停车场中掉落的USB记忆棒作为实际攻击向量 多年来,这是一个聪明的技巧在停车场放置U盘并跟踪有多少人将其插入计算机。我一直认为,问题不在于人们正在插入木棍,而在于计算机足够信任它们,可以从中运行软件。 这是第一次我听说有罪犯在耍这种把戏。 标签:网络犯罪,闪存驱动器,恶意软件,社会工程学 发布于2012年7月12日上午9:47•31条评论
米拉蒙•2012年7月12日上午10:06 这一直是微软的错,因为无论何时他们决定软盘默认应该自动加载——也许是1981年吧? 如果没有那一个愚蠢的决定,整个基于软盘的病毒行业就不会开始,也许恶意软件总体上会是一个较小的问题。 总之,存储卡和拇指驱动器普遍缺乏安全方法,这与这一伟大传统完全一致。
塞希•2012年7月12日上午10:11 最近发生在一家亲戚工作的生物/化工厂附近。他们注意到了,因为公司的反病毒软件在插入木棍时发出警报,这促使安保人员搜索该地区。 很明显,他们在大院周围发现了几个“杂散”USB。
迈克尔•2012年7月12日上午10:31 这篇文章提到有多个USB驱动器被丢弃,这可能会泄露游戏。也许这是我们第一次听说这样的袭击,但它没有达到应有的目标或效果。现在,想象一下这样一个场景,罪犯对目标进行了适当的研究,并将一个USB驱动器放在一个更具战略性的位置,在那里特定的人最终会运行恶意软件。如果罪犯成功感染了正确的机器,他/她将有很好的优势发动任何攻击。
奥林•2012年7月12日上午11:05 可以锁定Windows以锁定“未知”USB驱动器,但Windows在其默认状态下与Windows不同,因为它可以在锁定状态下运行(使用可移动设备策略,AppLocker)
玩具喇叭•2012年7月12日上午11:16 他们甚至没有尝试。这些家伙要微妙得多。当然,每个人都知道不要插入U盘,对吗?但是一只老鼠?它会有什么害处… http://pentest.netragard.com/2011/06/24/netragards-hacker-interface-device-hid/
信息管理员•2012年7月12日上午11:42 我尊重布鲁斯,但我不得不不同意他的说法。在某些情况下,用户必须对其在系统上的操作负责。计算机并不是为了预测一个不负责任的用户在其环境中设置未知元素的愚蠢本质。USB设备的本质是,它的功能普遍使我们远离了依赖于我们使用的系统的驱动程序的不断加载。我们作为安全专业人员使用的一些相同的策略肯定被我们的对手使用。只要我们专业人员使用过这些战术,我们的对手就一直在使用这些战术。这是游戏的本质,我们都是为了更好或更坏地对抗对方。反对者知道,无论您多么努力,都无法修补用户,针对人为因素的攻击通常比直接攻击系统或环境的攻击更快地产生结果。
鲍勃•2012年7月12日上午11:53 @信息管理员 他们为什么要为自己的行为负责?这只是一份工作。“哦,免费的U盘!不知道上面有什么?病毒?太棒了,我会去食堂看书,直到她把我的电脑整理好。” 如果一家公司依靠每一位员工的积极性、幸福感和责任感,这不会持续很长时间。
马蒂·劳德塞普•2012年7月12日下午1:37 许多评论员似乎没有意识到,即使操作系统没有立即执行棒上的内容,USB端口也会打开一个巨大的攻击面: 操作系统支持的所有USB设备驱动程序-由具有未知安全专业知识的各种不同供应商编写 所有文件系统代码(通过USB大容量存储) 访问主机上的网络服务(作为USB以太网适配器) 直接键盘/鼠标控制 可能比我想象的还要多 USB记忆棒可以通过无线电连接与攻击者进行交互通信 由于这不是一种常见的攻击工具(还没有?),USB代码编写的防御方式不像网络代码——它可能像瑞士奶酪一样充满了漏洞。驱动程序或文件系统中的漏洞意味着攻击者拥有最高的内核模式执行权限。 底线:让未知的USB记忆棒远离电脑。教育用户。USB堆栈可能最终会得到保护,但在这十年内不会。
瓦埃勒•2012年7月12日下午2:01 @马蒂·劳德塞普 “攻击者的内核模式执行权限-尽可能高。” 我认为还有更高的… 升序:虚拟机监控程序级别(考虑Ring-1,而不是内核的Ring 0)固件级别(例如BIOS)(环-2🙂 )微码级别。 如果您具有内核级访问权限,则不一定具有FW级访问权限或Microcode级访问权限。
MingoV公司•2012年7月12日下午6:30 如果我在商业或政府机构的停车场找到一个USB记忆棒,我会把它交给it部门,这样他们就可以使用非联网的“测试”计算机来查看USB记忆棒是否属于某个员工(并查看该员工是否在传输未经充分加密的敏感信息)。 如果我在公共场所找到一个U盘,我会把它插到我的一台旧的、没有联网的Mac电脑上,试着找到它的主人。(针对Mac的恶意软件的可能性很低,如果是这样的话,我只会擦除硬盘。)如果它没有指向所有者的指针,我会重新格式化以供自己使用。
德克·普拉特•2012年7月12日下午6:40 从我坐的地方来看,通过USB感染的责任由IT和用户共同承担。前者需要设置控制,以防止未知USB设备连接到网络,后者则需要学习有关此类设备的安全策略和程序。如果不这样做或不遵守适用的政策,则意味着这两者都会产生后果。 我知道至少有一位当地(军事)客户有一种习惯,他会把无意中的销售代表或其他被手机或U盘抓到的访客介绍给两位名叫布巴和耶稣的卑鄙议员,他们的主要工作是吓唬这些人。
瓦埃勒•2012年7月12日下午7:05 @德克·帕雷特 是的!再次滥用角色。 IT是保护公司资产的授权所有者。他们不得将该任务委托给非所有者,例如用户。IT部门向用户发送一封电子邮件,说“请不要将您在公司电脑停车场找到的USB记忆棒插上”,这相当于将保护任务委派给用户。这封邮件应该是为了提高人们的意识,而不是为了防止漏洞。IT需要制定其他控制措施…
pgagge公司•2012年7月13日2:50 AM @瓦尔:如果公司信息资产(与物理服务器、网络和诸如此类的枯燥乏味的东西相反)归IT所有,其唯一责任是保护和决定谁有权访问,公司陷入了大麻烦。几乎所有现代公司的盈利能力和生存都依赖于海量信息的可用性和完整性。它可能需要很多技术来处理,但这并不能让It部门专家了解信息的价值。(有些人尝试这样做。他们可能会从传统的IT角色演变而来。) USB记忆棒、云存储服务、电子邮件三种选择:所有这些都是威胁载体,但如果正确使用,也会提高生产力。应对外部威胁的最后一道防线总是终端用户公认的多变的常识。这不是“授权”责任:责任开始在业务方面,与拥有信息资产的人打交道。IT应该能够阻止和减轻一组已知的威胁,但无法在不阻碍业务完成的情况下有效地阻止所有威胁。只有IT和最终用户合作才能获得合理的安全性(与神话般的完美安全性相反)。
回声智力•2012年7月13日上午8:53 人们在哪里购买的USB如此昂贵,以至于值得尝试清理地面上发现的“免费”USB? 同意“把它交给it安全部门”的想法。如果他们发现了一些邪恶的东西,实际上可以从中获得一些好处。 利益vs.风险,有人吗?
保罗•2012年7月13日上午9:09 我认为把“发现躺在地上”等同于“未知”是错误的。你所要做的就是使用一个带有公司徽标的箱子,将驱动器标记为tradeshow swag(!),或者在上面贴上标签,标识它属于某个(可能是虚构的)人或部门,然后它就会“众所周知”。
瓦埃勒•2012年7月13日下午2:00 @德克·普拉特 我的回答是支持你的说法,而不是纠正它。我本应该说得更清楚一些。 @pgagge公司我也失去了对你的回应,不知怎么的,这并没有表现出来。很长一段时间了,我没有存到当地…
瓦埃勒•2012年7月13日下午6:39 @pgagge公司 反应很好… 如果公司信息资产(与物理服务器、网络和诸如此类的枯燥乏味的东西相反)归IT所有,其唯一责任是保护和决定谁有权访问,公司陷入了大麻烦。 不一定。雇佣合适的团队或抱怨结果。IT部门负责实施谁应该具有访问权限。他们得到了一份用户列表和他们的需求。有时,他们会决定谁有权访问什么。 几乎所有现代公司的盈利能力和生存都依赖于海量信息的可用性和完整性。它可能需要很多技术来处理,但这并不能让It部门专家了解信息的价值。(有些人尝试这样做。他们可能会从传统的IT角色演变而来。) IT不需要成为信息价值方面的专家。他们只需要知道它必须得到保护。他们将从各个部门获得任务和指示或信息,以量化所需的安全级别。 USB记忆棒、云存储服务、电子邮件三种选择:所有这些都是威胁载体,但如果正确使用,也会提高生产力。 “正确使用时”: 是谁决定的?用户、IT或常识?我说,IT制定规则和政策,并试图实施这些政策和控制。如果用户有常识,他/她就会遵守。IT还必须假设用户不可信。如果用户在公司网络上插入U盘,导致网络瘫痪,这将是It的瓶颈几个小时。谁会站在那个男人面前向他解释情况?用户还是IT主管?首席执行官对首席信息官:发生了什么?我听说证件被泄露了,媒体正在追捕我们。首席信息官:嗯。嗯。这家伙在停车场发现了一个U盘…那会飞吗? 应对外部威胁的最后一道防线总是终端用户公认的多变的常识。这不是“授权”责任:责任开始在业务方面,与拥有信息资产的人打交道。 在我见过的大多数公司环境中,用户什么都不拥有。一切都属于公司,他们告诉你这一点。这还包括放弃你的隐私权。他们告诉你,他们将监控所有沟通渠道。信息的所有权是无可争辩的,他们的律师清楚地表明了这一点。公司法人实体拥有该信息,IT是致力于保护该信息的实体。要求用户“遵守”。我基本上是在说,而不仅仅是“问”,“强制”。 “IT应该能够阻止和缓解一系列已知威胁,但无法在不妨碍业务开展的情况下有效阻止所有威胁。只有IT和最终用户合作才能获得合理的安全性(而不是神话般的完美安全性)。” 协作意味着用户要遵守IT策略,这意味着提醒IT注意他们意识到的威胁。协作并不意味着委托用户保护他/她不“拥有”的资产。我们可以谈谈现实生活中的例子。我相信你一定听说过一些人丢失了他们的未加密笔记本电脑,这些笔记本电脑中含有大量的信息,这些信息给他们的雇主带来了大笔金钱、负面新闻稿和尴尬,以及其他令人心痛的事情。因此,Salesman先生拥有一个包含数万名客户、他们的用户名、ID、社交安全号码、年龄等信息的数据库。IT部门已使用所有“已知”的机制和控制措施在其服务器上保护了该数据库。Salesman先生想要提高效率,他一直在路上(在路上),不喜欢VPN的想法,连接速度慢;你所说的inconvienice和生产力。所以他在笔记本电脑上本地复制了这个数据库——他的常识允许他这样做。而且不加密它——忽略了it的政策,即移动设备上的所有公司信息都必须加密。 这家伙把笔记本电脑忘在火车、出租车或其他什么地方了——他不记得了。IT发现了,或者更糟的是(有时是这样)有人公开了这些信息。你可以从那里猜出剩下的(或阅读相关内容) 这里有两个问题:1-这里谁有错?2-未来如何减少(我不说预防)此类事件? 所以用户是surley负责的。Salesman先生违反了公司的政策,需要“智慧化”(与Sodom和Gomorrah的另一个词押韵)。他的责任到此为止。另一方面,IT不仅要负责,而且要负责。他们应该有适当的控制措施来防止这种情况发生,这些控制措施不是“火箭科学”。 关于“与神话般的完美安全相反”…背景很短,克莱夫·罗宾逊的风格打动了我🙂所以我之前说过,(在我看来)安全性是:“通过资产所有者的完全意识和完全有把握的控制,保护资产的无痛能力”我还说过,“绝对安全”是不存在的——这从定义上就很清楚了。因此,这是我在分析安全事件或制定安全解决方案时使用的定义。它不是一成不变的,是开放的改进和批评……你也可以完全无视它。所以在电气工程中,他们使用了一些模型。这些都是理想的,在现实生活中并不存在(或在罕见的情况下存在)。这些模型用于简化复杂电路的设计和分析。例如,有“理想电流源”和“理想电压源”。你也可以用“完美”来代替理想。我试图为安全部门做同样的事情。什么参数可以允许理想或完美的“安全”模型存在?正是在这个博客上,我找到了两个“理想”的模型:城堡和监狱。城堡和监狱可以像电压和电流一样相互关联(通过砖块电阻或欧姆定律:)。有人说这纯粹是理论上的,但我发现这种方法是系统和有条理的。我又开始偏离C-v-P,所以我最好到此为止。
Mr环球•2012年7月13日下午7:48 @贾达在声称“dd可以治愈所有感染”之前,你可能想先了解一下闪存的工作原理——如果U盘对内存管理器进行了一些调整,那么当“无法使用”的扇区最终需要清理时,你可能会遇到一些令人不快的惊喜…
粗糙的•2012年7月16日2:07 AM http://www.theverge.com/2012/4/12944329/stuxnet-computer-virus-planted-israeli-agent-iran
雷诺克斯•2012年7月19日上午7:01 @Miramon:USB记忆棒的问题不仅仅是微软的AutoRun(尽管这是一个愚蠢的想法),请看这里: http://linux.slashdot.org/story/11/02/07/1742246/usb-autorun-attacks-against-linux
安德鲁·怀特•2012年10月26日上午9:55 许多人低估了Autorun的危险性,上述停车场的第一个样本就是一个很好的例子,它实际上给我们公司带来了问题。我们公司使用的是最新的防病毒软件,但我们的一名员工发现了一个U盘并将其插入。防病毒软件最初并没有识别出这项工作,直到它在几台计算机上传播开来。此后,我们禁用了所有用于外部存储(包括媒体播放器)的USB端口。键盘和鼠标仍然正常,经理们仍然可以使用U盘将人力资源和合同数据带回家,在家工作。为此,我们使用了一种名为encryptstick的产品。默认情况下,它们还具有自动运行设置。我们向供应商报告了这一安全问题,令我们惊讶的是,他们在下一版本中删除了自动运行功能,我们认为这清楚地表明了他们对报告的重视。不幸的是,没有多少供应商会这样做。
