Amikor USB-kulcsot csatlakoztat, jelentős mennyiségű dolog történik. Az operációs rendszer először beszél az USB-eszközzel, hogy megtudja, milyen eszközről van szó, és mire képes. Ezután, ha az eszköz azt mondja, hogy egyfajta lemezről van szó, az operációs rendszer keres egy fájlrendszert rajta, majd csatlakoztatja és felfedezi a fájlok egy részét. Attól függően, hogy milyen fájlokat találtak és azok nevét, az operációs rendszer javaslatot tesz a felhasználó számára a műveletek megválasztására (ez a felugró ablak látható). A folyamat bármely szakaszában lehetnek kihasználható hibák, és ezekre történelmileg valóban számos példa fordult elő (például a tavalyi PS3 Jailbreak egy USB-eszköz, amely belsőleg , négy eszköz központjaként jelenti be magát, amelyek közül az egyik összefüggéstelenül csörgedezik az USB-buszon oly módon, hogy puffertúlcsordulást vált ki az OS USB-illesztőprogramban.

Ezért, miközben a jelenlegi állapot A Windows rendszerben az az oka, hogy az operációs rendszer nem futtatja automatikusan a kártékony kódot tervezésével , akkor is megteheti tévedésből . Tudomásom szerint nincs jelenleg közzétett kihasználás, amely ezt megtenné, de valószínűtlen, hogy az összes kód hibamentes legyen.

Megjegyzendő, hogy a sima USB-meghajtónak látszó belső megoldás , teljesen másképp viselkednek, és (például) billentyűzetként mutatják be magukat az operációs rendszer számára - és azonnal elkezdik a "gépelést". A lehetőségek szinte végtelenek. És egy kicsit ijesztő.

A Wikipedia szerint:

• Windows 7

  Minden meghajtótípus esetében, a DRIVE_CDROM kivételével, az egyetlen kulcs elérhető az [autorun] szakaszban címke és ikon. Az ebben a szakaszban szereplő többi kulcs figyelmen kívül marad. Így csak a CD- és DVD-adathordozók adhatnak meg automatikus futtatási feladatot, vagy befolyásolhatják a dupla kattintással és a jobb gombbal történő viselkedést.

  Rendelkezésre áll egy javítás, a KB971029 a Windows XP és újabb verzióihoz, amely az AutoRun funkciót erre a viselkedésre változtatja.

https://secure.wikimedia.org/wikipedia/en/wiki/Autorun.inf

Ez azt jelzi, hogy az autorun.inf egyes részei még mindig feldolgozza a Windows 7 bármilyen cserélhető adathordozó behelyezése után. Az, hogy mekkora részét dolgozzák fel, attól függ, hogy a szóban forgó adathordozó az optikai meghajtóban van-e.

Nincs tudomásom a -hoz kifejezetten kapcsolódó aktuális biztonsági résekről label vagy icon billentyűk, de ez nem jelenti azt, hogy soha nem is lesznek ilyenek. Felmerülhet egy fertőzött CD / DVD / BD vagy más optikai adathordozó is, ahol az autorun.inf több fájlja feldolgozódik. Tehát a megfelelő védelem érdekében továbbra is azt javaslom, hogy tiltsa le az autorun.inf teljes feldolgozását. ezelőtt. Nick Brown és Emin Atac munkáját visszhangozva a cikk tartalmazta a rendszerleíró adatbázis-feltörést az autorun.inf teljes feldolgozásának letiltására. Az alábbiakban beillesztem a rendszerleíró adatbázis feltörését. További információ a cikk hivatkozásában található.

A javasolt megoldás a Windows beállításjegyzékének frissítését foglalja magában. Tehát, mint mindig, a legjobb, ha biztonsági másolatot készít. A megoldást Windows XP / Vista rendszerre írták, de a 7-es verzióban is működnie kell.

A rendszerleíró adatbázis lekérése egyszerű, csak az alább látható három sorra van szüksége egy .reg fájlban. Ezután kattintson duplán a fájlra.

Vagy másolhatja le az alábbi három sort erről a weboldalról, vagy letöltheti a fájlt a bejegyzés végén található link segítségével. A fájlnév nem fontos, csak ".reg" -nel kell végződnie. A Computerworld nem engedélyezi a ".reg" végződésű fájlok csatolását egy blogbejegyzéshez, ezért a fájltípus ".txt", és át kell neveznie, hogy ".reg" legyen a vége.

  REGEDIT4 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf] @ = "@ SYS: DoesNotExist"  

Vegye figyelembe, hogy ott három sor van a fájlban, a középső sor feltekeredhet, ha egy webböngésző megjeleníti, de ennek egyetlen sornak kell lennie a .reg fájlban.

Nick Brown elmagyarázza, mit csinál ez:

Ez a feltörés arra utasítja a Windows-t, hogy az AUTORUN.INF-et úgy kezelje, mintha egy Windows 95 előtti alkalmazás konfigurációs fájlja lenne ... azt mondja: "amikor csak az AUTORUN.INF nevű fájlt kell kezelnie, ne" t ne használja a fájl értékeit. Alternatív értékeket a HKEY_LOCAL_MACHINE \ SOFTWARE \ DoesNotExist címen talál. " És mivel ez a kulcs nem létezik, mintha az AUTORUN.INF teljesen üres lenne, ezért semmi sem fut automatikusan, és semmi sem kerül hozzá az Explorer kettős kattintás műveletéhez. Eredmény: a férgek nem tudnak bejutni - hacsak nem duplán kattint a futtatható fájlokra, hogy lássa, mit csinálnak.

A harmadik sorban található „DoesNotExist” szöveg helynek számít a nem létező nyilvántartás. Ha ez a zap nagyon népszerűvé válik, akkor a rosszindulatú programok kereshetik, ezért nem árt, ha csak kissé megváltoztatja. Például használhatok valami olyat, mint @ = "@ SYS: DoesNotExistMichael" a számítógépeimen. Hogy világos legyen, erre egyáltalán nincs szükség. A fent látható zap jól működik.

http://blogs.computerworld.com/the_best_way_to_disable_autorun_to_be_protected_from_infected_usb_flash_drives

Természetesen ez nem sokat tesz az USB-memóriakártyák ellen, amelyek másként mutatják be magukat a rendszerben, mint amik valójában. A legjobb megoldás az, ha nem csatlakoztat olyan eszközt, amelyben nem bízik. És ne csatlakoztasson megbízható eszközöket olyan rendszerekhez, amelyekben nem.

Az automatikus futtatásról / automatikus lejátszásról és működésükről további információt a már hivatkozott webhelyeken talál. Nézze meg ezeket a Wikipedia linkeket is:

https://secure.wikimedia.org/wikipedia/en/wiki/AutoRun
https: // biztonságos .wikimedia.org / wikipedia / en / wiki / AutoPlay

Az alapértelmezett viselkedés a felugró ablak megjelenítése. A felugró ablak megvizsgálja a médiát a fájltípusok után, és alaposan kitalálja, mit érdemes tenni. Az alapértelmezett magatartás mellett az egyetlen módja annak kiaknázása a média tartalmát olvasó felugró kódban található sebezhetőség révén, amely jelenleg [vadonban] nem létezik.

Nem vagy védett és nagyon veszélyeztetett

Az Autorun.inf egy régi támadás, amelynek már nem kellene működnie, de ez nem az egyetlen támadási vektor, amely USB-t használ.

A BadUSB az a hely, ahol az USB-eszközön megváltoztatták a firmware-t, hogy más eszközöket emuláljanak és kibővítsék annak képességeit. Ne feledje, hogy az USB csak a csatlakozó eszközök specifikációja, és a különböző eszközök különböző szinteken vagy jogosultságokkal futnak, a tárhely nem ugyanazon a szinten fut, mint a billentyűzet. A kibővített képességgel egy tárolóeszköz billentyűzetnek tűnik, amikor a géphez csatlakoztatja.

Egy lehetséges forgatókönyv a következő lehet:

Csatlakoztat egy USB-meghajtót, a következő dolog, amelyet a kód végrehajt. Ez annak köszönhető, hogy az eszköz billentyűzet USB-eszközt emulál, és bemenetet ad a rendszeréhez, például gyorsbillentyűket a PowerShell megnyitásához és a kód futtatásához.

A BadUSB megtalálható a kereskedelmi termékekben megvásárolhatók, amelyek ezt a kiaknázást használják, például a Bashbunny és a Rubber ducky .

Ezenkívül vannak útmutatások a létrehozáshoz a sajátod a semmiből Ahogy itt található

Abszolút nem

Megoldható az automatikus futtatással kapcsolatos probléma, de bármely USB-eszköz egyszerűen bemutathatja magát billentyűzetként vagy egérként az operációs rendszer számára, és ezt felhasználhatja rosszindulatú programok letöltésére. Ez a kockázat a platformtól függetlenül érvényes, hacsak az operációs rendszer nem igényel megerősítő párbeszédpanelt, mielőtt engedélyezné a felhasználó számára új USB-eszközök telepítését, amelyekről nem tudok.

Nézze meg a Teensy oldalt, ha meg akarja próbálni bizonyítékot létrehozni az ilyen támadás végrehajtásának mikéntjéről. Nagyon fontos, hogy csak USB-eszközöket csatlakoztasson számítógépéhez, amelyekben megbízhat .