FBI waarschuwt bedrijven voor hackersgroep die usb-sticks met malware verstuurt

De FBI heeft een waarschuwing uitgevaardigd voor bedrijven om bedacht te zijn op malafide usb-sticks die met de post worden verstuurd. Er zijn meldingen van usb-sticks die van Best Buy afkomstig zouden zijn, vergezeld van een waardebon.

Volgens de Amerikaanse autoriteiten zijn de usb-sticks in de afgelopen tijd naar verscheidene bedrijven en organisaties gestuurd, zo stelt Bleeping Computer, die de waarschuwing van de FBI heeft ingezien. Er werd ook een voorbeeld gegeven van een usb-stick met een begeleidende brief die van Best Buy afkomstig leek te zijn. Ook zouden er in sommige gevallen knuffelberen zijn meegestuurd.

De FBI denkt dat de hackersgroepering FIN7 achter het versturen van de usb-sticks zit. Eenmaal in pc of laptop gestopt wordt de usb-stick herkend als toetsenbord, maar blijkt er op de achtergrond verbinding te worden gelegd met Russische ip-adressen via PowerShell-commando's, zo blijkt uit onderzoek van beveiligingsbedrijf Trustwave. Via de servers waarmee verbinding wordt gelegd, komt er uiteindelijk Griffon-malware op de pc of laptop terecht.

Hackers proberen vaker bedrijven te verleiden om besmette usb-sticks in hun computers te stoppen. Vaak zijn deze dusdanig geprogrammeerd dat zij ongezien verbinding kunnen leggen met malafide servers om malware binnen te halen. De FIN7-groep gebruikt in dit geval als basis microcontrollers die herkend worden als Arduino Leonardo. Dit programmeerbare bordje is bedoeld om als toetsenbord of muis herkend te worden wanneer het wordt aangesloten op pc of laptop.

Reacties (73)

HKLM_ 29 maart 2020 11:38

De Set-ExecutionPolicy zou dit standaard tegen moeten houden toch bij een powershell script?

Dronium @HKLM_ • 29 maart 2020 11:53

Dat houd via het een toetsenbord ingevoerde commando's niet tegen. En als je powershell start vanaf een commandprompt kun je de execution policy overrullen:

-ExecutionPolicy <ExecutionPolicy>

Sets the default execution policy for the current session and saves it in the $env:PSExecutionPolicyPreference environment variable. This parameter does not change the PowerShell execution policy that is set in the registry. For information about PowerShell execution policies, including a list of valid values, see about_Execution_Policies.

https://docs.microsoft.co...l_exe?view=powershell-5.1

[Reactie gewijzigd door Dronium op 22 juli 2024 18:02]

LankHoar @Dronium • 29 maart 2020 14:07

Op mijn werk laptop hebben we strikte policies die alle USB apparaten blokkeren (word simpelweg geen verbinding meegemaakt), behalve muizen, tobo's, headsets, printers en KVM switches. Maar aangezien deze USB zich voordoet als een toetsenbord, zou die zo'n policy dus kunnen omzeilen?

S8472 @LankHoar • 29 maart 2020 14:52

USBDLM (https://www.uwe-sieber.de/usbdlm_e.html) heeft een optie om een USB-keyboard aanmelding te onderscheppen, precies met deze reden.
In de help (https://www.uwe-sieber.de/usbdlm_help_e.html) staat uitgelegd hoe, onder "BadUSB Device Blocking". Ja, ouderwets typen in een .ini; hier geen probleem denk ik ;-)
Voor zakelijk gebruik is wel een licentie nodig.

[Reactie gewijzigd door S8472 op 22 juli 2024 18:02]

bamboe @S8472 • 29 maart 2020 23:12

Ben ik de enigste die hier denk van het word nu toch wel eens echt tijd dat ze het annonieme betalingsverkeer in gaan perken wereldwijd zodat bedrijven niet meer tonnen aan euro's via
bitcoin of andere betalings opties moeten betalen?
Je zal het nooit helemaal van de kaart krijgen maar je kan ze het wel moeilijker maken om hier
geld mee te verdienen dat is nu nog veel te gemakkelijk.

Dazzyreil @bamboe • 30 maart 2020 00:43

Ik hoop wel dat je de enige bent ja.
Er wordt jaarlijks voor honderden miljarden tot een aantal biljoen geld witgewassen in normale dollars en euro's, miljarden aan belasting onderdoken, en nu opeens is bitcoin het probleem?

DeMoN @bamboe • 30 maart 2020 23:41

Je bent de enige, hoop ik. Naast dat het meeste wordt witgewassen via dollars, was het hiervoor via western union, etc. Dus vechten tegen een middel heeft weinig nut. Heb je wel eens opgezocht hoeveel mensen in onderdrukte regimes baat hebben bij crypto? En dan zelfs crypto in de breedste zin van het woord, dus denk ook aan VPN-verbindingen en TOR-verbindingen. Dit soort zaken maken het net zoals bitcoin voor veel onderdrukte mensen mogelijk om toch nog enige vrijheid te hebben.

SCS2 @S8472 • 30 maart 2020 00:03

Gebruik al jaren, heerlijk programma.
Maar dit wist ik niet. Meteen toegevoegd !
[Settings]
BadUsbWatchKbd=1

blorf @LankHoar • 29 maart 2020 14:23

Geen idee of Windows er iets aan doet maar misschien een idee om het standaard toetsenbord te onthouden en alles wat daarna ook een toetsenbord wil zijn eerst om toestemming laten vragen.

RVNetwork @blorf • 29 maart 2020 14:49

Misschien denk ik verkeerd, maar dat zou betekenen dat je met (lees: na) een defect toetsenbord niet meer in kunt loggen (om vervolgens een nieuw toetsenbord te accepteren)?

Wellicht op vingerafdruk-achtige logins na.. Vast niet alle PC's hebben standaard remote-logins aanstaan als RDP (voor login) om op een andere manier dan met een fysiek toetsenbord in te loggen.

pbeer @RVNetwork • 29 maart 2020 18:25

In dat geval zou je de pc kunnen opstarten vanaf een USB stick (met bvb de Windows Setup) en de instellingen buiten Windows om in de .ini tijdelijk aanpassen om het nieuwe toetsenbord te accepteren. Een beetje extra werk, maar niet dodelijk voor de pc.

blorf @RVNetwork • 29 maart 2020 20:50

Als je het vrij accepteren van het 1e toetsenbord niet aan durft...
In dat geval zou ik overwegen om een webcam er bij te doen die kijkt of er echt een toetsenbord ligt en het niet een of andere byte sequencer is die doet alsof.

Jerie

@LankHoar • 29 maart 2020 22:31

Op mijn werk laptop hebben we strikte policies die alle USB apparaten blokkeren (word simpelweg geen verbinding meegemaakt), behalve <waslijst>

Tja, het is maar wat je strikt noemt...

Dit kan veel strikter. Enkele voorbeelden:

1) White list policy van USB IDs.
2) Poort softwarematig uitzetten (bijv geen USB drivers laden).
3) Poort hardwarematig uitzetten (bijv dichtkitten, of met cement, of de fysieke toegang intern verbreken).

Dit soort aanvallen zijn al lang en breed bekend.

Zie o.a.

https://hackaday.com/tag/badusb/

https://github.com/topics/badusb

Enkele voorbeelden:

1) Rubber Ducky (inclusief custom payloads).
2) O.MG cable (doet zich voor als "gewone" iPhone laadkabel).
3) USB Killer (fysieke toegang = rip port en waarschijnlijk whatever er aan hangt dus gehele board).

Veiligheidsdiensten hebben ook allerlei van dit soort implants in hun catalogus, zijn er diverse van gelekt.

Cerberus_tm

@Dronium • 29 maart 2020 16:26

Zou het niet handig zijn als je BIOS een lijst met toetsenborden heeft, waaraan je elk nieuw toetsenbord (of muis) moet toevoegen in het BIOS? En dan zou je een knop op je computer moeten hebben (verbonden met het moederbord): zolang je die knop ingedrukt houdt, kun je met een nieuw toetsenbord het BIOS bedienen (zonder die knop zou het BIOS immers geen toetsaanslagen accepteren van het nieuwe toetsenbord).

johnkeates @Cerberus_tm • 29 maart 2020 19:19

Wat heeft je BIOS er mee te maken? Die doet alleen in DOS wat voor je, de rest gaat in je OS als je iets moderners draait.

[Reactie gewijzigd door johnkeates op 22 juli 2024 18:02]

Cerberus_tm

@johnkeates • 30 maart 2020 05:06

Nou, dat lijkt me de veiligste plaats om nieuwe toetsenborden toe te staan?

johnkeates @Cerberus_tm • 30 maart 2020 05:07

Maar je BIOS zit niet tussen je 'toetsenbord' en 'os' in he. Die heeft er helemaal geen invloed op.

bugcyber @johnkeates • 30 maart 2020 13:43

ja bios is nu exact wat er tussen je keyboard (zit zelfs op IRQ1) en OS zit zeker bijj PS2.
Bij usb is windows koppig en omzeilt dit het bios door dit via een omweg (HID device) als keyboard te herkennen.

Wat wel zou kunnen is al tijdens de opstart een niet gewhitelist keyboard word gedetecteerd het os niet word geladen en er een melding komt dat je en onveilig keyboard gebruikt en dit dient te verwijderen.

En voor als mensen dit na het opstarten zouden insteken, zou de bios een virtueel keyboard kunnen inladen dat continu het backspace toetsaanslag uitvoert

johnkeates @bugcyber • 30 maart 2020 13:48

Nee, je BIOS zit er niet tussen, tenzij je zoals je zelf aanhaalt PS2 gebruikt of een systeem gebruikt dat BIOS routines en interrupts gebruikt om toetsenbord informatie te ontvangen.

Andere systemen (USB, SPI, BT, 802.11) niet, tenzij je emulatie mode gebruikt voor operating systems die zelf geen toetsenbord kunnen aansturen (zoals DOS, wat ik in mijn eerste reactie schreef).

Je kan in theorie in SMM een hook maken die de hele BAR van elke USB controller screent en elke transfer lokaal in een USB stack analyseert om te kijken of er niks stouts gebeurt. Maar dat is ook niet in 'je BIOS'. Dat is een SMM handler en kan je vanaf je CSME/AGESA en OS laden (hoewel je OS tegenwoordig weinig toegang heef tot SMM).

Een x86 PC is niet een draadje van je toetsenbord naar je moederbord, van je moederbord naar je BIOS en van je BIOS naar je OS ofzo.

[Reactie gewijzigd door johnkeates op 22 juli 2024 18:02]

Cerberus_tm

@johnkeates • 30 maart 2020 14:58

Het hooft er ook niet tussenin te zitten: het leek me alleen een handige (veiligere) plaats om die lijst te beheren. Het besturingssysteem moet natuurlijk ook aangepast worden, om die lijst uit te lezen en geen aanslagen van toetsenborden te accepteren die er niet instaan. Of, als het besturingssysteem dit niet kan, zou dit uitlezen moeten worden gedaan door welk stukje hardware en/of software dan ook toetsenborden kan blokkeren.

johnkeates @Cerberus_tm • 30 maart 2020 15:06

Ik denk dat je inderdaad wel buiten het OS zo'n lijst zou moeten bijhouden om het überhaupt veilig te maken. Je kan helaas bij je BIOS (of UEFI) vanuit je OS, maar er moet vast wel een manier te vinden zijn om het ergens extern op te slaan.

Als je er voor kan zorgen dat je fysiek aanwezig moet zijn en moet herstarten en maar een toetsenbord tegelijk aangesloten kan hebben is het al best goed af te dekken. Eigenlijk zou je dat in de USB controller firmware moeten doen en dan in het OS alleen USB controllers accepteren met specifieke firmware versies.

Cerberus_tm

@johnkeates • 30 maart 2020 15:27

Fysiek aanwezig zijn: daarom leek het mij een goed idee om een fysieke knop te hebben zoals boven.

Wat misschien nog het eenvoudigst zou zijn, is als een paar usb-poorten een schakelaartje krijgen: dat moet áán staan ("invoerstand") om invoer van een toetsenbord of muis via die poort te accepteren. Als het uit staat, accepteert de poort het apparaat niet als zodanig. Dat schakelaartje zou je dan inderdaad moeten verbinden met het moederbord o.i.d. om de boel te regelen. Zo heb je geen ingewikkelde instellingen of BIOS-lijst meer nodig.

Meerdere muizen en toetsenbord tegelijk aangesloten hebben is echter wel noodzakelijk, zou echt niet met één toetsenbord of muis toe kunnen. Ik heb b.v. een extra, draadloos toetsenbord voor op de bank, en een draadloze muis, en een Yubikey, enz.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 18:02]

jahoorisieweer @Dronium • 29 maart 2020 18:47

Klopt.

Volgende zou niet geheel uitgewerkt ook kunnen.
Dus BYOD dus laptops en deze alleen via niet usb dockings toestaan.
USB dicht kitten of ander soort blokkade ook thuis dan via docking.
Verbieden zelf aan docking nog zaken te koppelen via usb, eventueel muis keyboard vastlijmen haha.

Waar installs echt via usb moet nog eens goed naar kijken. En dat centraal afhandelen en niet per device op al die locaties waar ze los staan zoals sommige IT bedrijven langs gaan bij klanten.

Waar data per usb dit dan via netwerk devices oplossen, bij kleine simpele prive dan als nas en co.

Of gewoon geen BYOD ook een goed en eenvoudig alternatief.
Een "zakelijke " laptop ook voor home / thuis gebruik, usb dicht en via docking muis en keyboard vastgelijmd.
De rest en gebruikersbeleid dus gebruiker zelf ervoor laten zorgen geen usb sticks , dat kan men dan weer wel auditen of er gehoor aan gegeven wordt of juist niet.

Weet is omslachtig en ver gezocht maar hangt ervan af hoe belangrijk e.a. is, alles wat van buiten af op een device of netwerk kan komen is en blijft een risk, zoveel mogelijk beperken dit met gepaste middelen afhankelijk hoe belangrijk data en continuïteit.

Oja de keyboards en schermen die een usb hub hebben haha tja.

[Reactie gewijzigd door jahoorisieweer op 22 juli 2024 18:02]

SpoekGTi @HKLM_ • 29 maart 2020 12:07

Die je kan overrulen met een Set-executionpolicy Unrestricted aan het begin van je script.

Daarbij als je het heul vet wilt doen kan je ook deze regel toevoegen en dan kan je in ieder geval alles als local admin alles running.

if (!(net session)) {$path = "& '" + $myinvocation.mycommand.definition + "'" ; Start-Process powershell -Verb runAs -ArgumentList $path ; exit}

Klopt je krijgt een access denied error en een UAC melding maar als je die gewoon doorklikt ben je er

en wie heeft er nog UAC aan staan zit alleen maar in de weg toch

GertMenkel

Beveiliging en antivirus

@SpoekGTi • 29 maart 2020 12:27

UAC staat standaard praktisch uit. Tenzij je de UAC slider helemaal naar boven zet (of inlogt als niet-admin, maar dat gebeurt nog minder) zijn er tal van UAC-bypasses bekend.

Bij UAC heb je eigenlijk de keuze uit "uit", "normale mensen laten checken voor ze klikken (in theorie)" en "veilig maar wel Vista-stijl waarschuwingen".

Ik geloof dat de meeste Powershell-virussen contact zoeken met een externe server en daar een executable of Powershell-script downloaden, gevolgd door nog weer een latere payload.

In een bedrijfsomgeving zullen de meeste mensen niet als admin zijn ingelogd of staat hopelijk de group policy goed ingesteld zodat je de execution policy niet kan aanpassen, maar bedrijven met een BYOD policy voor laptops zijn hier nog steeds vatbaar voor.

Blokker_1999

Hackers
Verenigde staten
Beveiliging en antivirus

@SpoekGTi • 29 maart 2020 12:43

Ik hoop toch echt dat de meeste mensen UAC op hun default laten staan. Zo hard zit dat ook niet in de weg bij dagelijks gebruik.

vsub @HKLM_ • 29 maart 2020 12:08

Alleen voor scripts en ook alleen als het via Group Policy laag genoeg ingesteld staat: During the session, the execution policy that is set for the session takes precedence over an execution policy that is set in the registry for the local computer or current user. However, it doesn't take precedence over the execution policy set by using a Group Policy. Zie https://docs.microsoft.co...nt-policy-for-one-session

Xirt 29 maart 2020 11:40

Is het niet een beetje opvallend als een USB stick niet als USB stick herkend wordt? Dat lijkt mij - ondanks dat de schade mogelijk deels al aangericht is - wel een duidelijke indicatie dat er naar de pc / stick gekeken moet worden of alles wel in de haak is...

snellie123 @Xirt • 29 maart 2020 11:52

Nou niet echt nee, ik heb thuis ook nog wel een usb stick die kapot is hij niet gevonden wordt. Als die niet werkt denkt de gemiddelde consument gewoon dat die kapot is en gooit die hem zonder er bij stil te staan dat die toch wel wat heeft geïnstalleerd op de pc

Sharkoon @snellie123 • 29 maart 2020 15:47

Ik denk dat die personen het eerst nog op 2 andere pc's gaat proberen voordat het weggegooid wordt.

SpoekGTi @Xirt • 29 maart 2020 12:09

Er zijn zat usb sticks of usb devices die meer dan 1 functie hebben. Heb wel eens een usb scanner gehad die ook interne storage had voor de software dus

vsub @Xirt • 29 maart 2020 12:12

Ten eerste is het dan eigenlijk al te laat, ten tweede is het ook mogelijk om zowel een toetsenbord als opslag aan te bieden (via een ingebouwde hub)...

Mark de Vaal 29 maart 2020 11:35

Heeft deze Malware invloed op een linux systeem?

wica @Mark de Vaal • 29 maart 2020 11:45

Eigenlijk niet, de gebruiker zal zelf een actie moeten uitvoeren.

In het verleden, hadden sommige disto's hun systeem zodanig ingesteld, dat autorun.inf automatisch werd uitgevoerd. Dit in verband met gebruikers gemak.

Volgens mij zijn de meeste hier wel van terug gekomen.

theblindman

@wica • 29 maart 2020 11:52

Deze stick gedraagt zich als een toetsenbord, daarmee zou het ook prima op een Linux-systeem kunnen werken

De kans is alleen wel klein dat deze stick de goede toetsencombinaties in huis heeft om malware op een Linux-systeem te installeren.

Johan9711 @theblindman • 29 maart 2020 11:58

Er word in het artikel duidelijk aangegeven dat het powershell scripts betreft, het zal dan dus niet werken onder linux.

The Zep Man

Beveiliging en antivirus
Verenigde staten
Hackers

@Johan9711 • 29 maart 2020 12:00

Welcome to the PowerShell GitHub Community! PowerShell Core is a cross-platform (Windows, Linux, and macOS) automation and configuration tool/framework

Bron.

Het is echter onwaarschijnlijk dat het de juiste toetsencombinatie zal afvuren.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:02]

Johan9711 @The Zep Man • 29 maart 2020 12:02

Powershell core zit toch niet standaard in Linux distro's?

sjanssen15 @Johan9711 • 29 maart 2020 12:17

In Ubuntu kun je bij de install nu Powershell direct mee laten installeren, aparte tijden

wij hebben iig Powershell default in het image zitten nu.

TheVivaldi @Johan9711 • 29 maart 2020 12:09

... want mensen en bedrijven gebruiken alleen de standaard meegleverde software? Ze installeren zelf helemaal niks?

mae-t.net @TheVivaldi • 29 maart 2020 12:54

Een virus zal zich doorgaans richten op standaardconfiguraties, of anders op heel specifieke configuraties. De schrijver zal niet vertrouwen op iets dat per ongeluk op een systeem staat.

@hieronder: Chrome wil ik nog wel een standaardconfiguratie noemen, Google pusht het hard genoeg.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 18:02]

TheVivaldi @mae-t.net • 29 maart 2020 12:55

Dat hangt er vanaf. Google Chrome staat ook niet standaard op Windows, maar je kunt er als schrijver wel vanuit gaan dat veel gebruikers die browser zelf hebben geïnstalleerd.

Johan9711 @TheVivaldi • 29 maart 2020 12:12

Tuurlijk wel, maar je syntax word compleet anders natuurlijk.
Je scripts zullen 99% zeker niet meer 100% kloppen omdat onder andere system variables anders zijn, paden anders zijn etc.
Ja in theorie zou je een Linux shell met powershell core kunnen targetten maar dat is relatief veel werk voor heel weinig resultaat. No way dat dat hier gebeurt. Die kans is enorm klein

TheVivaldi @Johan9711 • 29 maart 2020 12:13

Die andere syntax van Powershell op Linux valt reuze mee, heb ik van ontwikkelaars begrepen.

Johan9711 @TheVivaldi • 29 maart 2020 12:15

In de basis is het het zelfde, tot wmi ondersteuning aan toe, echter zoals ik al aangaf zal je je code moeten aanpassen om effectief te zijn in een Linux file system.
De meeste ontwikkelaars zullen powershell gebruiken om Windows services te managen, ook vanaf Linux bakken, via bijvoorbeeld WMI. Op Linux zelf gebruik je powershell een stuk minder snel omdat BASH dan ook gewoon prima voldoet.

Nico Klus @The Zep Man • 29 maart 2020 12:17

Ja al sinds Ubuntu 16.04 en Debian 8.
Ik wist het niet.
https://docs.microsoft.co...n-linux?view=powershell-7

SpoekGTi @Johan9711 • 29 maart 2020 12:02

Want Powershell werkt niet onder Linux? Dacht van wel hoor en denk wel dat sommige het ook wel geïnstalleerd hebben op hun systeem.

Maar goed we hebben het hier over bedrijven die zijn benaderd, die zullen vast geen multiplatform Shell gebruiken toch?

Frenziefrenz @SpoekGTi • 29 maart 2020 12:25

Maar als Win+R, powershell al niet werkt om Powershell te starten, om maar iets te noemen… theoretisch wel mogelijk natuurlijk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Johan9711 • 29 maart 2020 15:38

Een variant op basis van een andere script taal is natuurlijk zo gemaakt. Bad USB devices als dit zijn niet nieuw en worden soms ook expres op parkeerplaatsen (als voorbeeld) achtergelaten. Het zit in de menselijke natuur om nieuwsgierig te zijn waardoor de kans groot is dat een gevonden Usb device in een computer wordt gestopt. Eenvoudig zelf te maken voor een paar dollar zelfs.

TheVivaldi @Johan9711 • 29 maart 2020 12:08

Huh? Hoe kom je daar nu bij? Powershell is gewoon beschikbaar voor Linux.

sspiff @wica • 29 maart 2020 11:51

autorun.inf is niet de enige manier om malware via een USB stick te verspreiden. In theorie is het perfect mogelijk om extra USB device ID te enumereren waarbij er dan misbruik gemaakt wordt van een bug in linux driver die automatisch wordt ingeladen. Maar dat is natuurlijk eerder onwaarschijnlijk dat het in de praktijk ook gebeurd, gezien de veel hogere technische moeilijkheid en de beperkte doelgroep.

AriGold 29 maart 2020 12:17

Deze sticks zijn voor 3 euro te koop op aliexpress of banggood (hier iets duurder)
Heb er zelf 2 die ik gebruik als bots voor games (auto clickers bijvoorbeeld), kunnen eigenlijk niet gebanned worden aangezien het geen software is.

Je kan ze vinden onder atmega32u4, dit is de microcontroller.
CJMCU verkoopt wel een paar leuke versies, zelfs met plaats voor een sd kaartje.

Ik gebruik deze:
https://nl.banggood.com/C...876.html?cur_warehouse=CN

Er zijn veel duurdere en betere versies te koop, rubber ducky bijvoorbeeld, maar als tweaker is zo een basic versie wel leuk als hebbeding.

[Reactie gewijzigd door AriGold op 22 juli 2024 18:02]

tweazer @AriGold • 29 maart 2020 12:31

Wat een jaren 60 usb stick. Een nano usb variant, ja daar heb ik nog plek voor.
Voor de aluminium freaks: koop een mac g4 portable zet er os9 op en je kunt straffeloos alle sticks (muv deze) raadplegen...

AriGold @tweazer • 29 maart 2020 12:53

Ik gebruik hem dan ook zelf

Ik probeer niemand anders te overtuigen deze te gebruiken

tweazer @AriGold • 29 maart 2020 16:45

Als je een picoduino kiest heb je nog een mooie rgd led en 3 schakelaars ...

RogerDad @AriGold • 30 maart 2020 17:26

ik heb die ook, en wat andere, maar ben het niet eens met je dat een Rubber Ducky persé beter is. Met een Rubber Ducky kan je nl. alleen sequentieel keyboard commando’s opgeven en deze devices zijn te scripten. Zo heb ik er eentje die alle pincodes van 0000 tot 9999 genereert in een simpel loopje. Doe dat maar eens met een Rubber Ducky

winos 29 maart 2020 12:32

Powershell voert standaard geen untrusted sources uit.

Dan zou de usb stick dus een toetsenbord emuleren door gehackte firmware in de controller van de usb stick te plaatsen.

Daarna zal er dus via toetsenbordcommando's onderhuids of via een exploit op Windows met admin rechten powershell worden opgestart en zal er dus via die manier als gebruiker het script worden geïnitieerd en gestart. Of je krijgt een pop-up

Dit lijkt mij voorkomen te kunnen worden door gewoon te luisteren naar iets wat al heel lang gezegd wordt. Nooit op admin accounts werken maar gewoon een wachtwoord invoeren als je iets me verhoogde rechten wilt uitvoeren.

En lees vooral wat je uitvoert.
Je voorkomt niet alles maar wel een hoop.

[Reactie gewijzigd door winos op 22 juli 2024 18:02]

ajolla 29 maart 2020 12:56

Ik verbind de USB poort met een disposable Qubes VM, open 'm en eventuele documenten die ik wil hebben copiëer ik op een veilige manier naar een reguliere VM.
Niets aan de hand dus.

SkyStreaker 29 maart 2020 20:56

Wordt met gemak tijd voor een, tja, USB-sandbox apparaat? Externe hub die het e.e.a. filtert/blokkeert/etc. Waarom bestaat zoiets nog niet?

Bender 29 maart 2020 13:55

Vorig jaar nog als stage opleidingsbedrijf met studenten van een ROC ICT opleiding een USB stick ontvangen van ROC ter presentatie van hun opleidingengamma.

De USB stick is ongeopend direct de prullenbak in gegaan, erg zonde, maar het verbaasde me werkelijk dat ze niet beter weten dan dat je als bedrijf zoiets kunt niet doen.

DonJunior @Bender • 29 maart 2020 16:30

Of je had hem retour gestuurd met een briefje erbij dat USB sticks niet geaccepteerd worden vanwege de shit die in omloop is.. dan hadden ze er wellicht ook nog wat van kunnen leren..

Of dan zul je zien dat ze de presentatie via de mail versturen

jahoorisieweer @Bender • 29 maart 2020 18:54

Jonge dat was gewoon onderdeel van een live praktijk security test / audit hoor. hihi

Als iemand die stick erin gestoken had komt er een afschrikwekkende animatie.

[Reactie gewijzigd door jahoorisieweer op 22 juli 2024 18:02]

Azerox 29 maart 2020 11:39

Zijn ze er mee gestopt?

JeroenV 29 maart 2020 21:52

Oh iemand heeft de Hak5 Rubber Ducky 101 gevolgd! Nu maar hopen dat de receptioniste recent opslag heeft gehad want anders word het heel verleidelijk voor haar om de stick te proberen!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (73)

Sorteer op:

Weergave: