由于通过USB驱动器(如stuxnet)提供恶意软件的可能性,我公司希望测试员工是否会将未知的USB驱动器放入他们的计算机。
我们的想法是,我们可以在公司周围放置一些驱动器,拇指驱动器可以通过电子邮件发送给IT经理,让他们可以评估这对我们来说有多大问题。
这项任务落到了我的身上。虽然我有编程经验,但对我来说这是一个新的领域。
目前:我有一个程序(.exe文件),它会在执行时通过电子邮件发送给我。它向我发送当前登录的Windows用户的登录名。
问题:进入USB驱动器后,似乎无法自动运行它。我能说的最好的是,一旦这些漏洞开始发生,自动运行功能就被删除或修补了。
我应该使用另一种方法吗?或者有没有办法发展我没有看到的?
答案 0 :(得分:2)
你说有效负载是一个EXE文件,所以我将假设一个Windows环境。
仍支持Windows AutoRun。根据其实现,可以向用户呈现自动播放对话框,为他们提供选择。除非他们点击您的可执行文件,否则您可能不会收到电子邮件。
在大多数窗口上,USB插入将生成System log Event 7036。通过一些额外的逻辑和过滤,假设用户位于Windows域中,您可能会在系统日志中看到这些事件。
答案 1 :(得分:1)
由于您担心的原因,您不能再使用Windows 7中的自动运行功能了。
请参阅:How to use autorun in Windows 7 from a Flash drive to open a webpage?
不幸的是,这并不意味着USB棒无法传播恶意软件。您可能听说过BadUSB,但不容易受到保护。
不要依赖autorun.inf(不再有效),尝试将文件放在标有“Read my if found.txt”的USB记忆棒内,并在文件中列出一个地方,以便将USB记忆棒与提供10美元的奖励。大多数人都会抓住10美元的机会。说实话,给他们10美元。
答案 2 :(得分:1)
这似乎正在回归安全,而不是发展。这是一项常见的pentesting任务 - 删除一些USB设备,并查看它们的最终位置。
正如您所指出的,使用实际的USB拇指驱动器存在问题 - 您如何知道它们已被使用?并且,如果将恶意软件插入被感染的计算机中,也存在意外传播恶意软件的风险。
许多测试者转向诸如USB Rubber Ducky之类的设备,这看起来像是一个拇指驱动器,但实际上表现为键盘,在插入时运行其有效负载。这里有很多选择;这实际上是我们用来演示如何修改USB固件(BadUSB)的演示之一。
通过使用看起来像拇指驱动器但具有可编程有效负载的东西,您可以收集更多信息,并获得更多控制。
我知道很多人订购了带有定制印刷盒的拇指驱动器,带有公司徽标 - 以帮助灌输信心 - 然后用橡皮鸭子替换其内部的板;然后,这些设备通过建筑物和停车场分发。这是测试员工培训的一种非常有效的策略。