将找到的随身碟连接到 USB 端口的风险

信息安全 USB
2021-09-13 17:47:13

在工作中,我们主要使用 Windows 10,但一些从事设计工作的同事使用 Mac。随身携带笔式驱动器,知道里面有什么的唯一方法是将其插入 PC 并阅读内容?

病毒、后门程序、恶意软件等进入我们的计算机的风险有多高?

如果风险很高,可以采取哪些措施来降低风险?

4个回答

TLDR:风险是非常真实的。这相当于给有恶意的人提供键盘、网络接口、存储等……但不向他们显示屏幕。

我认为@eckes 的评论总结得很好。诚然,USB-kill 加密狗当然是真实的,但确实具有有限的“破坏性”方面。

如果设置正确,USB Dongles 可以模仿任何与 USB 相关的东西(键盘、NIC 等)或它们的组合。Hak5 Rubberducky或 Samy Kamkar 的PoisoinTap等工具展示了这种可能性。它可以窃取信息、植入恶意软件等;这是一个重要的问题(数据,操作方面),不仅仅是物理损坏。

正如 CinisSec 已经提到的,USB 驱动器可能不包含真正的驱动器,而是一个可以破坏您的计算机的USB Kill 。有一些方法可以缓解这种情况,但它们通常不值得花时间和精力,而且并不总是能消除整个风险。

当然,正如其他人所提到的那样,也存在涉及软件相关损害的风险。通过Rubberducky的DMA 攻击到简单的类似“自动运行”的攻击,主机都可能被感染。虽然您可能能够隔离虚拟机中的驱动器,但这可能无法完全降低风险。此外,从 Live CD 启动也不会保护您免受写入标准驱动器的恶意软件(因此这需要您拔掉这些)和针对您的主板固件的漏洞利用。如今,UEFI 非常先进,可以轻松重新编程,以便在启动正常操作系统之前将恶意软件下载到您的硬盘驱动器上。BIOS 密码在这里可能会有所帮助,但这种机制并非设计为无懈可击的。

在当今可以从暗网购买漏洞利用程序(甚至作为渗透测试套件的一部分免费下载)并且 USB 驱动器实际上是免费的时代,“坏人”可以购买数百个这样的驱动器并传播他们在公共场合。由于大多数人不考虑风险,而是相信他们的防病毒软件可以保证他们的安全,因此收益可能会非常惊人,并可以支付驱动器和漏洞利用的成本。

因此,在不冒损坏计算机或数据的风险的情况下找出驱动器上的内容的更好方法是使用刻录机计算机,您不介意它是否被炸毁。那可能是一台旧电脑或树莓派,可以花几美元买到。使用与互联网断开连接的单独附件来检查驱动器。如果您认为它是安全的,则可以继续传输数据等。由于在大多数情况下,刻录机计算机不会永久损坏,因此每次您不清楚 USB 驱动器时都可以重复使用它。如果驱动器确实包含恶意软件,您可以重新刷新 Raspberry Pi 的 SD 卡并重新开始。

这不会阻止任何硬件攻击,例如 USB 杀手,但这应该阻止(几乎?)所有软件攻击,除了最高级的版本,其中恶意程序以某种方式隐藏在主板的某个地方或类似的地方。

你需要:

  • 一台可以拆卸的电脑(必须有 DVD 阅读器,最好不要结合阅读器和翻腾器)
  • 一次性可刻录 DVD(不是闪存驱动器,这些也可以稍后写入)
  • DVD 刻录机(最好在另一台计算机上)

该怎么办:

  1. 按照以下说明制作可引导的 Ubuntu (Linux) DVD:

    https://tutorials.ubuntu.com/tutorial/tutorial-burn-a-dvd-on-windows#0

  2. 当您拥有可启动的 DVD(并且已经测试过它可以正常工作)时,最好确保 BIOS 尝试从您将要反汇编的计算机上的 DVD 读取器启动。

  3. 然后(拔下电源并)打开您选择的计算机,从计算机上拆卸并卸下硬盘驱动器和任何(无线)网卡。

  4. 现在将可引导 DVD 插入拆卸的计算机并启动它。

  5. Linux 有一个很棒的操作系统,可以从 DVD 运行,所以现在你应该能够将 USB 插入拆卸后的计算机上的端口。

假设 USB 感染了各种恶意软件,现在恶意软件应该无法将自己存储在任何地方,因为唯一可能存储的位置是:

  • RAM 存储器(电源关闭后所有数据丢失)

  • 可能是主板上的某种启动内存(需要非常高级的病毒。可能是专门为该主板设计的,因为大多数主板类型的编程略有不同)。

  • CPU内部的一些寄存器(一次只能保存几个字节,并且可能(?)在电源关闭时忘记所有内容)。

小心连接到这台计算机的键盘、鼠标和屏幕,因为它们内部可能有某种内存,所以假设它们已被感染并且不要在其他任何地方使用它们,我认为同时使用它们是个好主意你拥有的最古老的键盘、鼠标和屏幕,因为我认为它们不太可能有内置内存(不像最新的 Razor 鼠标和类似的东西)。

完成后,只需拔下计算机电源即可清除所有内存(主板可能有一个“纽扣电池”,即使在计算机电量不足时也能保持时钟滴答作响,这块电池也可能为一些内存供电,所以它可能是将电池也取出一段时间是个好主意(我不知道这是否会清除任何重要的“主板启动记忆”或其他东西,还有其他人知道吗?))

祝你好运!

大多数人认为他们只能通过自动运行或类似的方式感染他们的 PC,但你不能忘记 USB Kill。这些笔式驱动器在 USB 端口上充电,然后立即将所有内容放回去以炸毁您的计算机。你无能为力,但如果它发生了,你会哭。

您始终可以在与任何网络和硬盘断开连接的计算机上运行实时 USB(具有物理写保护),以避免恶意软件传播,然后对其进行分析。

其它你可能感兴趣的问题
上一篇如何确定恶意软件作者? 下一篇比其父级具有更多位的证书是否更安全?