假设有人要我将一些文件复制到他们的USB记忆棒中。我正在运行功能齐全的Windows 7 x64,并且已禁用“自动运行”(通过组策略)。我插入USB驱动器,在Windows资源管理器中将其打开,然后将一些文件复制到其中。我没有运行或查看任何现有文件。如果这样做会发生什么不好的事情?

如果我在Linux(例如Ubuntu)中这样做会怎样?

请注意,我在寻找有关特定的风险(如果有),而不是“如果不这样做会更安全”。

评论

查看目录列表不太可能会有风险。在旧的未打补丁的Adobe Reader版本中打开恶意PDF可能会带来很大的风险。在某些情况下,甚至图像预览或文件图标也可能包含漏洞利用。

@ david25272,即使查看目录列表也可能有风险。

有点像和陌生人一起乘电梯,大多数时候你都很好,但是如果陌生人又名汉尼拔·莱克特...

您可能会破坏铀离心机en.wikipedia.org/wiki/Stuxnet

@tangrs,这是我一直在寻找的东西的一个很好的例子。为什么不将其发布为答案?

#1 楼

不太令人印象深刻的是,您的GUI文件浏览器通常会浏览文件以创建缩略图。在您的系统上运行的任何基于pdf,基于ttf(在此处插入具有图文能力的文件类型)的利用程序都可能通过删除文件并等待缩略图渲染器对其进行扫描而被动地启动。我所知道的大多数漏洞利用都是针对Windows的,但不要低估libjpeg的更新。

评论


这是可能的,所以+1。即使您从不查看缩略图,Windows资源管理器(或Nautilus)也会这样做吗?

–EM0
2014年1月31日21:53

@EM可能会发生-例如,最新版本的资源管理器可能会在子文件夹中为根目录的漂亮文件夹图标构造缩略图,即使这些子文件夹设置为从不显示缩略图。

–泰南
2014年2月1日下午0:03

或者也许不尝试显示缩略图,而是显示某种元数据

–巴西那个家伙
2014年2月3日在20:08

这并非特定于USB挂载的文件系统。如果文件浏览器存在漏洞,也可能由通过其他方式(例如,电子邮件附件或通过浏览器下载)下载到计算机的文件触发。

–HRJ
2014年3月2日在14:28

#2 楼

可能发生的最坏情况仅受攻击者的想象力限制。如果您会变得偏执,那么实际上将几乎任何设备都连接到系统意味着可能会受到损害。令人怀疑的是,如果该设备看起来像一个简单的USB记忆棒。

这是怎么回事?


上图是臭名昭著的USB橡皮鸭,它是一种看起来像普通笔式驱动器但可以提供任意击键的小设备到您的计算机。基本上,它可以随心所欲,因为它将自己注册为键盘,然后输入所需的任何按键序列。有了这种访问权限,它就可以做各种令人讨厌的事情(而那只是我在Google上发现的第一击)。这东西是可编写脚本的,所以天空是极限。

评论


不错,+ 1!在我想到的情况下,已知USB记忆棒是一种实际的存储设备,并且我相信将USB记忆棒提供给我的人不会恶意感染我的计算机。 (我最担心的是它们本身可能是病毒的受害者。)但这是我没有考虑过的有趣的攻击。我想使用这样的键盘模拟器,我可能会注意到发生了一些奇怪的事情,但是可能会有更隐秘的方法……

–EM0
2014年1月30日20:42



我同意这个答案。使OP思考:)

–steve
2014年1月30日20:49

+1“可能发生的最坏情况仅受攻击者的想象力限制。”

– Newb
14年1月31日,0:39

Hak5-看起来合法!

– david25272
2014年1月31日下午4:00

显然,USB连接协议与旧的PS / 2端口协议非常相似,这就是为什么USB通常用于鼠标和键盘的原因。 (我当然可能是错的-我是从我自己的内存中挖掘出来的,它的主要特征是有损压缩)

–法老王
2014年2月1日下午13:14

#3 楼

另一个危险是Linux会尝试挂载任何东西(在这里取消了笑话)。

某些文件系统驱动程序不是没有错误的。这意味着黑客可能会在squashfs,minix,befs,cramfs或udf中发现错误。然后,黑客可以创建一个文件系统,利用该错误来接管Linux内核并将其放在USB驱动器上。

理论上,Windows也可能发生这种情况。 FAT或NTFS或CDFS或UDF驱动程序中的错误可能会打开Windows进行接管。

评论


整个水平进一步下降。不仅文件系统有错误,而且整个USB堆栈也有错误,并且许多错误都在内核中运行。

–假名
2014年1月31日下午6:09

甚至您的USB控制器的固件也可能存在可以利用的弱点。仅在设备枚举级别,就有一种利用USB棒撞入Windows的漏洞。

–西尔维努尔格
2014年1月31日15:57

至于“试图挂载任何东西的Linux”,这不是系统的默认行为,而是链接到主动尝试挂载的文件资源管理器。我敢肯定,man脚的手册页可能会揭示如何停用此功能并返回“仅按需安装”。

–西尔维努尔格
2014年1月31日15:59

Linux和Windows都尝试挂载所有内容。唯一的区别是Linux实际上可能会成功。这不是系统的弱点,而是强项。

– terdon
2014年2月2日在15:25

实际上,仅通过插入格式错误的驱动器即可使Windows崩溃。我做了几次(这让我非常生气)

–显示名称
2015年10月18日,12:32

#4 楼

有几个安全软件包可让我为Linux或Windows设置自动运行脚本,并在插入后立即自动执行我的恶意软件。最好不要插入您不信任的设备!

请记住,我可以将恶意软件附加到几乎任何所需的可执行文件以及几乎所有OS上。禁用自动运行后,您应该是安全的,但同样,我也不相信我对此稍有怀疑的设备。

有关如何执行此操作的示例,请查看The Social-Engineer工具箱(SET)。

真正安全的唯一方法是在拔下硬盘的情况下启动实时Linux发行版。然后安装USB驱动器并进行观察。除此之外,您还可以掷骰子。

如以下建议的那样,必须禁用网络。如果您的硬盘驱动器是安全的,并且整个网络都受到威胁,则无济于事。 :)

评论


即使禁用“自动运行”,仍然存在利用某些事实的漏洞利用。当然,有更好的方法可以感染Windows计算机。最好在执行该任务的硬件上扫描未知的闪存驱动器,该任务每天都会被擦除,并在重新启动后恢复为已知的配置。

–猎犬
2014年1月30日18:59



对于您的最终建议,您可能还希望包括断开网络连接,如果Live CD实例确实被感染,则可能感染网络上的其他计算机,从而获得更持久的立足点。

–斯科特·张伯伦
2014年1月30日19:15

Ramhound,我想看看您提到的漏洞利用示例(现在可能已经修补了!),您可以发表一些答案吗?

–EM0
2014年1月30日20:46

@EM,前段时间存在零时漏洞利用,该漏洞利用了快捷方式文件(.lnk文件)中图标显示方式的漏洞。仅打开包含快捷方式文件的文件夹就足以触发漏洞利用代码。黑客很容易将这样的文件放在USB驱动器的根目录上,因此当您打开它时,利用代码就会运行。

–缠结
2014年1月31日5:25



>真正安全的唯一方法是在拔下硬盘驱动器的情况下启动实时Linux发行版……—不,流氓软件也会感染固件。如今,他们受到的保护非常差。

–显示名称
15-10-18在12:34

#5 楼

USB记忆棒实际上可能是一个充满电的电容器……我不确定现代主板是否能提供此类保护措施,但我不会在笔记本电脑上对其进行检查。 (理论上,它可能会烧毁所有设备)
更新:
请参见以下答案:https://security.stackexchange.com/a/102915/28765
和视频: />

评论


是的,他们愿意。几乎所有的保险丝都带有小的可复位保险丝。我发现这个electronics.stackexchange.com/questions/66507/…很有趣。

–赞·山猫
2014年1月31日23:21

这部录像带伤了我的心灵。

–k.stm
17年4月14日在0:45

#6 楼

当我们打开文件夹时,某些恶意软件/病毒被激活。黑客可能会使用Windows(或带Wine的Linux)的Windows功能,在打开某个文件时开始制作某些文件(例如.exe,.msi或.pif文件,甚至带有恶意软件图标的文件夹)的图标/缩略图。夹。黑客在程序(例如创建缩略图的程序)中发现了一个错误,从而使恶意软件得以发挥作用。

某些故障设备可能会杀死您的硬件,尤其是主板,并且大多数默默地度过,所以您可能不知道它。

#7 楼

显然,一个简单的USB设备甚至可以油炸整个主板:


一位被称为“暗紫色”的俄罗斯安全研究人员制造了一个USB棒,其中装有不寻常的负载。 br />
它不会安装恶意软件或利用零日漏洞。
而是,定制的USB记忆棒通过USB信号线发送220伏(技术上为负的
220伏)。 USB接口,油炸
硬件。


https://grahamcluley.com/2015/10/usb-killer/

#8 楼

可能发生的最糟糕的事情是臭名昭著的BadBios感染。据推测,这可以通过将USB Host控制器插入计算机而不管您的操作系统来感染它。 USB芯片制造商的范围有限,因此利用它们并不是一件容易的事。

当然,并非所有人都认为BadBios是真实的,但这是最糟糕的事情插入USB驱动器将其连接到计算机。

#9 楼

这几乎是整个美国国防部机密网络遭到破坏的方式。在DOD站点外的停车场中,一个USB棒留在了地面上。一些天才把它捡起来,把它塞进去,插进去,现代的间谍活动是如此无聊。我的意思是在停车场中插入USB记忆棒,带回007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain