ... चीज
Synetech

जवाबों:


1

आपके कंप्यूटर में इस उपकरण को डालने से कोई खतरा नहीं है। यह सिर्फ लेज़र एनग्रेवर सॉफ्टवेयर सूट के लिए एक डोंगल है, जिसका नाम WingraverXP है, जिसमें कुछ बजट लेजर मशीनों की आपूर्ति की जाती है। मेरे पास मशीनों में से एक है और यह एक समान यूएसबी स्टिक के साथ आपूर्ति की जाती है।


कूल, मुझे एक मशीन को नियंत्रित करने के लिए एक सॉफ्टवेयर के लिए एक मुफ्त डोंगल मिला है जो मेरे पास नहीं है :)
मैग्नेटिक_ड्यूड

11
अच्छाई का शुक्र है कि किसी ने भी एक ही प्रकार के उपकरण को एक ही प्रकार के आवरण में डालने, या एक से अधिक काम करने के लिए उपकरणों को प्रोग्राम करने के लिए नहीं किया।
रोब मोइर

1
अगर मैं एक कंप्यूटर पटाखा होता, तो मैं एक रबर डस्की को एक मामले में डाल देता, जो आपको इसे प्लग
-

1
नहीं नहीं नहीं नहीं नहीं!!! कृपया इस जवाब को मत सुनो! टेर्डन सही है। मुझे विश्वास नहीं होता कि यह उत्तर के रूप में चिह्नित किया गया है ...
म्याओहाटोला 19

17

एक समान नस में, जो आपकी माँ ने आपको अजनबियों से पैकेज स्वीकार करने के बारे में बताया होगा, जब आपको चीनी पेचकश से भरे गोदाम में एक अजीब सी USB ड्राइव मिलती है, या जो कुछ भी ऐसा होता है, उसे प्लग इन न करें। एक कंप्यूटर जो आपकी कंपनी के नेटवर्क का हिस्सा है । कभी।

यह वास्तव में "इस तरह से यूएसबी उपकरणों से विंडोज सिस्टम की रक्षा" का सबसे अच्छा तरीका है। जेम्स ने कहा कि टिप्पणियों के अनुसार, हमले के पहले और स्पष्ट तरीकों को हटाने योग्य ड्राइव ऑटो-रन सुविधा को बंद करके अवरुद्ध किया जाएगा, लेकिन अगर कोई वास्तव में कंप्यूटर को नुकसान पहुंचाना चाहता है, तो मुझे यकीन है कि एक प्रतिभाशाली हैकर कर सकता है इसलिए बिना आटो चलाने में सक्षम।

अगली बार जब आपके पास आसमान से एक अजीब यूएसबी स्टिक गिरती है और आप यह देखना चाहते हैं कि यह क्या है, तो आप इसे ऐसे कंप्यूटर से जोड़ते हैं जो किसी भी नेटवर्क का हिस्सा नहीं है, जिसमें कोई इंटरनेट कनेक्शन नहीं है और कोई महत्वपूर्ण डेटा नहीं है।

अब, संभावना है कि चीन के किनारों पर कहीं न कहीं एक विडंबना करने वाला है, जो अपने वायरलेस कीबोर्ड के नुकसान को विलाप कर रहा है, कुछ भी अप्रिय ड्राइव में नहीं था और आपके कंप्यूटर में कुछ भी गलत नहीं है। हालांकि एक सामान्य नियम के रूप में, आप अजीब उपकरणों को नेटवर्क से कनेक्ट नहीं करते हैं।

अपडेट करें

मुझे नहीं लगता कि वास्तव में रबर डकी का पता लगाने का कोई तरीका है। अच्छी खबर यह है कि आपके द्वारा पोस्ट की गई तस्वीर की तरह सबसे अच्छा ज्ञात नहीं दिखता है। दूसरी ओर, काल्पनिक USB fowl क्या करता है यह पूरी तरह से उसके पेलोड पर निर्भर करता है और इसकी भविष्यवाणी नहीं की जा सकती है। इसलिए, जाँच का एक ठोस ठोस तरीका नहीं होगा क्योंकि आप पहले से नहीं जान सकते कि यह करने का प्रयास क्या है।


I don't think there is a way of actually detecting a rubber ducky.- आंशिक रूप से सच है। मेरा जवाब देखिए।
उपयोगकर्ता 42

6

यदि आपकी ड्राइव वास्तव में एक कीबोर्ड के रूप में पहचान करती है, तो यह निर्धारित करने का सबसे सुरक्षित तरीका है कि यह किस कीस्ट्रोक भेजता है, संभवतः एक हार्डवेयर यूएसबी कीबोर्ड लॉगर है। आप उन सभी को इंटरनेट पर प्राप्त कर सकते हैं, बस Google "usb कीबोर्ड लॉगर"।

बेशक, यह अज्ञात डिवाइस को वास्तव में कीस्ट्रोक्स को उस सिस्टम पर भेजने से नहीं रोकता है जिसे आप इसे प्लग इन कर रहे हैं, इसलिए आपको उत्पादन प्रणाली पर ऐसा नहीं करना चाहिए।

चूंकि आप शायद USB HID और कीबोर्ड डिवाइस के लिए समर्थन को अक्षम नहीं करना चाहते हैं, इसलिए मुझे नहीं लगता कि इस तरह के हमलों को रोकने के लिए आप ऐसा कुछ भी कर सकते हैं, जो आपके मशीन में अविश्वसनीय उपकरणों को प्लग न करें।

संपादित करें: चूंकि मैं अन्य उत्तरों पर टिप्पणी करने में असमर्थ हूं: ऑटो चलाने को अक्षम करने से कनेक्टेड यूएसबी ड्राइव पर फ़ाइलों के स्वत: निष्पादन को रोकता है। हालाँकि, यदि यह उपकरण एक कीबोर्ड के रूप में पहचान करता है, तो यह कीस्ट्रोक्स भेजेगा और आपको फ़ाइलों की पेशकश नहीं करेगा। ऑटो चलाने को अक्षम करने से कीस्ट्रोक्स से बचाव नहीं होता है।


Keylog, जैसे KeyGrabber की तरह एक pststhru usb लकड़हारा के साथ, एक सुरक्षित-p0wnable डिवाइस के उपयोग के लिए एक अच्छा जोड़ पाया गया है।
रोंडो

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.