Detener el ataque de Rubber Ducky HID

4

He logrado detener la mayoría de los vectores de ataque utilizando una variedad de políticas de grupo diferentes. El único con el que tengo problemas es cuando utiliza el método de ataque HID.

¿Alguien ha encontrado una solución para detenerlo imitando un teclado y dejándolo entrar en el sistema?

    
pregunta ben950 11.06.2018 - 13:59
fuente

3 respuestas

1

El acceso físico a un puerto USB significa que estás bastante jodido.

La emulación HID (es decir, el teclado) es solo una cosa que puede hacer un dispositivo USB. También puede pretender ser una interfaz Ethernet o un módem, y ofrecer "acceso a la red" a la PC. Si el sistema operativo lo configura automáticamente y decide utilizarlo, entonces el dispositivo podrá detectar el tráfico de la red, falsificar las consultas de DNS, etc.

Más detalles aquí .

Ahora, si solo estás interesado en detener esto y no los otros ataques, puedes detenerlo con software que detectará una velocidad de escritura excesiva. Eso no detendrá a un patito de goma lento por supuesto. Puede verificar el VID / PID USB del teclado, pero un dispositivo USB puede fácilmente pararlos.

Realmente, el USB es un acceso físico, es inseguro.

    
respondido por el peufeu 11.06.2018 - 20:28
fuente
1

Bueno, supongo que escribir un filtro de sistema de archivos no dolería? Luego, cuando se enchufa un USB, de alguna manera puede obtener una copia del firmware. Supongo que > enlace . luego puede analizar desde allí y luego bloquearlo / permitirlo ...

Pero eche un vistazo a esto, enlace "Unidades flash USB .... construidas con firmware seguro firmado digitalmente"

O simplemente puede "educar" al usuario, supongo ...

    
respondido por el NTDLL 11.08.2018 - 01:44
fuente
0

Debería obtener un software que bloquee la pantalla cuando se inserta un HID. (Por ejemplo, el Detector de teclado disfrazado de Penteract).

Eso debería proteger su computadora siempre que tenga una contraseña lo suficientemente fuerte para ello.

    
respondido por el User42 27.12.2018 - 13:40
fuente

Lea otras preguntas en las etiquetas