由於通過USB驅動器(如stuxnet)提供惡意軟件的可能性,我的公司想測試員工是否會將未知的USB驅動器放入他們的計算機中。測試員工是否會使用未知的USB驅動器
我們的想法是,我們可以在我們公司放一些驅動器,拇指驅動器可以通過電子郵件發送給IT經理,讓他們評估這對我們來說有多大的問題。
這個任務已經落到了我的面前。雖然我有編程經驗,但對我來說這是一個新領域。
當前:我有一個程序(.exe文件),它會在執行時通過電子郵件發送給我。它向我發送當前登錄的Windows用戶的登錄名。
問題:一旦在USB驅動器上,看起來沒有辦法自動運行它。我可以告訴我的最好的情況是,一旦這些漏洞開始發生,自動運行功能就會被刪除或修補。
我還有另外一種方法嗎?或者有什麼方法可以開發出我沒有看到的東西?
你說負載是一個EXE文件,所以我將假設一個Windows環境。
仍然支持Windows AutoRun。根據其實施情況,可以向用戶呈現自動播放對話框,給他們選擇。除非他們點擊您的可執行文件,否則可能不會收到電子郵件
在大多數窗口上,USB插入將生成System log Event 7036。通過一些額外的邏輯和過濾,假設用戶位於Windows域中,您可能會在系統日誌中看到這些事件。
這聽起來很有希望。爲了確保我理解 - 用戶的計算機將生成日誌條目,並且作爲管理員,我可以使用PowerShell通過域中的日誌進行篩選並找到相應的條目? – indigochild
@indigochild可能是的,但我們是軟件開發人員,而不是系統管理員。詢問https://serverfault.com的詳細信息(不知道誰有想法將此問題遷移到stackoverflow)。 – Philipp
這最終成爲我們案例的最佳解決方案。謝謝。 – indigochild
從Windows 7開始,您就不能再使用自動運行功能,這正是您擔心的原因。
參見:How to use autorun in Windows 7 from a Flash drive to open a webpage?
不幸的是這並不意味着USB棒是無懈可擊的傳播的惡意軟件。您可能聽說過BadUSB,無法輕易防範。
而不是依靠autorun.inf(不再工作),嘗試將一個文件放在標有「Read me if found.txt」的USB存儲器中,並在文件中列出一個返回USB存儲器的位置提供10美元的獎勵。大多數人會以10美元的價格跳槽。誠實並給他們10美元。
*「誠實並給予他們$ 10」* ...然後解僱他們違反IT安全政策? – Philipp
@菲利普如果你想讓敵人真的很快,並讓整個公司完全不信任你,這是一個很好的方法來實現這一目標。 –
@ Philipp假設這違反了您的IT策略。在許多公司,它不會。 – indigochild
這似乎正在轉向安全,而不是開發。這是一個常見的pentesting任務 - 刪除幾個USB設備,並查看它們在哪裏結束。
正如您所指出的,使用實際的USB拇指驅動器存在問題 - 您如何知道它們被使用?而且,如果將惡意軟件插入受感染的計算機中,還有意外傳播惡意軟件的風險。
許多pentesters轉向設備,如USB Rubber Ducky,看起來像一個拇指驅動器,但實際上像鍵盤一樣,插入時運行其有效載荷。這裏有很多選擇;這實際上是我們用來演示如何修改USB固件(BadUSB)的演示之一。
通過使用看似拇指驅動器的東西,但具有可編程的有效載荷,您可以收集更多信息並擁有更多控制權。
我知道一些人訂購了帶有定製印刷箱子的thumbdrives,並帶有公司標誌 - 以幫助灌輸信心 - 然後用橡皮鴨替換它內部的板子;然後通過建築物和停車場分發設備。測試員工培訓是非常有效的策略。
對於系統管理員來說,這看起來更像是一個任務,而不像程序員。在大多數操作系統上,USB設備的連接和斷開連接都會記錄在某處。主要使用什麼操作系統? – Philipp
幾乎完全是Windows,但可能有各種不同的版本(主要是XP,Vista或7)。 – indigochild