測試員工是否將使用未知的USB驅動器

Question

由於可以通過USB驅動器（例如stuxnet）傳送惡意軟件，因此我公司希望測試員工是否將未知的USB驅動器放入其計算機中。

我們的想法是，我們可以在公司周圍放置一些驅動器，拇指驅動器可以向IT經理發送電子郵件，從而使他們能夠評估這對我們有多大的問題。

這項任務落在了我身上。 盡管我有編程方面的經驗，但這對我來說是新的領域。

當前：我有一個程序（.exe文件），執行該程序后會通過電子郵件將其發送給我。 它向我發送當前登錄的Windows用戶的登錄名。

問題：插入USB驅動器后，似乎無法自動運行它。 我能說的最好的一點是，一旦其中一些漏洞開始發生，自動運行功能便被刪除或修補。

我應該使用另一種方法嗎？ 還是有一種我看不到的發展這種方法？

Answer 1

您說有效負載是一個EXE文件，因此我將假定使用Windows環境。

Windows AutoRun仍然受支持。 根據其實現方式，可能會向用戶顯示“自動播放”對話框，讓他們選擇。 除非他們單擊您的可執行文件，否則您可能不會收到電子郵件。

在大多數Windows上，USB插入都會生成系統日志事件7036 。 通過一些附加的邏輯和過濾，假設用戶在Windows域中，則可能在他們的系統日志中看到這些事件。

Answer 2

從Windows 7開始，由於您擔心的原因，您不再可以使用自動運行功能。

請參閱： 如何在Windows 7中通過閃存驅動器使用自動運行來打開網頁？

不幸的是，這並不意味着USB隨身碟就不會傳播惡意軟件。 您可能聽說過BadUSB ，很難對其進行防護。

而不是依靠autorun.inf（不再運行），嘗試將文件放在標有“ Read me if found.txt”的USB棒中，並在文件中列出可以退還USB棒的地方以及提供的服務。 10美元的獎勵。 大多數人會以10美元的價格抓住機會。 老實說，給他們10美元。

Answer 3

這似乎正在回到安全性上，而不是發展上。 這是一項常見的測試任務-丟棄一些USB設備，然后查看它們的最終位置。

如您所指出的，使用實際的USB拇指驅動器存在問題-您如何知道使用了它們？ 而且，如果將惡意軟件插入到受感染的計算機中，還存在意外傳播惡意軟件的風險。

許多滲透測試者轉向諸如USB Rubber Ducky之類的設備，該設備看起來像拇指驅動器，但實際上就像鍵盤一樣，插入時運行其有效負載。 這里有很多選擇。 這實際上是我們用來演示如何修改USB固件（ BadUSB ）的演示之一。

通過使用看起來像拇指驅動器但具有可編程有效負載的設備，您可以收集更多信息並獲得更多控制權。

我知道許多人訂購了帶有定制印刷盒的拇指驅動器，並帶有公司徽標-以增強信心-然后用Rubber Ducky替換其中的板； 這些設備然后通過建築物和停車場進行分發。 測試員工培訓是非常有效的策略。