Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

USBwatcher - shutdown om ny USB pluggas in

15 sep 2015, 11:14

Hej,

jag håller för närvarande på att skriva en stor Anti-forensik guide och medan jag gjorde det så letade jag efter ett program som kunde utföra en handling om någon stoppade in ett oidentifierat USB-minne.

Varför är detta viktigt?
IT-forensiker har ofta USB-minnen med sina verktyg på. Skulle de få tag på en dator som är påslagen så kommer de med största sannolikhet stoppa i deras USB-minne i datorn för att nå alla sina verktyg för att dumpa minnet och/eller göra en diskkopia. Kolla gärna detta video: https://www.youtube.com/watch?v=IWOJ-PkZTAM#t=55

USBwatcher
Är ett enkelt program som kollar om ett nytt USB pluggas in i datorn och om så är fallet kommer datorn att stängas ner och då alltså förhindra polisen att kunna utföra sitt arbete.

Länk till projektet: https://github.com/redpois0n/usbwatcher


Tråden kommer uppdateras med mer info så småningom.
keybase.io/dotchloe | chloe.re | chloe.website

gsoc
Respekterad Medlem
Inlägg: 69
Blev medlem: 10 feb 2015, 14:45

Re: USBwatcher - shutdown om ny USB pluggas in

15 sep 2015, 12:01

Prova detta istället, på linux

/etc/udev/rules.d/em.rules

Om nån stoppar in:

Kod: Markera allt

#mm
ACTION=="add",KERNEL=="sd*", RUN+="/usr/sbin/cleanmem_shutdown.sh"


Om nån drar ut:

Kod: Markera allt

#mm
ACTION=="remove",KERNEL=="sd*", RUN+="/usr/sbin/cleanmem_shutdown.sh"


Kod: Markera allt

udevadm control --reload-rules

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: USBwatcher - shutdown om ny USB pluggas in

15 sep 2015, 12:08

gsoc skrev:Prova detta istället, på linux

Kommer detta ifrån Tails? cleanmem_shutdown.sh är sdmem + shutdown?
keybase.io/dotchloe | chloe.re | chloe.website

gsoc
Respekterad Medlem
Inlägg: 69
Blev medlem: 10 feb 2015, 14:45

Re: USBwatcher - shutdown om ny USB pluggas in

15 sep 2015, 12:13

Nope, ni får välja själv vad det innehåller, men en minneskörning och en shutdown låter som en bra plan.

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: USBwatcher - shutdown om ny USB pluggas in

15 sep 2015, 20:26

Kommit en liiiiten bit på projektet. Just nu fokuserar vi på Windows, men även lite Linux skrivs då det inte finns någon Windowsmiljö tillgänglig :D

Den kollar för tillfället bara om någon ny okänd enhet, borttagbar enhet, cd eller ramdisk stoppas in. (https://msdn.microsoft.com/en-us/librar ... 39(v=vs.85).aspx)

Den går efter mount point, dvs bokstav enheten har, så om du av någon anledning skulle ta bort och stoppa in ett annat USB som monteras på samma bokstav under DELAY (1000 ms) så kommer du förbi detta.

Arbetet påbörjades igår och MYCKET kommer att förändras. Vi har iallafall kommit någon vart på mindre än ett dygn. Det kommer att finnas Mac OS X och Linux stöd, även fast detta kanske inte blir så bra som Windows.

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: USBwatcher - shutdown om ny USB pluggas in

17 sep 2015, 10:30

Programmet kör nu alla skripts som är inlagda i usbwatcher.conf när det triggas. En whitelist är nu implementerad men instruktioner för att använda den kommer senare. På Windows kan du whitelista serienr eller vilken bokstav enheten monteras på.

Användarvisningsbild
ttt
Respekterad Medlem
Inlägg: 121
Blev medlem: 19 jan 2015, 01:27

Re: USBwatcher - shutdown om ny USB pluggas in

17 sep 2015, 11:50

Prövade, fungerade fint

Bild

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: USBwatcher - shutdown om ny USB pluggas in

17 sep 2015, 17:11

ttt skrev:--snip--[/img]


:D :D

Det som är kvar att göras nu är givetvis OS X och Linuxstöd men för tillfället så funkar den mycket bra på Windows. Du kan whitelista både den bokstav enheten monteras på och serienumret för enheten. Vill du se enheter och serienr så kör

Kod: Markera allt

./usbwatcher --list


Jag har testat med två olika USB stickor och en av dem hade serienr 0000-0000.

Användarvisningsbild
smurfacc
Inlägg: 322
Blev medlem: 28 dec 2014, 02:05

Re: USBwatcher - shutdown om ny USB pluggas in

17 sep 2015, 21:28

red skrev:
:D :D

Det som är kvar att göras nu är givetvis OS X och Linuxstöd men för tillfället så funkar den mycket bra på Windows. Du kan whitelista både den bokstav enheten monteras på och serienumret för enheten. Vill du se enheter och serienr så kör

Kod: Markera allt

./usbwatcher --list


Jag har testat med två olika USB stickor och en av dem hade serienr 0000-0000.

Hur ska man whitelista 0000-0000 på ett vettigt sett? Känns inte som man vill tillåta 0000-0000.. att tillåta en enhetsbokstav är inte heller en bra ide, väldigt lätt att komma runt.

Hitta http://www.microchip.com/forums/m225800.aspx men de verkar inte alls smidigt

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: USBwatcher - shutdown om ny USB pluggas in

17 sep 2015, 21:59

smurfacc skrev:Hur ska man whitelista 0000-0000 på ett vettigt sett? Känns inte som man vill tillåta 0000-0000.. att tillåta en enhetsbokstav är inte heller en bra ide, väldigt lätt att komma runt.

Hitta http://www.microchip.com/forums/m225800.aspx men de verkar inte alls smidigt


Jag vet inte hur man ska göra med 0000-0000. Har bara 2 usb-stickor att prova med. Vet inte hur Windows gör när man monterar nya enheter men gissar att den får första tillgängliga bokstav. Om du nu whitelistar bokstav Z: så kan du montera dina grejer där, medan en forensikers USB-sticka kommer att monteras på första tillgängliga, där den inte är tillåten.

Sen om din USB-sticka har serienr 1234-6541, vad är då oddsen att en person pluggar in en med samma serienr?

Vi har mycket att klura på när det gäller detta, men detta är en första prototyp.