插入和浏览不受信任的USB驱动器有什么危险?

132

假设有人要我将一些文件复制到他们的USB记忆棒中。我正在运行禁用自动运行功能的完整Windows 7 x64(通过组策略)。我插入USB驱动器,在Windows资源管理器中将其打开,然后将一些文件复制到其中。我没有运行或查看任何现有文件。如果我这样做会发生什么不好的事情?

如果我在Linux(例如Ubuntu)上执行此操作怎么办?

请注意,我在寻找细节特定风险(如果有的话),而不是“这将是安全的,如果你不这样做”。

windows-7  linux  security  usb-flash-drive  autorun 
EM0
source
6
查看目录列表不太可能会有风险。在旧的未打补丁的Adobe Reader版本中打开恶意PDF可能会带来很大的风险。在某些情况下,甚至图像预览或文件图标也可能包含漏洞利用。
david25272
12
@ david25272,即使查看目录列表也可能有风险
tangrs
5
这有点像和一个陌生人一起
59
您可能会破坏您的铀离心机en.wikipedia.org/wiki/Stuxnet
RyanS 2014年
1
@tangrs,这是我一直在寻找的东西的一个很好的例子。为什么不将其发布为答案?
EM0 2014年

Answers:

45

不太令人印象深刻的是,您的GUI文件浏览器通常会浏览文件以创建缩略图。在您的系统上运行的任何基于pdf,基于ttf(在此处插入具有图文能力的文件类型)的利用都可能通过删除文件并等待缩略图渲染器对其进行扫描而被动地启动。我所知道的大多数漏洞利用都是针对Windows的,但不要低估libjpeg的更新。

西尔维努尔
source
1
这是可能的,所以+1。即使您从不查看缩略图,Windows资源管理器(或Nautilus)也会这样做吗?
EM0 2014年
1
@EM可能会发生-例如,最新版本的资源管理器可能会在子文件夹中为根目录的漂亮文件夹图标构建缩略图,即使这些子文件夹设置为从不显示缩略图。
Tynam
也许不尝试显示缩略图,而是显示某种元数据
那个巴西人,2014年
1
这并非特定于USB挂载的文件系统。如果文件浏览器存在漏洞,也可能由通过其他方式(例如,电子邮件附件或通过浏览器下载)下载到计算机的文件触发。
HRJ 2014年
186

可能发生的最坏情况仅受攻击者的想象力限制。如果您会偏执,那么将几乎任何设备物理连接到系统都意味着它可能会受到威胁。令人怀疑的是,如果该设备看起来像一个简单的USB记忆棒。

如果是这个怎么办? 在此处输入图片说明

上图是臭名昭著的USB橡皮鸭,这是一个小设备,看起来像普通的笔式驱动器,但可以向您的计算机提供任意击键。基本上,它可以随心所欲地进行操作,因为它会将自己注册为键盘,然后输入所需的任何按键序列。有了这种访问权限,它就可以做各种令人讨厌的事情(而那只是我在Google上发现的第一击)。事情是可编写脚本的,所以天空无极限。

特登
source
11
不错,+ 1!在我想到的情况下,已知USB记忆棒是一种实际的存储设备,并且我相信将USB记忆棒提供给我的人不会恶意感染计算机。(我最担心的是它们本身可能是病毒的受害者。)但这是我没有考虑过的有趣的攻击。我想使用这样的键盘模拟器,我可能会注意到发生了一些奇怪的事情,但是可能会有更隐秘的方法……
EM0 2014年
3
我同意这个答案。让OP认为:)
2014年
31
+1“可能发生的最坏情况仅受攻击者的想象力限制。”
Newb 2014年
9
Hak5-看起来合法!
david25272 2014年
5
显然,USB连接协议与旧的PS / 2端口协议非常相似,这就是为什么USB通常用于鼠标和键盘的原因。(我可能是错的,当然-我从我自己的记忆,其特点主要是有损压缩挖这件事)
Pharap
38

另一个危险是Linux会尝试挂载任何东西(在这里取消了笑话)

一些文件系统驱动程序不是没有错误的。这意味着黑客可能会在squashfs,minix,befs,cramfs或udf中发现错误。然后,该黑客可以创建一个文件系统,利用该错误来接管Linux内核并将其放在USB驱动器上。

从理论上讲,Windows也可能发生这种情况。FAT或NTFS或CDFS或UDF驱动程序中的错误可能会打开Windows进行接管。

赞·山猫
source
+1那将是一个整洁且完全可能的利用方式
史蒂夫(Steve)2014年
17
整个水平进一步下降。不仅文件系统有错误,而且整个USB堆栈也有错误,并且其中很多都在内核中运行。
假名称
4
甚至您的USB控制器的固件也可能存在可以利用的弱点。仅仅在设备枚举级别,就有一种利用USB记忆棒撞入Windows的漏洞。
sylvainulg,2014年
7
至于“试图挂载任何东西的Linux”,这不是系统的默认行为,而是链接到主动尝试挂载的文件资源管理器。我敢肯定,man脚的手册页可能会揭示如何停用此功能并返回“仅按需安装”。
sylvainulg 2014年
5
Linux和Windows都尝试挂载所有内容。唯一的区别是Linux实际上可能会成功。这不是系统的弱点,而是强项。
terdon 2014年
28

有几个安全软件包可让我为Linux或Windows设置自动运行脚本,并在插入后立即自动执行我的恶意软件。最好不要插入您不信任的设备!

请记住,我可以将恶意软件附加到所需的几乎任何类型的可执行文件,以及几乎所有操作系统上。禁用自动运行后,您应该是安全的,但是同样,我也不相信我对此稍有怀疑的设备。

有关执行此操作的示例,请查看The Social-Engineer Toolkit(SET)

真正安全的唯一方法是在拔下硬盘的情况下启动实时Linux发行版。然后安装USB驱动器并进行查看。除此之外,您还可以掷骰子。

如下面的建议,必须禁用网络。如果您的硬盘驱动器是安全的,并且整个网络都受到威胁,则无济于事。:)

史蒂夫
source
3
即使禁用“自动运行”,仍然存在利用某些事实的漏洞利用。当然,有更好的方法可以感染Windows计算机。最好在执行该任务的硬件上扫描未知的闪存驱动器,该任务每天都会被擦除,并在重新启动后恢复为已知的配置。
Ramhound 2014年
2
对于您的最终建议,您可能还希望包括断开网络连接,如果Live CD实例确实被感染,则可能感染网络上的其他计算机,从而获得更持久的立足点。
Scott Chamberlain 2014年
6
Ramhound,我想看看您提到的漏洞利用示例(现在大概已经打补丁了!)您能发表一些答案吗?
EM0 2014年
5
@EM,前段时间存在零时漏洞利用,该漏洞利用了快捷方式文件(.lnk文件)中图标显示方式的漏洞。仅打开包含快捷方式文件的文件夹就足以触发漏洞利用代码。黑客很容易将这样的文件放在USB驱动器的根目录上,因此当您打开它时,利用代码就会运行。
tangrs 2014年
4
>真正安全的唯一方法是在拔下硬盘驱动器的情况下启动实时Linux发行版……—不,流氓软件也会感染固件。如今,他们受到的保护非常差。
Sarge Borsch,2015年
23

USB棒实际上可能是一个充满电的电容器……我不确定现代主板是否能提供此类保护措施,但我不会在笔记本电脑上对其进行检查。(理论上,它可以烧毁所有设备)

更新:

看到这个答案:https : //security.stackexchange.com/a/102915/28765

和视频: YouTube:USB Killer v2.0测试。

萨尔格·波希(Sarge Borsch)
source
3
是的,他们愿意。几乎所有的保险丝都带有小的可复位保险丝。我发现这个electronics.stackexchange.com/questions/66507/…很有趣。
Zan Lynx 2014年
这部录像带伤了我的心灵。
k.stm
6

当我们打开文件夹时,某些恶意软件/病毒被激活。黑客可能会使用Windows(或带Wine的 Linux )的Windows功能,在打开某个文件时开始制作某些文件(例如.exe,.msi或.pif文件,甚至带有恶意软件图标的文件夹)的图标/缩略图。夹。黑客在程序(例如创建缩略图的程序)中发现错误,从而使恶意软件得以发挥作用。

某些故障设备可能会杀死您的硬件(尤其是主板),并且大多数时候会无声无息,因此您可能没有意识到。

托蒂
source
5

显然,简单的USB设备甚至可以油炸整个主板:

一位名为“深紫色”的俄罗斯安全研究人员创建了一个USB记忆棒,其中包含异常的有效载荷。

它不会安装恶意软件或利用零日漏洞。相反,定制的USB记忆棒会通过USB接口的信号线发送220伏(技术上为负220伏),从而油炸硬件。

https://grahamcluley.com/2015/10/usb-killer/

EM0
source
3

可能发生的最糟糕的事情是臭名昭著的BadBios感染。据推测,这可以通过将USB Host控制器插入计算机而不管您的操作系统来感染它。USB芯片制造商的范围很有限,因此开发它们并不是一件容易的事。

当然不是每个人都相信BadBios是真实的,但它可能通过一个USB驱动器插入发生在你的电脑最糟糕的事情。

缺口
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.