据我所见,RubberDucky 等基于 USB 的攻击需要能够打开终端,然后从那里执行命令,通常是下载并安装恶意软件或打开反向 shell。
这是大多数(如果不是所有)基于 USB 的感染的运作方式吗?能够检测和防止击键注入是否能确保我免受基于 USB 的恶意软件攻击?
如果与问题完全相关,用于向外壳发送信号的组合键将与常规击键一起被捕获和检测。
编辑:我最关心的是基于 USB 的攻击,其目的是用恶意软件感染机器和/或打开一个操纵系统的后门。
在打开反向 shell 的情况下,攻击者/er 是否仍依赖执行命令,即假设在所讨论的系统上,只有一个终端打开或可用,如果这种攻击是,我将能够看到击键发生?
在数据泄露的情况下,硬件上的恶意软件是否有办法挂载分区/文件系统,然后在无法输入击键的情况下复制文件?
还有基于自动播放功能 (其他来源)的攻击,尽管我认为这对于 Windows 10 等较新的操作系统来说有点过时了。还有一些USB-Killers在硬件级别上运行并通过发送高电平来杀死你的机器当前的冲击。
以下是可能属于同一类别的其他攻击列表,包括但不限于:
除了之前所有的好答案,还有一个没人提到的:基于 USB 的以太网设备。就像优秀的PoisonTap一样。
可以将设备注册为以太网设备,并更改设备IP的默认路由。这样,每个明文请求和每个 DNS 请求都将发送给它,并且对重要域的请求(想想常用的 CDN,如 Cloudflare、Akamai 等)可能会被污染。
如果发出 HTTP 请求并且域解析被破坏,攻击者可以提供恶意jquery.js文件,例如,在答案上放置一个非常长的过期标头,并在链接到该脚本的每个站点上运行一个后门 jquery,例如很长一段时间后,他删除了恶意设备。
除此之外,攻击者还可以在同一网络上设置另一台主机并更改默认网关。这样,攻击者就可以对主机执行中间人攻击,而无需借助 ARP 中毒——噪音很大,并且可以很快被新防火墙捕获。作为网关意味着任何非加密协议都可以被攻击者记录、编辑和捕获任何秘密。
击键注入是一种很好的攻击,但必须解锁机器。即使机器被锁定,网络更改攻击也会起作用,它只需要一个进程来尝试解析域并且可以缓存结果。
臭名昭著的是,Stuxnet 利用了 Windows 的一项功能,只要驱动程序具有适当的数字签名,就可以在插入 U 盘时自动将 USB 驱动程序安装到 U 盘上。Stuxnet 病毒的驱动程序使用 Microsoft 拥有的私钥签名。目前尚不清楚该特定 Microsoft 私钥是如何获得的——它是否被盗,或者 Microsoft 是否参与了攻击。
Stuxnet 旨在破坏伊朗的互联网连接网络。Stuxnet 然后会将驱动程序复制到插入受感染网络设备的 USB 记忆棒上。当伊朗核加工厂的操作员使用这些 U 盘将数据传输到他们的气隙安全网络时,驱动程序将安装在气隙另一侧的机器上,让 Stuxnet 离它的最终目标更近一步:摧毁网络伊朗用于提炼铀的离心机的工业控制器。
至少一个病毒使用了使用从亚洲 USB 设备制造商窃取的私钥签名的驱动程序,该私钥随后被撤销。
根据维基解密泄露的 NSA 网络战用户手册中的材料,攻击选项之一是“短暂访问计算机的 USB 端口”。因此,据推测,NSA 已经(或曾经)通过插入 U 盘来感染计算机系统的攻击。