查看: 4266|回复: 19
收起左侧

[讨论] 如何防御badusb?

[复制链接]
柯林
发表于 2021-1-19 15:11:57 | 显示全部楼层 |阅读模式
很久没关注,这是个老话题了,但好像现在也没啥好的解决办法--据说要等新的U盘使用禁止再次编程的cpu才能“完美”解决
拿键盘试了下,注册表防御好像没用,文件路径试了一个\\?\HID#VID**{4D36E96B-E325-11CE-BFC1-08002BE10318}**没啥卵用.....
哪位大侠有管用的方法,请分享下好像360与卡巴有这个的防御,vse似乎没有,不知道mes有没有?

==========  瞎搞法 =========
最好的方法,当然是拦截“键盘设备的安装”;不能源头上拦下,那就只能后期“变相防御”:
看相关“攻击示例”,多数是从cmd调用powershell开始,禁止cmd.exe执行powershell.exe,应该就截断了
或者,直接禁止powershell.exe之类连接网络,下不下来恶意程序,也没后续啊

有个更狠的招,恶意攻击几乎都是cmd.exe发起的,禁止“我”去执行cmd,不也就废了——看badusb攻击演示,无非是“伪装键盘”模拟“按下win+R,然后运行cmd,再往后一连串动作”,让它运行不了cmd,不也就熄火了?
禁止EXCEL.exe, explorer.exe, hh.exe, iexplore.exe, winhlp32.exe, WINWORD.exe执行cmd.exe,经测试,自己也不能在“运行”框里“打开”cmd,连带的,任何位置的批处理,你点它也没用;自己要用cmd,需要切换到“命令提示符”,右键“以管理员身份执行”才可以

哪位喜欢折腾的,自己弄个badusb的盘,试试这法子管用不?
请大侠最好分享一下“禁止键盘设备安装”的方法,感谢先



sdtzsf
发表于 2021-1-19 17:32:09 | 显示全部楼层
毛豆的HIPS应该也能禁运。
wwwab
发表于 2021-1-19 17:50:39 | 显示全部楼层
对新插入可疑设备在鼠标键盘配备的情况下一律禁用,用户同意可启用
柯林
 楼主| 发表于 2021-1-19 17:58:25 | 显示全部楼层
本帖最后由 柯林 于 2021-1-19 18:07 编辑
sdtzsf 发表于 2021-1-19 17:32
毛豆的HIPS应该也能禁运。

毛豆那个有第三方设备啥的,如果开HIPS,设置置顶阻止*访问\Device\Keyboard那个不知道有用没用
或许置顶*访问\Device\*设置只记录测试下看看结果
ps:很久不玩毛豆,都忘记了,毛豆是否有“只记录不阻止”的功能?如果没有,禁止*访问\Device\*可能分分钟死机蓝屏了
柯林
 楼主| 发表于 2021-1-19 18:02:48 | 显示全部楼层
wwwab 发表于 2021-1-19 17:50
对新插入可疑设备在鼠标键盘配备的情况下一律禁用,用户同意可启用

这是什么操作,请具体谈下。。。

网上流传组策略阻止键盘GUID安装那个有点坑----万一哪天键盘坏了,买个新的来装不上,组策略都打不开,估计一般用户只有着急地重置系统或重装系统了
wwwab
发表于 2021-1-19 18:21:49 | 显示全部楼层
柯林 发表于 2021-1-19 18:02
这是什么操作,请具体谈下。。。

网上流传组策略阻止键盘GUID安装那个有点坑----万一哪天键盘坏了,买 ...

设备管理器可以禁用黑启用设备
柯林
 楼主| 发表于 2021-1-19 18:59:25 | 显示全部楼层
wwwab 发表于 2021-1-19 18:21
设备管理器可以禁用黑启用设备

没看懂,你意思是发现键盘下有个“黑键盘”设备,点击禁用?那样可就晚了——U盘插入电脑,隐藏在U盘固件内的恶意代码,几秒钟的时间,只要这个USB设备一安装好,恶意代码已经搞完事了,关闭防火墙、添加端口、访问网络啥的早出去了,如果没防护不是已经中招了
wwwab
发表于 2021-1-20 15:55:23 | 显示全部楼层
柯林 发表于 2021-1-19 18:59
没看懂,你意思是发现键盘下有个“黑键盘”设备,点击禁用?那样可就晚了——U盘插入电脑,隐藏在U盘固件 ...

不是,我的意思是,如果开发一个防御工具,我有这样一个想法,可以让程序自动这么做……
柯林
 楼主| 发表于 2021-1-20 16:08:05 | 显示全部楼层
wwwab 发表于 2021-1-20 15:55
不是,我的意思是,如果开发一个防御工具,我有这样一个想法,可以让程序自动这么做……

360与卡巴斯基好像已经有这功能;vse不知道怎么弄,瞎试了几下没结果
按理拦截设备安装也不是什么难事,应该能办到
根据资料,谷歌有一款免费的USB防御软件,说是依据击键的速率来判断是人用的键盘还是病毒模拟的键盘https://baijiahao.baidu.com/s?id ... r=spider&for=pc
据说微软的WD已经具备这方面的“侦察功能”https://zhuanlan.zhihu.com/p/58377372
PanzerVIIIMaus
发表于 2021-1-26 22:02:03 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2021-1-26 22:14 编辑

360有该功能,可启用(默认未启用)
卡巴斯基我记得只有Kaspersky Endpoint Security才有相关功能(badUSB防御模块)
VSE莫得
MES的话,不清楚,但明确的是独立端没有这种功能
至于WD,文章里指的是WDATP,现在叫MDATP,名称无所谓反正都要钱




关于其他类似功能:

ESET的EIS有“设备控制”,但该模块只支持敏感I/O的模块,至于键盘,那是不受支持的设备所以不受限制。(一个词:等于没有)

不知道搭配SEPM的SEP能否实现,SEP也有类似设备控制的模块,但我没有SEPM所以情报不详。
红伞Pro版有设备控制的模块,但我用红伞是很久之前了,所以忘记了。(目测状况与ESET差不多)



这波啊,这波是民族自信(大雾)

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 感谢提供分享

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 15:56 , Processed in 0.150499 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表