如何检测USB Rubber Ducky？

Question

三周前，我的公司从中国订购了大量硬件（真正的硬件，与 IT 无关）。

今天，仓库女孩来到我的办公室说，在混杂的东西中，她发现了一个白色的U盘，上面写着“Lihuiyu Studio Labs 2012.10.25”

出于好奇，我的反应是“YAY！一个免费的 USB 驱动器！让我们看看里面有什么！” 并愚蠢地插入我的主机，我震惊地发现它被检测为 USB HID 和键盘。

由于震惊而瘫痪，我等了 20-30 秒才取下它。

屏幕上什么也没发生，一个类似 USB Rubber Ducky 的设备应该会在屏幕上显示一些东西，对吧？它不可能通过一些肉眼无法看到的光速命令来破坏我们公司的系统，对吧？

首要问题：

有没有办法保护 Windows 系统免受这样的 USB 设备的侵害？

我们每周需要插入数百个不同的 USB 驱动器，因此无法移除/禁用 USB 支持

次要问题：

我怎样才能看到这个 USB 设备到底在做什么？

Answer 1

就像你小时候妈妈告诉你的关于接受陌生人的包裹一样，当你在一个装满中国螺丝刀的仓库里发现一个奇怪的 U 盘时，或者不管它碰巧是什么，不要把它插入属于贵公司网络一部分的计算机。曾经。

这确实是“保护 Windows 系统免受此类 USB 设备侵害”的最佳方式。话虽如此，正如詹姆斯在评论中所说，关闭可移动驱动器自动运行功能将阻止第一个明显的攻击方法，但如果有人真的想损害计算机，我相信一个有才华的黑客可以做到所以没有启用自动运行。

下次当你有一个奇怪的 U 盘像这样从天而降时，你想看看它是什么，你将它连接到一台不属于任何网络的计算机，没有互联网连接，也没有关键数据。

现在，很可能在中国海岸的某个地方有一个愤怒的码头工人为他的无线键盘丢失而感到遗憾，驱动器中没有任何恶意，而且您的计算机绝对没有任何问题。但是，作为一般规则，您不要将奇怪的设备连接到网络。

更新

我认为没有办法实际检测橡皮鸭。好消息是，最著名的一张看起来不像你张贴的照片。另一方面，假设的 USB Fowl 会做什么完全取决于它的有效载荷并且无法预测。因此，不会有一种坚如磐石的检查方法，因为您无法事先知道它试图做什么。

Answer 2

如果您的驱动器确实识别为键盘，则确定它发送哪些击键的最安全方法可能是硬件 USB 键盘记录器。你可以在互联网上找到这些，只需谷歌“USB键盘记录器”。

当然，这并不能阻止身份不明的设备实际向您将其插入的系统发送击键，因此您不应在生产系统上执行此操作。

由于您可能不想禁用对 USB HID 和键盘设备的支持，我认为除了不将不受信任的设备插入您的机器之外，您无法采取任何措施来防止此类攻击。

编辑：由于我无法评论其他答案：禁用自动运行只会阻止自动执行连接的 USB 驱动器上的文件。但是，如果此设备识别为键盘，则它可能会发送按键操作而不为您提供文件。禁用自动运行并不能保护您免受击键的影响。

Answer 3

将此设备插入计算机不会有任何危险。它只是一些廉价激光机附带的名为 WingraverXP 的激光雕刻机软件套件的加密狗。我有一台机器，它配有一个相同的 USB 记忆棒。