那些遇到过的问题

如何安全地调查在工作停车场发现的 U 盘?

Vil*_*oes 21 security usb-flash-drive

我在一家嵌入式软件公司工作。今天早上我在大楼前的停车场找到了一个 U 盘。考虑到所有关于“掉落的 USB 记忆棒攻击”的故事,我显然不会只是将它插入我的笔记本电脑。OTOH,我很想知道这是否真的是试图破坏我们的系统,或者这真的只是某人不小心丢失了 U 盘的无辜案例。如何安全地检查 U 盘而不会冒着暴露的风险?

我担心的不仅仅是恶意软件和精心制作的文件系统映像;还有诸如电涌攻击之类的东西:
“USB Killer 2.0”表明大多数支持 USB 的设备都容易受到电涌攻击

编辑:许多答案似乎都假设我想保留驱动器并在之后使用它。我对此完全没有兴趣,我知道 U 盘很便宜,而且无论如何我都不会保留。我只想知道这是否真的是半针对性攻击,部分是出于好奇这是否真的发生在现实生活中,而不仅仅是在安全文件中,也是为了警告我的同事。

我想知道如何确定该棒是否包含恶意软件。这不仅仅是查看驱动器内容并查看可疑的 autorun.inf 或精心制作的损坏文件系统的问题 - 我还非常想要一种检查固件的方法。我有点期望有一些工具可以提取它并与已知好的或已知坏的二进制文件进行比较。

kar*_*rel 14

用于测试您在停车场发现的可疑 USB 闪存驱动器的一个很好的安全发行版是Trusted End Node Security (TENS),以前称为轻量级便携式安全 (LPS),这是一种 Linux 安全发行版,当它从内存启动时完全从 RAM 运行。可启动的 USB 闪存驱动器。TENS Public 将不受信任的系统(例如家用计算机)转变为受信任的网络客户端。无法将任何工作活动(或恶意软件)的痕迹写入本地计算机硬盘。

除了安全功能,TENS 还有另一个有用的目的。因为它完全从 RAM 运行,TENS 几乎可以在任何硬件上启动。这对于测试无法启动大多数其他实时可启动 USB ISO 映像的计算机的 USB 端口非常有用。

十

USBGuard

如果您使用的是 Linux,USBGuard软件框架通过实现基于设备属性的基本白名单和黑名单功能,有助于保护您的计算机免受恶意 USB 设备的侵害。为了执行用户定义的策略,它使用了自 2007 年以来在 Linux 内核中实现的 USB 设备授权功能。

默认情况下,USBGuard 会阻止所有新连接的设备,并且在守护进程启动之前连接的设备保持原样。

开始使用 USBGuard 保护您的系统免受 USB 攻击的一种快速方法是首先为您的系统生成一个策略。然后,使用命令启动 usbguard-daemon sudo systemctl start usbguard.service。您可以使用usbguard命令行界面命令及其generate-policy子命令 ( usbguard generate-policy) 为您的系统生成初始策略,而不是从头开始编写。该工具在执行时为当前连接到系统的所有设备生成允许策略。1

特征

  • 用于编写 USB 设备授权策略的 规则语言

    规则的目标指定设备是否将被授权使用。识别三种类型的目标:

    • 允许 - 授权设备
    • 阻止 - 取消对设备的授权
    • 拒绝 - 从系统中删除设备

  • 具有用于动态交互和策略执行的 IPC 接口的守护程序组件

  • 与正在运行的 USBGuard 实例交互的命令行和 GUI 界面
  • 用于与共享库中实现的守护程序组件交互的 C++ API

1修订自:使用 USBGuard 内置针对 USB 安全攻击的保护

安装

USBGuard 默认安装在 RHEL 7 中。

要在 Ubuntu 17.04 及更高版本中安装 USBGuard,请打开终端并键入:

sudo apt install usbguard
Run Code Online (Sandbox Code Playgroud)

要在 Fedora 25 及更高版本中安装 USBGuard,请打开终端并输入:

sudo dnf install usbguard
Run Code Online (Sandbox Code Playgroud)

要在 CentOS 7 及更高版本中安装 USBGuard,请打开终端并键入:

sudo yum install usbguard
Run Code Online (Sandbox Code Playgroud)

USBGuard 的源代码编译需要安装其他几个软件包作为依赖项。

  • 我想念有关破坏任何 USB 端口的电涌的信息。因此,我建议使用一次性 USB 集线器 (4认同)

Jou*_*eek 13

如果您不想使用它但很好奇 - 我实际上会首先打开外壳(非常小心)并查看里面的芯片。

我知道。这听起来很疯狂,但是可识别的控制器和闪存芯片的存在会使它更有可能是一个真正的 USB 驱动器,而不是像 USB 橡皮鸭或 USB 杀手之类的东西。

然后按照其他人的建议在一次性安装上进行测试,同时运行一些可启动的病毒扫描程序,然后如果您确定它是安全的,请擦除它。

  • 如果有一堆大陶瓷电容器,它很可能是 USB 杀手。如果没有大电容器,可以肯定它不会对计算机造成物理损坏 (2认同)

may*_*ign 2

有多种方法,但如果该棒有嵌入恶意软件的固件,那确实非常危险。

一种方法可能是下载众多 LiveCD Linux 发行版之一,拔掉所有硬盘驱动器和网络连接,然后查看。

我想我会建议从柜子里拿出一台旧笔记本电脑,将其插入其中,然后用大锤子敲击它。

最好的方法——不要好奇!:)

  • @Journeyman Geek 看完内容后,我会用锤子敲击所有东西。笔记本电脑、U 盘(两次),甚至可能还有桌子:) (2认同)

归档时间:

查看次数:

22405 次

最近记录:

5 年,7 月 前
安全地打开可疑的 USB 驱动器 11
我在地上发现了两个 U 盘。怎么办? 8
如何安全浏览不受信任的 USB 闪存驱动器? 6
更多相关链接
相关归档
密件抄送电子邮件是否保证可靠? 29
本地加密 Dropbox 文件夹 8
我可以让我的假闪存 U 盘通过低级格式化获得真正的容量吗? 7
将扬声器放在显示器后面是否安全 6
解读 Netgear 无线路由器安全日志 6
家庭无线网络的安全设置 5
单个 DNS 名称后面的多台主机的 SSH 密钥验证 5
wpa_passphrase 工具实际上向 wpa 请求者配置文件添加了哪些安全性? 4
可以在闪存驱动器上运行的操作系统? 2
我应该阻止哪些其他端口以最大限度地提高服务器安全性?PS使用IPTABLES 2
难疑归档
找出哪个进程正在锁定 Windows 中的文件或文件夹 994
删除或阻止侧边栏在 Adob​​e Reader 上默认打开 291
如何最好通过终端列出连接网络中的所有 IP? 262
Unix 命令或 C 函数后的括号和数字是什么意思? 238
如何防止 Windows 10 自动添加键盘布局(即美式键盘) 177
如何确定哪个 /dev 是 USB 闪存驱动器? 176
从 C:\Windows\Installer 删除是否安全? 137
Windows 是否存在等效的 Time Machine? 119
Less:快速跳转到大文件中的行号 101
如何在不重新启动计算机的情况下退出冻结的 Spotlight? 99