这是我的鼠标。我在装有病毒的旧计算机上使用了它。

如果在新PC上使用此鼠标,我的新计算机会被鼠标感染吗?

评论

USB设备很容易受到BadUSB攻击。

您怎么知道它是普通鼠标?鼠标是USB设备。您能分辨出它不只是鼠标而且还包含恶意设备吗?

c(德国电脑杂志)曾经发现提供礼物的老鼠对鼠标垫上的标志有反应。然后,这些鼠标尝试将键盘笔触发送到计算机。当然,该文章仅以德语提供,您只能阅读其中的一部分。

@idmean:您链接的文章是愚人节。但是,这并没有改变,从理论上讲,小鼠可以携带任意有效载荷。 ;)

实际上,您可以轻松地使用此鼠标来实现此目的,然后将其留给工作/学校中的人使用。

#1 楼

通常,USB设备原则上可以携带病毒。但这并不意味着所有USB设备都能够携带病毒,这只是意味着,如果您不知道该设备来自何处,那么即使它看上去并不干净,也不应将其插入计算机。就像可以传播病毒的设备一样。

说,大多数老鼠(大概包括这只老鼠)都不包含任何可写的内存。因此,受感染的计算机无法修改鼠标。因此,如果一开始使用鼠标没有危险,那么将其插入危险的计算机通常不会使其成为危险的鼠标。


有趣的是,这种特殊的鼠标与众不同实际上,它确实具有一些可编程宏的形式的内存,实际上存储在设备上。这使设备更具怀疑性-从理论上讲,恶意软件可能会覆盖您的宏。任何人都可能猜测到如何将其转化为颠覆性行为,但是对于一般的恶意软件感染,通过这种特殊的宏功能进行传输的可能性很小,即使是因为这种鼠标不是很常见也没有其他原因。 br />
有一些关于重写鼠标固件以持续攻击的可能性的讨论。固件更新是USB错误攻击类别的基础。但这要求固件是用户可刷新的。对于大多数老鼠来说,没有什么可担心的。向USB连接添加固件修改功能既昂贵又不常见。但是,如果您希望在任何地方都能看到这样的功能,那就是针对游戏玩家的过于复杂和昂贵的外围设备。

这种攻击的解剖学几乎可以肯定是模仿键盘并注入不使用时的击键脚本-有关其工作原理,请参见USB Rubber Ducky。

评论


现代鼠标往往具有可写的固件。即使是廉价的部件也可能具有传染性-而且价格更高的部件的机会也会增加。任何现代病毒都没有太多空间(磁盘格式化程序现在很少见了:)),但是我们现在生活在互联网上-很有可能放入足够的代码以允许HTTP下载并运行任何可执行文件。 IIRC鼠标驱动程序不再是内核模式,但它仍然是一个漏洞(尤其是没有UAC的情况)。当然,它仍然不太可能-对于想成为黑客的人来说,这是太多的努力。

–罗安
15/09/21在8:39



@Luaan更不用说每个“ hack”都必须针对非常特定的设备,固件版本,型号,制造商,驱动程序版本,操作系统和操作系统版本以及内部版本和硬件体系结构及其版本。太多的变量供某人尝试。

–伊斯梅尔·米格尔(Ismael Miguel)
2015年9月21日在8:46



带有正确软件的鼠标可能会伪装成键盘,并发送击键以使用常见的键盘快捷键来下载和运行软件。

–乔
2015年9月21日在9:42

@IsmaelMiguel但是它可以用于针对特定受害者,例如进入受保护的环境/网络。 USB记忆棒已留在停车场中,以实现此目的,而鼠标似乎更无辜。

– dtech
2015年9月21日14:50在

@tylerl与我合作的每个微型计算机都有某种方式可以通过USB访问内存总线。您还断言“大多数老鼠(大概包括这只老鼠)不包含任何可写的记忆”,这在本质上是错误的。

–山姆
2015年9月21日在20:47

#2 楼

根据我在这里的帖子,鼠标的内存太小而无法存储病毒(此外,它是只读内存)。因此,在实践中,很难感染鼠标。

但是,仍然有少数情况将鼠标用作攻击媒介,不仅可以感染一台计算机,还可以感染整个网络,这要归功于其中包含的固件,当鼠标被感染时会自动启动。插入计算机。 (Netragard的黑客接口设备(HID))

评论


多数鼠标不都包含有内存的微处理器吗?

–贝尔吉
2015年9月21日在12:35

取决于您所谈论的鼠标类型。如果您正在考虑使用普通鼠标(如果有的话,是带球的鼠标),那么答案是否定的。如果您是在谈论光学鼠标,答案是肯定的,它们将处理器集成到ASIC中,该处理器可驱动摄像头拍摄表面图片并将其记录到内存中,并将它们与更新的图片进行比较,并确定设备的方向被感动了。但是内存太小,无法容纳恶意软件,正如我所说。我在回答中给出的示例是有关为伤害Nefragard客户而制作的鼠标的。 @贝尔吉

–user45139
2015年9月21日在12:44

您是否有理由或证据表明大多数小鼠没有记忆?请参见Luuan的评论,即大多数鼠标都具有可写固件。

– D.W.
15年9月21日在18:13

??您在回答的第一句话中写道:“大多数老鼠没有任何类型的记忆。”但是您声称自己没有那样说吗?我不跟着你。您是否没有写下名字上方的答案?听起来您需要修改您的答案,以便更清楚地了解自己的意思。

– D.W.
2015年9月21日在18:16



再次,我建议您编辑答案以阐明您要说的内容,陈述的理由以及所做的假设。您的回答是“最多的老鼠”,但是现在您的评论暗示也许您真的在谈论“球形老鼠”,并假设大多数老鼠是“球形老鼠”。正确的解决方案是不要反复评论。正确的解决方案是将您的答案编辑得更明确。附言我仍然想看看声称球形鼠标没有可写固件的原因是什么。您有任何证据吗?

– D.W.
2015年9月21日在18:24



#3 楼

您链接的鼠标包含宏功能,可能会用于恶意目的,但是需要配置一组特定的编程输入以针对您的环境进行非常特定的攻击,此外,还需要将6个按钮映射到输入同样也是最大的风险。

使用鼠标安装的任何软件所带来的最大风险是,它可以配置鼠标键映射和对宏进行编程。

尽管不太可能,闻所未闻的市售产品随附具有您可能不知道并且被认为是恶意的具有辅助功能的软件。该软件本身也可能包含可以利用的漏洞。

任何鼠标,键盘或任何其他人机接口设备(HID)的真正风险是可能暴露在外的相关媒介。

例如,HID USB端口通常保持打开状态,尤其是对于鼠标和键盘,即使在USB接口被锁定的资产上也是如此。这些接口可以与商业上可用的产品(例如USB Rubber Ducky)一起使用,以用于恶意目的。此外,还可以使用诸如Netragard USB项目之类的经过修改的鼠标来攻击系统。

中间硬件设备也可以用于捕获鼠标输入。

其他矢量,例如嗅探任何无线鼠标和键盘上的无线电通信也是可以的,但是需要在附近非常特殊的硬件。

然后有旧的间谍电影资料,鼠标被篡改以放置跟踪器,麦克风,记录仪等,在他们里面。我不知道它在现实中有多大的地位,无论对大多数人而言,与之相关的风险非常低。

这些对所有鼠标都是通用的,而不仅仅是您链接的鼠标。

TLDR;鼠标被恶意使用的风险很小。一般而言,可将小鼠用于传递恶意有效载荷,但它们的最大风险是可能暴露出的相关攻击媒介。尽管附带的风险很低,并且通常需要物理访问。

评论


我知道的大多数宏功能设备实际上并不会对设备进行重新编程,它们只是告诉驱动程序/控制器执行一些附加功能。

–钟表缪斯
2015年9月21日在8:21

是的,绝对如此,所讨论的鼠标似乎完全按照您的描述操作。这就是我突出显示鼠标将用于操作的软件的原因。

–TheJulyPlot
2015年9月21日在8:25

是的,但是在这种情况下,要使PC端程序具有任何影响力,您就必须以某种方式传输数据,这时您会问“我将程序数据从A传输到B,是否会受到损害”。宏函数本身是一个红色鲱鱼,并且在移至新计算机时不太可能是附加向量。告诉宏执行攻击(例如,打开命令提示符)将需要与实际执行攻击相同的访问权限,因此这并不有趣。分发恶意配置文件会更好,因为大多数人不会像.bat文件那样检查它们...

–钟表缪斯
2015年9月21日在8:42

@ Clockwork-Muse仅在某些情况下支持您的观点:支持宏的鼠标在家里,但我的蓝牙演示者发送 + {和 +}作为其可编程按钮,然后软件执行宏(受限测试,因为我在Linux上使用它,但这里没有Windows CD)。但是,可以将鼠标(Logitech G300)配置为使用Windows软件发送组合键,然后在没有驱动程序的linux下运行。我不认为它可以发送序列,但是如果可以的话,分配“ + t; rm -rf〜/”将不是一个好主意。您的“所有人”假设都不稳定

–克里斯H
2015年9月22日在9:26



@ChrisH-那么,只有其中一些!

–钟表缪斯
15年9月22日在10:03

#4 楼

Tl; Dr;它可以?绝对。会吗可能没有。

它可以包含病毒吗?是。像大多数USB设备一样,该鼠标中也装有一个微控制器。该微控制器具有非易失性存储器。非易失性存储器很可能是可写的(对于固件更新,出于设计者的懒惰,它是满足要求的最便宜的部件)。

会被感染吗?是。任何可以访问驱动程序的软件都可以写入该内存,可能需要对鼠标本身上运行的软件进行逆向工程设计,但这并不是那么困难。

是否可以感染另一台计算机? ?是。例如,固件可以轻松地上传病毒,还可以更简单一些,例如将键盘琴键发送到目标计算机。

它是否可能被感染了?否。上述所有步骤都很困难,因此很昂贵。没有人期望获得价值,就不会做艰苦而昂贵的工作。有两种类型的黑客,一种是想赚钱的,他们不会攻击鼠标,因为存在更简单,更有利可图的攻击方法,两种“政府”机构(认为是NSA),他们要么希望收集大量信息(例如电话数据)或目标特定组织(例如stuxnet),那么对于前者而言,这种鼠标不够常见,而对于后者而言,则不够具体。

#5 楼

除非使用单独的设备对它进行故障处理,否则该鼠标可能不会用作传输任何数据或感染的媒介。
为什么?
根据产品规格:


512k的存储内存,宏功能可以在不同的计算机上使用


这表明存在大小为512kb的存储位置,足以存储一些感染滴管,但不能存储(可能是直接用户可访问的内存?)
如果新PC拥有最新的和已修补的功能,那么它也将是安全的。连接该设备并访问驱动器后,安全程序肯定会扫描“存储中”的内存,从而检测出感染痕迹并对其进行清理。好吧,这取决于安装的安全软件。如果用户/系统可以访问内存位置,就是这种情况。

现在,如果用户无法访问内存,即只有随附的软件才有权访问内存以操作键映射数据
假设先前系统的感染设法将滴管存储在板载内存中,那么必须有一些参与者来触发感染被发射。由于只有配套软件才能访问内存空间,并且如果它不小心访问了dropper,它将不知道如何使用它并会引发错误。

狭义的情况是,dropper专门具有特制的宏代码(由鼠标软件使用),并且软件访问了该宏并试图根据宏进行更改,如果这些特制的宏代码可以利用该软件并运行命令(例如,vb脚本),则可能会感染您。 (仍然可以发现安全软件的启发式行为屏蔽)

通常,可编程鼠标和定点设备具有单独的工具/软件来更改各种按钮的功能,必须将其安装在需要进行预期更改的机器上。情况与此相同,但是具有板载存储,以减少在迁移设备时重新映射键的不便。

宏功能:宏功能是通过按一次按钮即可执行的命令或组合键。对于重复性任务很有用。

评论


值得一提的是,Sharkoon FireGlider鼠标具有自己的内部存储器,可以将其写入。这些鼠标很容易包含恶意输入,我用它们来恶作剧。

–Hugo Zink
2015年9月21日在6:39

您怎么知道老鼠不会充当媒介?我们寻找答案,以详细的论据,证据,分析和/或推理来支持其结论。

– D.W.
15年9月21日在18:14

@ D.W我仅指的是本主题中提到的产品,而不是高级案例。

– Nikhil_CV
2015年9月21日在18:23



我们仍然需要辩解。您仅陈述结论,但不提供任何证据,分析或细节来支持您的结论。说“我仅指的是问题中提到的一种产品”没有响应,也不会改变提供这些详细信息的期望。

– D.W.
15/09/22在6:20



@ D.W.请重新检查是否可以。 ☺

– Nikhil_CV
2015年9月22日下午16:51