題 插入和瀏覽不受信任的USB驅動器有什麼危險?


假設有人要我將一些文件複製到他們的USB記憶棒。我正在運行完全修補的Windows 7 x64,禁用AutoRun(通過組策略)。我插入USB驅動器,在Windows資源管理器中打開它並將一些文件複製到它。我不運行或查看任何現有文件。如果我這樣做會發生什麼壞事?

如果我在Linux中這樣做(比方說,Ubuntu)呢?

請注意我正在尋找 細節 的 具體 風險(如果有的話),而不是“如果你不這樣做會更安全”。


130
2018-01-30 18:44


起源


查看目錄列表不太可能存在風險。在舊的未修補的Adobe Reader版本中打開惡意PDF可能是一個很大的風險。在某些情況下,即使圖像預覽或文件圖標也可能包含漏洞。 - david25272
@ david25272,甚至查看目錄列表 可能是一種風險。 - tangrs
這有點像和一個陌生人一起上電梯,大多數時候你很好,但如果這個陌生人又是Hannibal Lecter ...... - PatrickT
你可以打破你的鈾離心機 en.wikipedia.org/wiki/Stuxnet - RyanS
@tangrs,這是我正在尋找的那種事情的一個很好的例子。為什麼不發布它作為答案? - EM0


答案:


令人印象深刻的是,您的GUI文件瀏覽器通常會瀏覽文件以創建縮略圖。在您的系統上運行的任何基於pdf,基於ttf(在此處插入turing的文件類型)的漏洞都可能通過刪除文件並等待縮略圖渲染器掃描來被動地啟動。我知道的大部分漏洞都是針對Windows的,但不要低估libjpeg的更新。


45
2018-01-31 16:02



這是一種可能性,所以+1。即使您從未查看縮略圖,Windows資源管理器(或Nautilus)也會這樣做嗎? - EM0
@EM可能會發生 - 例如,最新版本的資源管理器可能會在子文件夾中為根目錄中的漂亮文件夾圖標構建縮略圖,即使這些子文件夾設置為永遠不會顯示縮略圖。 - Tynam
或者可能不會嘗試顯示縮略圖,而是嘗試某種元數據 - That Brazilian Guy
這不是USB安裝文件系統特有的。如果文件瀏覽器存在漏洞,則可能會通過其他方式下載到您的計算機上的文件觸發,例如電子郵件附件或通過瀏覽器下載。 - HRJ


可能發生的最壞情況僅受攻擊者想像力的限制。如果您將成為偏執狂,將幾乎任何設備物理連接到您的系統意味著它可能會受到損害。如果該設備看起來像一個簡單的USB棒,那麼雙重。

如果這是怎麼回事? enter image description here

上圖是臭名昭著的 USB橡皮鴨,一個看起來像普通筆式驅動器的小設備,但可以向您的計算機提供任意鍵擊。基本上,它可以隨心所欲,因為它將自己註冊為鍵盤,然後輸入它想要的任何鍵序列。通過這種訪問,它可以做到 各種令人討厭的事情 (這只是我在谷歌上發現的第一個打擊)。事情是可編寫的,所以天空是極限。


186
2018-01-30 19:45



好的,+1!在我想到的情況下,USB棒已知是一個真正的存儲設備,我相信那個給我的人不是 惡意 感染我的電腦。 (我最擔心的是他們自己可能是病毒的受害者。)但這是一個我沒有考慮過的有趣攻擊。我想用這樣的鍵盤模擬器,我可能會注意到一些奇怪的事情,但可能有更隱蔽的方式...... - EM0
我贊成這個答案。使OP認為:) - steve
+1“可能發生的最壞情況僅受攻擊者想像力的限制。” - Newb
Hak5 - 看起來合法! - david25272
顯然USB連接協議與舊的PS / 2端口協議非常相似,這就是USB常用於鼠標和鍵盤的原因。 (當然我可能是錯的 - 我正在從我自己的記憶中挖掘它,其中主要是有損壓縮) - Pharap


另一個危險是Linux將嘗試安裝任何東西 (笑話在這裡被壓制)

某些文件系統驅動程序不是沒有錯誤的。這意味著黑客可能會在squashfs,minix,befs,cramfs或udf中找到一個bug。然後,該黑客可以創建一個文件系統,利用該bug來接管Linux內核並將其放在USB驅動器上。

這理論上也可能發生在Windows上。 FAT或NTFS或CDFS或UDF驅動程序中的錯誤可能會打開Windows進行接管。


38
2018-01-31 00:28



+1這將是一個整潔和完全可能的利用 - steve
整體水平進一步下降。文件系統不僅有bug,而且還有 整個USB堆棧都有bug,以及在內核中運行的大量內容。 - Fake Name
甚至你的USB控制器的固件也可能存在可能被利用的弱點。有一個利用USB棒崩潰進入Windows的漏洞利用 設備枚舉級別。 - sylvainulg
至於“linux試圖掛載任何東西”,這不是系統的默認行為,而是鏈接到您的文件瀏覽器主動嘗試掛載。我敢肯定,掌握聯機幫助頁可以揭示如何取消激活這個並返回“僅按需安裝”。 - sylvainulg
Linux和Windows都試圖安裝所有東西。唯一的區別是Linux可能真的成功了。這不是系統的弱點,而是力量。 - terdon


有幾個安全包允許我為Linux或Windows設置自動運行腳本,一旦插入就自動執行我的惡意軟件。最好不要插入你不信任的設備!

請記住,我可以將惡意軟件附加到我想要的幾乎任何類型的可執行文件,以及幾乎任何操作系統。禁用自動運行功能你應該是安全的,但是再說一遍,我不相信那些我甚至對此毫不懷疑的設備。

有關可以執行此操作的示例,請查看 社會工程師工具包(SET)

真正安全的唯一方法是啟動一個實時Linux發行版,並拔下硬盤驅動器..然後安裝USB驅動器並查看。除此之外,你正在擲骰子。

如下所示,您必須禁用網絡。如果您的硬盤安全並且您的整個網絡受到損害,它將無濟於事。 :)


28
2018-01-30 18:50



即使AutoRun被禁用,仍然存在利用某些事實的漏洞。當然,有更好的方法來感染Windows機器。最好掃描硬件上的未知閃存驅動器,每天擦除該任務,並在重新啟動時恢復到已知配置。 - Ramhound
對於您的最終建議,您可能希望包括斷開網絡連接,如果Live CD實例確實被感染,它可能會感染網絡上的其他計算機以獲得更持久的立足點。 - Scott Chamberlain
Ramhound,我想看看你提到的漏洞的例子(大概是現在補丁了!)你能發一些作為答案嗎? - EM0
@EM,前一段時間有一個利用a的零日攻擊 圖標顯示方式的漏洞 在快捷方式文件(.lnk文件)中。只需打開包含快捷方式文件的文件夾即可觸發漏洞利用代碼。黑客可以輕鬆地將這樣的文件放在USB驅動器的根目錄上,因此當您打開它時,漏洞利用代碼就會運行。 - tangrs
>真正安全的唯一方法是啟動一個實時的Linux發行版,你的硬盤驅動器不插電...... - 不,一個流氓軟件也可以感染固件。如今他們受到的保護很差。 - Sarge Borsch


USB記憶棒實際上可能是一個高度充電的電容......我不確定現代主板是否有這種意外的保護,但我不會在我的筆記本電腦上檢查它。 (理論上它可以燒掉所有設備)

更新:

看到這個答案: https://security.stackexchange.com/a/102915/28765

和它的視頻: YouTube: USB Killer v2.0 testing.


23
2018-01-31 16:08



是的他們這樣做。幾乎所有這些都具有小型可複位保險絲。我找到了這個 electronics.stackexchange.com/questions/66507/... 有點有趣。 - Zan Lynx
這段視頻傷害了我的靈魂。 - k.stm


打開文件夾時會激活某些惡意軟件/病毒。黑客可能會使用Windows(或Linux)的功能 葡萄酒)在打開文件夾時開始製作某些文件的圖標/縮略圖(例如.exe,.msi或.pif文件,甚至帶有惡意軟件圖標的文件夾)。黑客在程序中發現了一個錯誤(比如創建縮略圖的程序),以使惡意軟件能夠發揮作用。

一些有故障的設備可能會殺死你的 硬件,尤其是主板,大多數時候都是默默無聞的,所以你可能沒有意識到這一點。


6
2018-01-31 09:25





顯然,一個簡單的USB設備甚至可以煎炸整個主板:

一位名為“Dark Purple”的俄羅斯安全研究員創造了一個USB   包含不尋常有效載荷的棒。

它不會安裝惡意軟件或利用零日漏洞。   相反,定制的USB記憶棒發送220伏(技術上減去   220伏特)通過USB接口的信號線,煎炸   硬件。

https://grahamcluley.com/2015/10/usb-killer/


5
2017-10-14 19:58





可能發生的最糟糕的事情是臭名昭著的 BadBios 感染。無論您的操作系統如何,都可以通過將其插入計算機來感染USB Host控制器。 USB芯片的製造商數量有限,因此利用它們並不是太遙遠。

當然不是每個人都認為BadBios是真實的,但它  通過插入USB驅動器可能發生在您的計算機上的最糟糕的事情。


2
2018-02-03 09:32





這幾乎是整個美國國防部的分類網絡遭到破壞的原因。國防部地點外的停車場裡有一根U盤留在地上。有些天才把它拿進去並塞進去,現代的間諜活動太無聊了。我的意思是在停車場用USB棒,帶回007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain


2
2018-02-06 11:18