Comments 21
Kaspersky Endpoint Security это как раз умеет - там это называется авторизация клавиатуры. Может быть ещё какие-то другие антивирусы умеют.
Давно хотел разобраться в этой теме, но всё руки не доходили.
А если в Линукс такую штуку воткнуть то что будет?
Без проблем можно и сделать под линь, в винде таким методом зачастую что-то вызывают через Run или строку поиска пуска, из под лини скорее всего придется вызывать терминал ctrl + alt + t и выполнять что пожелаете (только вот если раскладка не eng то придется ручками перед выполением действий её сменить ибо alt-коды это виндовая тема).. ну и вряд ли выйдет что-то от рута выполнить сразу (хотя gtfobins никто не отменял).
В разных дистрибутивах/оболочках разные могут быть комбинации: Alt+T (вроде в астре), Alt+F2 (в КДЕ вообще). Вопрос с раскладкой клавиатуры интересен... я сходу не могу придумать, как это обойти. Вроде не видел статей на тему BadUSB для Linux (а это наверняка для десктопов с графикой будет), наверное из-за малой распространённости. Хотя сейчас в банках, медучреждениях и т.д. - какой-то из линуксов часто стоит у персонала, и это могут использовать.
В голову пришло применить sysrq, типа Alt+PrintScreen+B (моментальная перезагрузка), если это в параметрах ядра не отключено (на моём ПК не отключено, проверил экспериментально). Так что вполне может быть, что как-то можно реализовать переключение раскладки на нужную или обойти это. И даже если не переключать, а надеяться что она в момент активации "флэшки" EN (это 50% вероятности), то всё равно есть возможность что-то выполнить. Например, прошерстить домашний каталог текущего пользователя, стащить сессии телеграм, стим, что-то из браузеров и т.д., или банально выкачать из интернета нужную нагрузку и запустить.
Зависит от того, как настроен udev. В дефолтных десктопных дистрибах, как уже написали, будет примерно то же самое. Если делаете специализированную ос для своей задачи, необходимо делать свою урезанную конфигурацию разрешенных usb девайсов. И дело далеко не только в эмуляции устройств ввода.
А полезное применение смогли придумать?
А чем это не полезное применение? Мне как человеку интересующимся ИБ в первую очередь это интересно.
Что с этим делать вам решать, если вы какой то условный сисадмин и нет возможности залить на все хосты в офисе какой то софт по причине отсутствия AD домена то можно путем обхода всех тачек быстро выполнить нужное действие.. всё ограничивается вашей фантазией и возможностями.
А разве не практикуется включать режим проверки в Windows?
Когда при включение неизвестной (не подтвержденной) клавиатуры, на экране появляется требование вести случайный текст с экрана на подключаемой клавиатуре.
По моему, 100% защита от таких вещей.
Не помню как это включается в Windows. но не суть. У меня на компе так.
Интересно, впервые слышу про это, но 99% юзеров думаю тоже не слышали про это и скорее исключение из правил. Было бы это по дефолту то да а так никто это не врубает.
у меня этот режим на рабочем компе (не я включал).
Подключал новую клавиатуру - увидел.
Пока не введешь пароль с экрана на подключенной клвиатуре - она блокирована.
Может это не шатаная функция Windows. А что то специально для этого стоит.
надо будет разобраться и на домашнем ноуте включить.. Хотя я все одно все левое только в виртуалке смотрю. и незнакомые "флешки" в разъемы не пихаю.
Kaspersky Endpoint Security это как раз умеет - там это называется авторизация клавиатуры. Может быть ещё какие-то другие антивирусы умеют.
Скорее всего это какая то DLP (Data Loss Prevention) система, по типу ManageEngine Endpoint DLP Plus или от других вендоров, насчет блокировки HID устройств я слышу впервые но вот блокировка незарегистрированных USB носителей там точно есть.
Тоесть админу освоить базово powershell и запустить скрипт сразу везде по сети сложнее чем собрать это, запрограммировать и ходить втыкать чет-то по сотне машинам на десятке этажей и кабинетах
Все эти Rubber Ducky и прочие Arduino палятся на раз в более менее серьезных компаниях, ибо у них зашит USB Vendor ID от Ардуино. Можно ли изменить этот USB Vendor ID например на A4tech? Чтобы было похоже на обычную клавиатуру
А secretnet таким способом обойти реально?
Век живи, век учись, не знал про комбинации клавиш для run as admin и Alt + y
С флиппером эксперименты были? Во всяком случае, там не будет нужды что-то компилировать.
Bad USB — сильнее чем кажется на первый взгляд