Sunday, July 12, 2009

USB Drive with autorun.inf

  • ไปอ่านบทความจากที่นี่ พี่เค้าเขียนเรื่อง autorun.inf ไว้ดีมากเลยได้ความรู้เรื่อง usb มากๆ
  • เราเลยมาลองดูกะ vista เราก็ใช้ได้มั่งไม่ได้มั่ง


Method 1 auto เมื่อเราเสียบ usb drive ที่ computer เรา

1. สร้างไฟล์ autorun.inf โดยมีข้อมูลประมาณนี้
----------------- ตัวอย่าง 1 ------------------
[autorun]
open=a.cmd
icon=b.ico

label=juuier

action=Open

----------------- ตัวอย่าง 2 ------------------
[autorun]
open=
iexplore.exe
icon=b.ico

label=juuier
action=Open

----------------------------------------------
  • open=a.cmd คือ เมื่อป๊อปอัพเด้งขึ้นมา ถ้ากด Open มันจะทำการเรียก ab.cmd
  • icon=b.ico คือ ใส่ไอคอนให้ drive เรา
  • label=juuier คือ ใน My Computer จะแสดง juuier เป็น Volume drive
  • action=Open คือ คำที่แสดงเมื่อป๊อปอัพเด้งขึ้น
2. จะเห็นได้ว่าใน autorun.inf เราจะเรียก a.cmd เราต้องต้องไปสร้าง batch file ชื่อ a.cmd หรือ อาไรก็ได้แล้วแต่เราจะตั้งชื่อไฟล์

Method 2 เมื่อเรา double click usb drive ใน Computer ให้ทำอาไรก็ได้
เพิ่มแบบนี้เพื่อเวลา shell\open\command=abc.cmd
หรือ จะเปิดโปรแกรมอาไรก็ shellexecute=firefox

---------------- ตัวอย่าง 1 -------------------
[autorun]
open=a.cmd

icon=b.ico
label=juuier

action=Open

shell\open\command=a.cmd

----------------- ตัวอย่าง 2 ------------------
[autorun]
open=a.cmd

icon=b.ico

label=juuier
action=Open
shellexecute=iexplore.exe
----------------------------------------------
Hiren's boot cd
[AutoRun]
icon=hbcd\wintools\autorun.exe
open=hbcd\wintools\autorun.exe
action=BootCD WinTools
label=BootCD WinTools
Shell\Option1=BootCD WinTools
Shell\Option1\Command=hbcd\wintools\autorun.exe


ubuntu live cd

[autorun]
open=wubi.exe --cdmenu
icon=wubi.exe,0
label=Install Ubuntu

[Content]
MusicFiles=false
PictureFiles=false
VideoFiles=false


xp
[AutoRun]
open=setup.exe
icon=setup.exe,0

วิธีป้องกันอย่างง่าย



วิธีป้องกัน
จากบทความต้นฉบับ

มีอยู่หลายวิธีคับในที่นี้ผมจะยกตัวอย่างมาสองวิธีนะคับ

1. ก็อาจจะประยุกต์ใช้ Group policy ในการ Disabled USB ได้โดยใช้
ADM template นะคับซึ่งสามารถ download ได้จาก

- ADM template
- ไฟล์ตัวอย่าง .adm

2. ถ้าหากว่าจะนำไปใช้ในองค์กร ก็อาจจะป้องกันได้โดย
ติดตั้งระบบ software security ที่ทำการป้องกันทางด้าน End-Point security
เช่นพวก NAC หรือ USB protector ระบบพวกนี้จะสร้าง policy ที่ใช้ในการป้องการ
การโดนโจมตีจากเครื่อง client และมีระบบจัดการจากศูนย์กลางทำให้ admin ทำงาน
ง่ายขึ้นมากคับ


OK คับที่ผมยกตัวอย่างมาให้ดู USB Hacking นี่ก็จะเป็นตัวอย่างนึงในรูปแบบการโจมตี
ที่ End-Point หรือเครื่อง client จากภายในซึ่งจิงๆแล้ว
การโจมตีจากภายในก็จะมีได้หลายรูปแบบไม่ว่าจะเป็นคนในองค์กรทำการ Hack เครื่อง
Server ขององค์กรหรือเอาวัยรัก(ไวรัส)มาจากบ้านแล้วมาติดเครื่องเพื่อนๆที่ทำงาน
ตัวอย่างเช่นคนภายในองค์กรเองเอาเครื่อง Notebook ไปติด Virus/Malware มาแล้ว
กลับมาต่อ LAN ภายในองค์กรก็สามารถจะทำให้เกิดการแพร่ของไวรัสได้ง่ายๆคับ

Credit: usbhacks

ทิป
  • method 1 ใช้ได้ทั้ง xp , vista ,7 ส่วน method 2 ทดลองแล้วใช้ได้ใน xp อย่างเดียวอ่ะ ส่วน vista และ 7 น่าจะติด UAC เลย ดับเบิ้ลคลิกที่ usb drive ใน computer แล้วไม่เกิดอาไรขึ้นเลย
  • อย่าลืมหาไฟล์ ico ที่เราเขียนไว้ใน autorun.inf มาด้วย
  • ใช้ explorer เสมอเมื่อต้องการเข้าถึงไฟล์ต่างๆ ของเค้ามีประโยชน์จริงๆ
  • ubuntu มี autorun มั้ยหว่า

อ้างอิง

No comments:

Post a Comment