Como detectar um Ducky de borracha USB?

Há três semanas, minha empresa encomendou muito hardware (hardware real, não relacionado a TI) da China.

Hoje, a garota do armazém vem ao meu escritório e diz que, misturada, encontrou uma unidade USB branca dizendo "Lihuiyu Studio Labs 2012.10.25"

Curioso, tive uma reação como "YAY! Um drive USB gratuito! Vamos ver o que há dentro!" e estupidamente conectado à minha máquina principal, e fiquei chocado ao descobrir que ele foi detectado como um HID e teclado USB.

Paralisado pelo choque, esperei 20 a 30 segundos antes de removê-lo.

Nada aconteceu na tela, um dispositivo USB Rubber Ducky-like deve mostrar algo na tela, certo? Não há como comprometer o sistema da empresa com alguns comandos de velocidade da luz impossíveis de ver a olho nu, certo?

Pergunta principal:

Existe alguma maneira de proteger os sistemas Windows de dispositivos USB como este?

Precisamos conectar centenas de unidades USB diferentes a cada semana, portanto, remover / desativar o suporte USB não é uma opção

Pergunta secundária:

Como posso ver o que este dispositivo USB está realmente fazendo?

Não há perigo em inserir este dispositivo no seu computador. É apenas um dongle para um pacote de software de gravação a laser chamado WingraverXP, fornecido com algumas máquinas a laser econômicas. Eu tenho uma das máquinas e é fornecida com um stick USB idêntico.

De maneira semelhante ao que sua mãe pode ter lhe dito quando criança sobre a aceitação de pacotes de estranhos, quando você encontra uma unidade USB estranha em um armazém cheio de chaves de fenda chinesas, ou o que quer que seja, não o conecte um computador que faz parte da rede da sua empresa . Sempre.

Essa é realmente a melhor maneira de "proteger os sistemas Windows de dispositivos USB como este". Dito isto, como James disse nos comentários, os primeiros e óbvios métodos de ataque seriam bloqueados ao desativar o recurso de execução automática da unidade removível, mas se alguém realmente quiser danificar um computador, tenho certeza de que um hacker talentoso poderia fazer isso. portanto, sem a execução automática ativada.

Da próxima vez que um pendrive USB cair do céu assim e você quiser ver o que é, conecte-o a um computador que não faz parte de nenhuma rede, não tenha conexão com a Internet e dados críticos.

Agora, é provável que exista um estivador irado em algum lugar nas margens da China lamentando a perda de seu teclado sem fio, nada de nefasto na unidade e absolutamente nada de errado com o seu computador. Como regra geral, porém, você não conecta dispositivos estranhos às redes.

ATUALIZAR

Acho que não há como detectar um patinho de borracha. A boa notícia é que a mais conhecida não se parece com a foto que você postou. Por outro lado, o que a hipotética ave USB faz depende inteiramente de sua carga útil e não pode ser previsto. Portanto, não haverá uma maneira sólida de verificar, pois você não pode saber de antemão o que ela tentou fazer.

Se sua unidade realmente se identifica como um teclado, a maneira mais segura de determinar quais pressionamentos de tecla ela envia é provavelmente um registrador de teclado USB de hardware. Você pode obter aqueles por toda a internet, apenas no google "usb keyboard logger".

Obviamente, isso não impede que o dispositivo não identificado envie as teclas digitadas para o sistema em que está sendo conectado, portanto, você não deve fazer isso em um sistema de produção.

Como você provavelmente não deseja desativar o suporte a dispositivos USB HID e teclado, acho que não há nada que você possa fazer para impedir esses ataques, além de não conectar dispositivos não confiáveis ​​à sua máquina.

EDIT: Como não consigo comentar as outras respostas: A desativação da execução automática impede apenas a execução automática de arquivos na unidade USB conectada. No entanto, se este dispositivo for identificado como um teclado, provavelmente enviará pressionamentos de tecla e não oferecerá arquivos. Desativar a execução automática não protege você contra pressionamentos de tecla.

Detector de teclado disfarçado Penteract

Ele bloqueia a tela quando detecta que um teclado foi conectado.