Проверьте, будут ли сотрудники использовать неизвестный USB-накопитель

Из-за возможности доставки вредоносного ПО через USB-накопители (например, stuxnet) моя компания хочет проверить, будут ли сотрудники вставлять неизвестные USB-накопители в свои компьютеры.

Идея состоит в том, что мы могли бы оставить несколько дисков в нашей компании, а флэш-накопитель мог бы отправить электронное письмо ИТ-менеджеру, что позволило бы ему оценить, насколько серьезна эта проблема для нас.

Эта задача легла на меня. Хотя у меня есть опыт программирования, это для меня новая территория.

На данный момент: у меня есть программа (файл .exe), которая при запуске отправляет мне электронное письмо. Он отправляет мне имя для входа текущего пользователя Windows, вошедшего в систему.

Проблема: на USB-накопителе нет возможности автоматически запустить его. Лучшее, что я могу сказать, это то, что функции автоматического запуска были удалены или исправлены, как только некоторые из этих эксплойтов начали происходить.

Есть ли другой подход, который я должен использовать? Или есть способ развить это, которого я не вижу?


usb-drive
person indigochild    schedule 29.12.2015    source источник
comment
Это больше похоже на задачу системного администратора, чем программиста. В большинстве операционных систем подключения и отключения USB-устройств где-то регистрируются. Какую операционную систему в основном использует ваша организация?   -  person Philipp    schedule 30.12.2015
comment
Почти исключительно Windows, но, возможно, различные версии (преимущественно XP, Vista или 7).   -  person indigochild    schedule 30.12.2015

Ответы (3)


arrow_upward
2
arrow_downward

Вы говорите, что полезная нагрузка представляет собой EXE-файл, поэтому я предполагаю, что это среда Windows.

Windows AutoRun по-прежнему поддерживается. В зависимости от его реализации пользователю может быть представлено диалоговое окно автозапуска, предоставляющее ему выбор. Если они не нажмут на ваш исполняемый файл, вы можете не получить электронное письмо.

В большинстве окон вставка USB будет генерировать Событие системного журнала 7036. С некоторой дополнительной логикой и фильтрацией, предполагая, что пользователи находятся в домене Windows, вы потенциально можете увидеть эти события в их системных журналах.

person Rodrigo M    schedule 29.12.2015
comment
Это звучит многообещающе. Чтобы убедиться, что я понимаю, компьютер пользователя будет генерировать запись в журнале, и как администратор я мог бы использовать PowerShell для фильтрации журналов по всему домену и поиска соответствующих записей? - person indigochild; 30.12.2015
comment
@indigochild Скорее всего, да, но мы разработчики программного обеспечения, а не системные администраторы. За подробностями обращайтесь на serverfault.com (не знаю, кому пришла в голову идея перенести этот вопрос в stackoverflow). - person Philipp; 30.12.2015
comment
Это оказалось лучшим решением для нашего случая. Спасибо. - person indigochild; 30.06.2016

arrow_upward
1
arrow_downward

Вы больше не можете использовать функцию автозапуска в Windows 7 именно по той причине, о которой вы беспокоитесь.

См.: Как использовать автозапуск в Windows 7 с флешки, чтобы открыть веб-страницу?

К сожалению, это не означает, что USB-накопители неуязвимы для распространения вредоносных программ. Возможно, вы слышали о BadUSB, который нелегко защитить против.

Вместо того, чтобы полагаться на autorun.inf (который больше не работает), попробуйте поместить внутрь USB-накопителя файл с надписью «Прочитать меня, если найден.txt» и внутри файла указать место для возврата USB-накопителя вместе с предложением Награда 10 долларов. Большинство людей ухватятся за шанс за 10 долларов. Будьте честны и дайте им 10 долларов.

person Steve Sether    schedule 29.12.2015
comment
Будьте честны и дайте им 10 долларов... а затем уволите их за нарушение политики ИТ-безопасности? - person Philipp; 30.12.2015
comment
@Philipp Если вы хотите очень быстро нажить врагов и заставить всю компанию полностью вам не доверять, это хороший способ добиться этого. - person Steve Sether; 30.12.2015
comment
@Philipp Если предположить, что это противоречит вашей ИТ-политике. Во многих компаниях этого не будет. - person indigochild; 30.12.2015

arrow_upward
1
arrow_downward

Похоже, это возвращение к безопасности, а не к развитию. Это обычная задача пентестинга — подключите несколько USB-устройств и посмотрите, где они окажутся.

Как вы указали, существует проблема с использованием настоящих USB-накопителей - как вы узнаете, что они использовались? Кроме того, существует риск случайного распространения вредоносных программ, если они будут вставлены в зараженную машину.

Многие пентестеры обращаются к такому устройству, как USB Rubber Ducky, что-то похожее на флешку, но на самом деле ведет себя как клавиатура, выполняя свою полезную нагрузку при вставке. Здесь есть несколько вариантов; на самом деле это одна из демонстраций, которые мы использовали для демонстрации того, как модифицировать прошивку USB (Плохой USB).

Используя что-то похожее на флэш-накопитель, но с программируемой полезной нагрузкой, вы можете собирать больше информации и иметь больший контроль.

Я знаю многих людей, которые заказывали флэш-накопители с напечатанными на заказ футлярами с логотипом компании, чтобы вселить уверенность, а затем заменили плату внутри на резиновую уточку; Затем устройства были распределены по зданию и на парковке. Это чрезвычайно эффективная тактика для проверки обучения сотрудников.

person Adam Caudill    schedule 30.12.2015