测试员工是否会使用未知 U 盘
Test Whether Employees Will Use Unknown USB Drive
由于有可能通过 USB 驱动器传播恶意软件(如 stuxnet),我的公司想测试员工是否会将未知的 USB 驱动器放入他们的计算机中。
我们的想法是,我们可以在公司周围放置一些驱动器,并且拇指驱动器可以向 IT 经理发送电子邮件,让他们评估这对我们来说有多大的问题。
这个任务落在了我身上。虽然我有编程经验,但这对我来说是新领域。
目前:我有一个程序(.exe 文件),它会在执行时给我发电子邮件。它向我发送当前登录 Windows 用户的登录名。
问题:在 USB 驱动器上后,似乎无法自动 运行 它。我能说的最好的是,一旦其中一些漏洞开始发生,auto-运行 功能就被删除或修补掉了。
我应该使用另一种方法吗?或者有没有我没看到的开发方法?
你说payload是一个EXE文件,所以我会假设一个Windows环境。
Windows AutoRun 仍受支持。根据其实现,用户可能会看到一个自动播放对话框,让他们做出选择。除非他们点击您的可执行文件,否则您可能收不到电子邮件。
大多数 windows USB 插入会生成 System log Event 7036。通过一些额外的逻辑和过滤,假设用户在 Windows 域中,您可能会在他们的系统日志中看到这些事件。
从 Windows 7 开始,您不能再使用自动运行功能,这正是您担心的原因。
参见:How to use autorun in Windows 7 from a Flash drive to open a webpage?
不幸的是,这并不意味着 USB 记忆棒不受恶意软件传播的影响。您可能听说过 BadUSB,它不容易防范。
不要依赖 autorun.inf(不再有效),尝试将文件放入标有 "Read me if found.txt" 的 U 盘中,并在文件中列出 return 的位置USB 记忆棒以及 10 美元的奖励。大多数人会抓住 10 美元的机会。老实说,给他们 10 美元。
这似乎又回到了安全领域,而不是发展领域。这是一项常见的 pentesting 任务 - 丢弃一些 USB 设备,然后查看它们的最终位置。
正如您所指出的,使用实际的 USB 拇指驱动器存在问题 - 您如何知道它们被使用过?而且,如果将恶意软件插入受感染的机器,还存在意外传播恶意软件的风险。
许多渗透测试者求助于 USB Rubber Ducky, something that looks like a thumbdrive, but actually behaves as a keyboard, running its payload when inserted. There are a number of options here; this is actually one of the demos that we used to demonstrate how to modify USB firmware (BadUSB) 之类的设备。
通过使用看起来像拇指驱动器但具有可编程负载的东西,您可以收集更多信息并进行更多控制。
我知道很多人都订购了带有定制印刷盒的拇指驱动器,带有公司徽标 - 以帮助灌输信心 - 然后用 Rubber Ducky 更换了里面的电路板;这些设备随后被分发到大楼和停车场。这是一种非常有效的测试员工培训的策略。
由于有可能通过 USB 驱动器传播恶意软件(如 stuxnet),我的公司想测试员工是否会将未知的 USB 驱动器放入他们的计算机中。
我们的想法是,我们可以在公司周围放置一些驱动器,并且拇指驱动器可以向 IT 经理发送电子邮件,让他们评估这对我们来说有多大的问题。
这个任务落在了我身上。虽然我有编程经验,但这对我来说是新领域。
目前:我有一个程序(.exe 文件),它会在执行时给我发电子邮件。它向我发送当前登录 Windows 用户的登录名。
问题:在 USB 驱动器上后,似乎无法自动 运行 它。我能说的最好的是,一旦其中一些漏洞开始发生,auto-运行 功能就被删除或修补掉了。
我应该使用另一种方法吗?或者有没有我没看到的开发方法?
你说payload是一个EXE文件,所以我会假设一个Windows环境。
Windows AutoRun 仍受支持。根据其实现,用户可能会看到一个自动播放对话框,让他们做出选择。除非他们点击您的可执行文件,否则您可能收不到电子邮件。
大多数 windows USB 插入会生成 System log Event 7036。通过一些额外的逻辑和过滤,假设用户在 Windows 域中,您可能会在他们的系统日志中看到这些事件。
从 Windows 7 开始,您不能再使用自动运行功能,这正是您担心的原因。
参见:How to use autorun in Windows 7 from a Flash drive to open a webpage?
不幸的是,这并不意味着 USB 记忆棒不受恶意软件传播的影响。您可能听说过 BadUSB,它不容易防范。
不要依赖 autorun.inf(不再有效),尝试将文件放入标有 "Read me if found.txt" 的 U 盘中,并在文件中列出 return 的位置USB 记忆棒以及 10 美元的奖励。大多数人会抓住 10 美元的机会。老实说,给他们 10 美元。
这似乎又回到了安全领域,而不是发展领域。这是一项常见的 pentesting 任务 - 丢弃一些 USB 设备,然后查看它们的最终位置。
正如您所指出的,使用实际的 USB 拇指驱动器存在问题 - 您如何知道它们被使用过?而且,如果将恶意软件插入受感染的机器,还存在意外传播恶意软件的风险。
许多渗透测试者求助于 USB Rubber Ducky, something that looks like a thumbdrive, but actually behaves as a keyboard, running its payload when inserted. There are a number of options here; this is actually one of the demos that we used to demonstrate how to modify USB firmware (BadUSB) 之类的设备。
通过使用看起来像拇指驱动器但具有可编程负载的东西,您可以收集更多信息并进行更多控制。
我知道很多人都订购了带有定制印刷盒的拇指驱动器,带有公司徽标 - 以帮助灌输信心 - 然后用 Rubber Ducky 更换了里面的电路板;这些设备随后被分发到大楼和停车场。这是一种非常有效的测试员工培训的策略。