Comment détecter un USB Rubber Ducky?

Il y a trois semaines, ma société a commandé beaucoup de matériel (matériel réel, non informatique) en Chine.

Aujourd'hui, la fille d'entrepôt vient à mon bureau et dit que, mélangé les choses, elle a trouvé une clé USB blanc lecteur disant « Lihuiyu studio Labs 25/10/2012 »

Curieux, j'ai eu une réaction comme "YAY! Une clé USB gratuite! Voyons ce qu'il y a dedans!" et stupidement branché sur ma machine principale, et j'ai été choqué de découvrir qu'il est détecté comme un HID USB et un clavier.

Paralysé par le choc, j'ai attendu 20-30 secondes avant de le retirer.

Rien ne s'est passé à l'écran, un appareil USB en caoutchouc de type Ducky devrait montrer quelque chose à l'écran, non? Il n'y a aucun moyen qu'il ait compromis notre système d'entreprise avec certaines commandes de vitesse de la lumière impossibles à voir à l'œil nu, non?

Question principale:

Existe-t-il un moyen de protéger les systèmes Windows des périphériques USB comme celui-ci?

Nous devons brancher des centaines de clés USB différentes chaque semaine, donc la suppression / désactivation du support USB n'est pas une option

Question secondaire:

Comment puis-je voir ce que fait réellement ce périphérique USB?

Il n'y a aucun danger à insérer cet appareil dans votre ordinateur. C'est juste un dongle pour une suite logicielle de graveur laser nommée WingraverXP fournie avec certaines machines laser économiques. J'ai une des machines et elle est fournie avec une clé USB identique.

Dans la même veine que ce que votre mère vous a peut-être dit en tant que jeune enfant concernant l'acceptation de colis par des étrangers, lorsque vous trouvez une étrange clé USB dans un entrepôt rempli de tournevis chinois, ou quoi que ce soit, ne le branchez pas sur un ordinateur faisant partie du réseau de votre entreprise . Déjà.

C'est vraiment le meilleur moyen de "protéger les systèmes Windows contre des périphériques USB comme celui-ci". Cela dit, comme James l'a dit dans les commentaires, les premières et évidentes méthodes d'attaque seraient bloquées en désactivant la fonction d'exécution automatique du lecteur amovible, mais si quelqu'un veut vraiment nuire à un ordinateur, je suis sûr qu'un pirate talentueux pourrait le faire donc sans l'exécution automatique activée.

La prochaine fois que vous avez une étrange clé USB qui tombe du ciel comme ça et que vous voulez voir ce que c'est, vous la connectez à un ordinateur qui ne fait partie d'aucun réseau, n'a pas de connexion Internet et pas de données critiques.

Maintenant, il y a des chances qu'il y ait un docker furieux quelque part sur les côtes de la Chine déplorant la perte de son clavier sans fil, rien de néfaste n'était dans le lecteur et absolument rien ne va mal avec votre ordinateur. En règle générale, vous ne connectez pas d'étranges appareils à des réseaux.

MISE À JOUR

Je ne pense pas qu'il existe un moyen de détecter un canard en caoutchouc. La bonne nouvelle est que la plus connue ne ressemble pas à la photo que vous avez publiée. D'un autre côté, ce que fait la volée USB hypothétique dépend entièrement de sa charge utile et ne peut pas être prévu. Il n'y aura donc pas de méthode de vérification solide car vous ne pouvez pas savoir à l'avance ce qu'elle a tenté de faire.

Si votre lecteur s'identifie vraiment comme un clavier, le moyen le plus sûr de déterminer les frappes qu'il envoie est probablement un enregistreur de clavier USB matériel. Vous pouvez les obtenir partout sur Internet, il suffit de google "enregistreur de clavier USB".

Bien sûr, cela n'empêche pas le périphérique non identifié d'envoyer réellement des touches au système auquel vous le branchez, vous ne devez donc pas le faire sur un système de production.

Étant donné que vous ne voulez probablement pas désactiver la prise en charge des périphériques USB HID et clavier, je ne pense pas que vous puissiez faire quoi que ce soit pour empêcher de telles attaques, à part ne pas brancher des périphériques non fiables sur votre machine.

EDIT: Étant donné que je ne peux pas commenter les autres réponses: la désactivation de l'exécution automatique empêche uniquement l'exécution automatique des fichiers sur le lecteur USB connecté. Cependant, si cet appareil s'identifie comme un clavier, il enverra probablement des touches et ne vous proposera pas de fichiers. La désactivation de l'exécution automatique ne vous protège pas contre les frappes.

Détecteur de clavier déguisé Penteract

Il verrouille l'écran lorsqu'il détecte qu'un clavier a été connecté.