USB Rubber Duckyを停止するには?
SBラバーダッキー のような偽のUSBキーボードからコンピューターを保護したい。
- 私は試しました Penteractの偽装キーボード検出器。
- キーボードを接続すると画面がロックされました。
しかし、USB Rubber Duckyが動作する前に画面がロックされるかどうかはわかりません。これをチェックするためにゴム製のアヒルを購入したくありません。
自分でUSB Rubber Duckyにアクセスできない場合、キーボード検出器をさらにテストするにはどうすればよいですか?
使用しているユーザーアカウントがAdministratorグループに属していない場合、Rubber Duckyの操作が難しくなります。 Rubber Duckyの弱点は、事前に作成されたスクリプト(ペイロード)を実行することであり、それらのほとんどは、ほとんどのWindows PCと同様にAdministratorグループに属するアカウントを対象としています。制限付きアカウントでは、特定のアクション(レジストリ値の変更など)を実行したり、特定のプログラムを実行したりするには、管理者の資格情報を入力する必要があります。これらの資格情報がないと、Rubber Duckyは続行できません。
キーボードUSBが差し込まれたときにPenteractのソフトウェアが必要なアクションを実行した場合、それはゴム製のダックもブロックする(両方ともHIDSである)ことは当然の前提です。
Rubber Duckyに対する従来の防御には、PowerShell、cmdプロンプト、およびrunコマンドへのアクセスの制限が含まれます。これらは、Rubber Duckyが悪意のあるコードを実行する最も一般的な方法だからです。
ポリシーでユーザーが自分の周辺機器を持ち込むことが許可されていない場合は、製品IDとベンダーIDのホワイトリストソフトウェアの使用を検討してください。これにより、システムがホワイトリストに登録されていないデバイス(ウェブカメラやスマートカードリーダーなどの組み込みデバイスを含む)を効果的に無効にすることに注意してください。
それ以外の場合は、GPOを作成することを検討してください。すべてのUACプロンプトにパスワード入力が必要です。キーボードエミュレータが非特権アクセスに効果的に制限され、補助デバイス(ブラインドで使用される一部のOTPキーなど)キーボードをエミュレートしてトークンコードを入力するユーザー)
コンピュータは通常、ユーザーからの入力がユーザーの意図に基づいていると信頼しているため、これは防御するのが難しいベクトルの1つです。
ホワイトリストと一致しないUSB導入時にコンピューターをロックアウトするバックグラウンドで実行されるC#サービスを開発しました。また、設定中にUSBデバイスの署名を追加するトレーニングモードもあります。任意の推奨事項と改善が高く評価されています。
これは素晴らしい代替案ではないかもしれませんが、Kali nethuntersの要件を満たすスペアデバイスAndroidデバイスがある場合は、ルート化してインストールできます。
これにより、HIDキーボードおよびBadUSB攻撃を実行できます。デバイスを応援する必要があるため、これも理想的ではない可能性がありますが、この種の攻撃を緩和しようとする場合は、検討する必要もあります。