En raison des possibilités de distribution de logiciels malveillants via des lecteurs USB (comme stuxnet), mon entreprise souhaite tester si les employés mettront ou non des lecteurs USB inconnus dans leurs ordinateurs.

L'idée est que nous pourrions déposer quelques disques dans notre entreprise et que la clé USB pourrait envoyer un e-mail au responsable informatique, lui permettant d'évaluer l'ampleur du problème pour nous.

Cette tâche m'est revenue. Bien que j'aie de l'expérience en programmation, c'est un nouveau territoire pour moi.

Actuellement: j'ai un programme (fichier .exe) qui m'enverra un e-mail lorsqu'il sera exécuté. Il m'envoie le nom de connexion de l'utilisateur Windows actuellement connecté.

Problème: une fois sur une clé USB, il ne semble y avoir aucun moyen de l'exécuter automatiquement. Le mieux que je puisse dire est que les fonctionnalités d'exécution automatique ont été supprimées ou corrigées une fois que certains de ces exploits ont commencé à se produire.

Y a-t-il une autre approche que je devrais utiliser? Ou y a-t-il un moyen de développer cela que je ne vois pas?

2
indigochild 30 déc. 2015 à 00:49

3 réponses

Meilleure réponse

Vous dites que la charge utile est un fichier EXE, je suppose donc un environnement Windows.

Windows AutoRun est toujours pris en charge. En fonction de sa mise en œuvre, l'utilisateur peut se voir présenter une boîte de dialogue d'exécution automatique, lui donnant des choix. À moins qu'ils ne cliquent sur votre exécutable, vous ne recevrez peut-être pas de courrier électronique.

Sur la plupart des fenêtres, une insertion USB générera Événement du journal système 7036 . Avec une logique et un filtrage supplémentaires, en supposant que les utilisateurs se trouvent sur un domaine Windows, vous pourriez potentiellement voir ces événements dans leurs journaux système.

2
Community 20 mars 2017 à 10:18

Vous ne pouvez plus utiliser la fonction d'exécution automatique à partir de Windows 7 pour exactement la raison qui vous inquiète.

Voir: Comment utiliser l'exécution automatique dans Windows 7 à partir d'un lecteur Flash pour ouvrir une page Web?

Malheureusement, cela ne signifie pas que les clés USB sont invulnérables à la propagation de logiciels malveillants. Vous avez peut-être entendu parler de BadUSB, qui ne peut pas être facilement protégé contre.

Au lieu de vous fier à autorun.inf, (qui ne fonctionne plus), essayez de mettre un fichier à l'intérieur de la clé USB intitulé "Lisez-moi si trouvé.txt" et à l'intérieur du fichier répertoriant un endroit où retourner la clé USB avec une offre d'un Récompense de 10 $. La plupart des gens sauteront sur l'occasion pour 10 $. Soyez honnête et donnez-leur 10 $.

1
Steve Sether 29 déc. 2015 à 22:23

Cela semble revenir à la sécurité plutôt qu'au développement. C'est une tâche courante de pentesting - déposez quelques périphériques USB et voyez où ils aboutissent.

Comme vous l'avez souligné, il y a un problème avec l'utilisation de véritables clés USB - comment savoir si elles ont été utilisées? Et il y a aussi le risque de propager accidentellement des logiciels malveillants s'ils sont insérés dans une machine infectée.

De nombreux pentesters se tournent vers un appareil tel que USB Rubber Ducky, quelque chose qui ressemble à une clé USB, mais se comporte en fait comme un clavier, exécutant sa charge utile une fois inséré. Il existe un certain nombre d'options ici; c'est en fait l'une des démos que nous avons utilisées pour démontrer comment modifier le micrologiciel USB (BadUSB).

En utilisant quelque chose qui ressemble à une clé USB, mais qui possède une charge utile programmable, vous pouvez collecter plus d'informations et avoir plus de contrôle.

Je connais un certain nombre de personnes qui ont commandé des clés USB avec des étuis imprimés personnalisés, avec le logo de l'entreprise - pour aider à inspirer confiance - puis ont remplacé la carte à l'intérieur par un Rubber Ducky; les appareils ont ensuite été distribués dans le bâtiment et le parking. C'est une tactique extrêmement efficace pour tester la formation des employés.

1
Adam Caudill 30 déc. 2015 à 05:51