3 주 전에 우리 회사는 중국에서 많은 하드웨어 (IT 관련 하드웨어가 아닌 실제 하드웨어)를 주문했습니다.
오늘 창고 소녀가 사무실에 와서 물건이 섞여서 “Lihuiyu Studio Labs 2012.10.25″라는 흰색 USB 드라이브를 발견 했다고 말합니다.
궁금해서, “YAY! 무료 USB 드라이브! 안에 무엇이 있는지 보자!”와 같은 반응이있었습니다. 내 컴퓨터에 어리석게 꽂혀 USB HID 및 키보드로 감지되는 것을보고 충격을 받았습니다.
충격으로 마비되어 20-30 초 정도 기다렸다가 제거했습니다.
화면에 아무 일도 일어나지 않았습니다. USB Rubber Ducky와 같은 장치가 화면에 뭔가 보여야합니다. 육안으로는 볼 수없는 광속 명령으로 회사 시스템을 손상시킬 수있는 방법이 없습니다.
기본 질문 :
이와 같은 USB 장치로부터 Windows 시스템을 보호 할 수있는 방법이 있습니까?
매주 수백 개의 다른 USB 드라이브를 연결해야하므로 USB 지원 제거 / 비활성화는 옵션이 아닙니다.
이차 질문 :
이 USB 장치가 실제로 무엇을하고 있는지 어떻게 알 수 있습니까?
답변
컴퓨터에이 장치를 삽입해도 아무런 위험이 없습니다. 일부 저렴한 레이저 기계와 함께 제공되는 WingraverXP라는 레이저 조각사 소프트웨어 제품군의 동글입니다. 기계 중 하나가 있으며 동일한 USB 스틱이 제공됩니다.
답변
어머니가 어린 아이에게 낯선 사람으로부터 패키지를받는 것에 대해 말한 것과 비슷한 맥락에서, 중국 드라이버로 가득 찬 창고에서 이상한 USB 드라이브를 찾거나 어떤 일이 있어도 플러그를 꽂지 마십시오. 회사 네트워크의 일부인 컴퓨터 . 이제까지.
이것이 실제로 “이와 같은 USB 장치로부터 Windows 시스템을 보호하는”가장 좋은 방법입니다. James가 의견에서 언급했듯이 이동식 드라이브 자동 실행 기능을 해제하면 첫 번째 공격 방법이 차단되지만 실제로 컴퓨터를 손상시키고 싶다면 재능있는 해커가 할 수 있다고 확신합니다. 자동 실행이 활성화되지 않은 상태입니다.
다음에 이상한 USB 스틱이 하늘에서 떨어지고 그것이 무엇인지 확인하고 싶다면 네트워크에 속하지 않고 인터넷에 연결되어 있지 않고 중요한 데이터가없는 컴퓨터에 연결하십시오.
이제 중국 해안 어딘가에 무선 키보드를 잃어버린 화나게하는도 커가있을 가능성이 있습니다. 드라이브에 사악한 것도없고 컴퓨터에는 전혀 문제가 없습니다. 그러나 일반적으로 이상한 장치는 네트워크에 연결하지 않습니다.
최신 정보
실제로 고무 오리를 감지하는 방법이 없다고 생각합니다. 좋은 소식은 가장 잘 알려진 것이 게시 한 사진과 비슷하지 않다는 것입니다. 반면, 가상 USB 닭의 기능은 전적으로 페이로드에 따라 달라지며 예측할 수 없습니다. 그러므로, 무엇을 시도했는지 미리 알 수 없기 때문에 확고한 확인 방법은 없습니다.
답변
드라이브가 실제로 키보드로 식별되는 경우 전송하는 키 입력을 결정하는 가장 안전한 방법은 하드웨어 USB 키보드 로거 일 것입니다. 당신은 구글 “usb 키보드 로거”, 그냥 인터넷을 통해 그들을 얻을 수 있습니다.
물론 이것은 식별되지 않은 장치가 실제로 시스템에 키 입력을 보내지 못하게하지 않으므로 프로덕션 시스템에서는이 작업을 수행하지 않아야합니다.
USB HID 및 키보드 장치에 대한 지원을 비활성화하지 않으려는 경우 신뢰할 수없는 장치를 컴퓨터에 연결하지 않는 것 외에 이러한 공격을 방지하기 위해 수행 할 수있는 조치는 없다고 생각합니다.
편집 : 다른 답변에 대해 언급 할 수 없기 때문에 : 자동 실행을 비활성화하면 연결된 USB 드라이브의 파일이 자동으로 실행되지 않습니다. 그러나이 장치가 키보드로 식별되면 키 입력을 보내고 파일을 제공하지 않을 수 있습니다. 자동 실행을 비활성화해도 키 입력으로부터 보호되지 않습니다.