毛豆防badusb官方教程

xl_kav

柯林 发表于 2021-1-30 23:10
是的，这个主要是防“外来的”——居心不良的，带“坏盘”来搞事；不明就里的，淘宝上买个便宜的U盘、鼠 ...

现在很多公司和单位不让外面U盘随便插，再说现在办公电脑基本上还是Windows,也有部分用macos,,,一般能够通过u盘直接让电脑变肉鸡的这种机率并不大，之前只出现在电影情节里

柯林

xl_kav 发表于 2021-1-31 21:23
现在很多公司和单位不让外面U盘随便插，再说现在办公电脑基本上还是Windows,也有部分用macos,,,一般能够 ...

看介绍其实挺简单的——以前不是有种脚本“病毒”，存U盘上，一插机子，后台自动把资料烤进U盘带走；badusb更猛，直接打开后门，让机子“门户大开”……看介绍，不只是鼠标、U盘，连USB充电线都可以搞

xl_kav

柯林 发表于 2021-1-31 21:28
看介绍其实挺简单的——以前不是有种脚本“病毒”，存U盘上，一插机子，后台自动把资料烤进U盘带走；badu ...

对badusb 应有个全面详细测试， 我到有个想法，在 Raspberry Pi 上搭建个虚拟平台测下badusb这玩意威力到底有多大

柯林

xl_kav 发表于 2021-1-31 21:34
对badusb 应有个全面详细测试， 我到有个想法，在 Raspberry Pi 上搭建个虚拟平台测下badusb这玩意威力到 ...

期待实验结果

按网上流传的教程实例，其实没什么，因为U盘固件空间有限，能够刷入的代码不能多——网上流行的都是用cmd启动powershell去下载预设好的ps1文件来完成后续操作，这种流行套路，直接一招封掉powershell.exe联网，就没有然后了或许它贼精一点，用powershell启动svchost之类去下载毒物ps1倒是容易过，这时就该毛豆沙盘出手——网上来的未知文件入沙，死翘翘……或许更早一点，如果毛豆功能正常，那个脚本启发运作，从第一步，cmd启动powershell开始就有监控，符合“异常操作定义”，可能老早就被拦下，然后，也就没有然后了……这些都是逻辑分析，需要实例验证，所以有实例最好的。期待结果……

tdsskiller

一般你能遇到的，公开的，玩烂的，毛豆都能防。如果是货真价实0day打你的，谁都没用但是血赚，因为你作为目标一文不值，反而0day很有价值，你相当做了一个人形mi-guan

配合一个那种CVE-2020-16938-ntfs读文件漏洞，简直离谱。

因为外接设备引起的0day我没看到近期有人报道过，不太清楚现在这些玩意的情况，但是能确定的是，如果有什么方法在外接设备和你的驱动设备交互时让你主机驱动执行恶意代码，hips没有一个靠谱的，可能反外{过}{滤}挂抓的比hips都好类似这种的不要指望着hips能干些啥，hips都是高限制r3，对r0没有任何办法。

举个最简单的例子，传奇私-Fu的rootkit加载驱动后在火绒剑里面可以看到System(pid=4)的恶意线程tcpip.sys(劫持)直接在drivers下创建文件，在windows下创建配置文件，你看看老时代的hips哪一个能抓到的[:01:]

举个更极端的，由CVE-2020-0796-smbghost引起的0day火绒剑啥也看不到，只有对api/syscall收集地比hips全面的工具才能看到：System(pid=4)的正常系统线程ntoskrnl（与smb相关）在读ntoskrnl和创建恶意的名为ntoskrnl线程

r0到r3的话有各种奇怪的操作，什么lsass挖矿的，services下载木马的，或者system直接当浏览器的下载各种文件然后运行的，这些rootkit也不是没有见过[:01:]这种hips全部哑火


总结：漏洞价值很高的很猛的一般人碰不到或者不配被打；玩烂的，那种实际上只是一个自动运行的，hips直接安排地明明白白，推荐禁用U盘设备autorun，挂一个usb保护即可

柯林

tdsskiller 发表于 2021-1-31 22:23
一般你能遇到的，公开的，玩烂的，毛豆都能防。如果是货真价实0day打你的，谁都没用但是血赚，因为你 ...

确实如此！这些工具，都只能防常规的，太高端的，超出范畴……比如系统经常爆出的各种“恐怖漏洞”与bug，谁知道是“无意的”，还是“预设”被发现……普通人嘛，确实没多大价值，但是基本的应该防护好，比如勒索病毒，格式化磁盘的蠕虫，常见的木马，那些高端的轮不到操心，操心也无用……

tdsskiller

柯林 发表于 2021-1-31 22:36
确实如此！这些工具，都只能防常规的，太高端的，超出范畴……比如系统经常爆出的各种“恐怖漏洞”与bug ...

高端的样本的话普通人要想办法抓到，当然一般情况下都抓不到

柯林

tdsskiller 发表于 2021-1-31 22:45
高端的样本的话普通人要想办法抓到，当然一般情况下都抓不到

一般人没办法，就是那些吃安全饭的专家，也未必都有，像nsa武器库里那些玩意，世人大多是无晓的存在
像mj那样的高手，挖一辈子漏洞，也未必全都挖到，普通人算了，寻求点基本的安慰就可以了

xl_kav

tdsskiller 发表于 2021-1-31 22:23
一般你能遇到的，公开的，玩烂的，毛豆都能防。如果是货真价实0day打你的，谁都没用但是血赚，因为你 ...

一般真的遇到那种0day攻击的话，估计攻击者本身都是相当于国家级的黑客行为，而且估计也是有组织和目标的。之前老美的网络安全公司FireEye 和多个联邦机构就被0day搞过，你说的已经超出个人安全软件所能防护的范畴了，那个是网络武器啊，，，前几天还看到卡巴KIS版区有人认为电脑上只要安装KIS就安全了，脑子真的很simple很naive

tdsskiller

xl_kav 发表于 2021-2-2 19:56
一般真的遇到那种0day攻击的话，估计攻击者本身都是相当于国家级的黑客行为，而且估计也是有组织和目标的 ...

emmm，现在小团伙也是能搞出阴间0day的，不过都没报

而且现在挖洞的人越来越多，不好说。。。