我们都知道USB驱动器遗留在发电厂外面的故事,这是工人发现并插入计算机以查看其中的内容,然后允许黑客入侵的原因。
这是我的问题,怎么样?我知道该代码已执行,但是如何执行?我真的很希望能够做到这一点(当然是出于我自己的好奇心)。我一直对安全性有很好的了解,但是如何使事物变得安全等,但是像病毒,特洛伊木马,USB驱动程序等……在很少的人为干预下如何激活它们?

我真的很想了解这些事情,我是一名程序员/系统管理员,所以想敲一个脚本,但从未教过或从未做过,所以我不知道该怎么做或从哪里开始。我真的想就此进行尽可能多的讨论,以提供尽可能多的信息。

评论

SET(社会工程工具包)具有创建感染介质的选项,可能是一个很好的起点。

虽然我讨厌成为脚本小子,但只要了解脚本的工作原理,我会很好地使用脚本。有资源吗?

superuser.com/questions/709275/…

友善提示:我不会满足您对实际电厂的好奇心。

相关:插入和浏览不受信任的USB驱动器有什么危险?,闪存驱动器如何传播病毒?,如何安全地调查工作中在停车场中发现的USB记忆棒?如何安全地浏览不受信任的USB闪存驱动器?甚至更多。

#1 楼

看看这个USB键盘:



“但是那不是键盘!那是USB驱动器,太傻了!”没有。它看起来像USB驱动器,但是当它连接到计算机时,它将报告它是USB键盘。安装后,它将开始键入您事先在其上编程的按键序列。我所知道的任何操作系统都会自动信任USB键盘,并将其安装为受信任的输入设备,而无需在连接时立即进行任何用户交互。

有多种可用的负载。例如,有一种可以键入键盘输入来打开外壳,启动WGET以从Internet下载二进制文件并运行它。

评论


还...这个....(哎呀!)grahamcluley.com/2015/10/usb-killer

–GreatSeaSpider
15-10-16在11:57

如果必须先批准USB HID设备才能安装,则安装可能会有些棘手! “我刚刚在键盘上拆了咖啡。没关系,这里有备用”->“要安装新硬件,您需要进行身份验证。输入密码”。解决这个问题将很有趣。

–克里斯H
15年10月16日在12:19

在其中也有一个集线器和存储设备并不是很难,然后,您将需要非常敏锐的目光来发现额外的安装,因为预期的驱动器将会出现。

–克里斯H
15-10-16在12:21

@ChrisH您可能会在笑,但这实际上是一个解决方案:任何新键盘都需要首先输入当前登录用户的密码,然后才能输入其他任何内容。它们已经安装,但是在使用它们之前,您需要证明它实际上是键盘。

– Nzall
15年10月16日在13:42

@NateKerkhofs,我没有笑。如果安装后输入了当前用户的用户名,则该用户名可能会起作用。对于普通安装,管理员/ root PW吸引力较小。也许更好:输入一个显示在屏幕上的随机字符串,有点像蓝牙配对(我很警惕让用户意外输入密码)。我以为硬件会被阻塞,直到像正常硬件安装中一样输入密码(基本上像对待其他东西一样对待键盘)。

–克里斯H
15年10月16日在14:31

#2 楼

最近,一种攻击形式浮出水面,这种攻击不会通过代码或软件漏洞“入侵”计算机,而是对电子设备造成实际损害。 USB Killer 2.0(基于他基于相同概念创建的早期版本),将其插入计算机的USB插槽后,会将发送到设备的少量电能存储在电容器中,然后发送存储的能量在-220伏特时立即全部恢复。

它会重复重复此过程,直到计算机坏掉为止。这会破坏通常内置在主板中的I / O控制器(也可能导致其他损坏;我还没有阅读有关广泛测试的任何详细信息)。 (俄语和Google翻译版本的原始资源。)



右侧是暴露的USB Killer 1.0及其后续产品USB Killer 2.0,左侧是封闭式外壳中的USB Killer,它看起来像普通的USB闪存驱动器。插槽:



评论


@Michael保护二极管有其自身的物理限制。每种二极管都有自己的反向电压,如果电压不太高,我也不会感到惊讶。另外,我希望输入能在大多数情况下受到保护,以防止引脚之间的短路和静电。静电具有高压,但能量不多。这些电容器可能比预期包装的能量要多得多。同样,所有这些都假设确实存在标准中所述的保护电路。许多便宜的主板都没有。

– AndrejaKo
15年10月16日在18:51

一会儿我以为那是一个嵌入式YouTube播放器。

–德里克·朕会功夫
15年10月16日在19:35

@Derek朕会功夫不,一些站点有嵌入式播放器,但不幸的是Security StackExchange没有,所以它只是答案中的一个丑陋链接。如您所见,我在“替代解决方案”中进行了编辑,以使其看起来更漂亮。 ;)

–IQAndreas
15-10-16在19:48



仅供参考,针对物理攻击的正确解决方案是将不受信任的硬件连接到的端口进行光学隔离。

–R .. GitHub停止帮助ICE
2015年10月18日,下午4:42

可怜的ThinkPad,它不应该得到这样的命运。

–Hugo Zink
2015年10月19日在8:18

#3 楼

您正在谈论的“ USB棒留在电厂外面”听起来很像Stuxnet事件。 《倒计时到零日》一书中有关技术方面的细节令人惊讶(令人满意)。如果您真的很好奇,我强烈建议您阅读。

给您一个tl; dr的问题。它不是使用脚本而是通过较低级别的文件来完成的,以利用操作系统处理USB驱动器的方式来利用漏洞。当您将USB驱动器插入Windows时,它将尝试做一些有用的事情,例如评估文件结构并查看您是否特别想要使用任何文件,以便提示您立即访问这些文件。尽管它不是有意直接执行任何文件,但操作系统扫描文件的方式还是存在漏洞,可用于诱使操作系统执行代码。

#4 楼

您正在询问的一个著名示例是Microsoft的此咨询。所提到的漏洞仅通过插入USB记忆棒即可触发;不需要用户进行其他交互。这就是Stuxnet病毒的传播方式-例如来自Symantec和F-Secure的报告。

评论


该漏洞是否已修补了好几年?

– Philipp
15年10月16日在11:50

@Philipp:除了那里有许多未打补丁的系统(有人在提款机吗?)的原因是什么,所以相信在黑市上没有无数类似的漏洞可以卖给数百万...

– PlasmaHH
15年10月16日在13:05

@Philipp那个确切的伤口在2010年修补得很差。有关其余的信息,请参见extremetech.com/computing/…。直到今年之前,几乎都可以像Stuxnet所使用的一样进行攻击,而且类似的但尚未发现/修补的攻击可能已经存在(需要付费)。

–杰夫·梅登(Jeff Meden)
2015年10月16日13:34

#5 楼

这些方法曾经奏效,但由于病毒通过笔传播的范围很广,因此在启用USB的操作系统上插入选项autorun已被禁用。

在禁用该选项之前,您可能在USB设备上有一个EXE文件,该文件将在您将USB插入计算机后执行。在最新的操作系统上,默认情况下禁用autorun选项。

可以重新编程USB设备以仿真USB键盘。将USB设备插入系统后,操作系统会将其识别为USB键盘。
或者为简单起见,您可以获取为此目的专门创建的硬件,例如@Philipp建议。 br />

如果它像键盘一样嘎嘎响,并且像键盘一样键入,则必须是键盘


USB键盘具有已登录用户的权限并可用于将恶意软件注入操作系统。

评论


这是一个例子。

– Vorac
16年2月12日在9:22