USB device fra Kina

– passwords i klar tekst

Af Kåre Rude Andersen

Rune fra Telecom X skrev til mig at han havde modtaget en spændende pakke fra Kina, et helt nyt USB device. Men det kuriøse ved historien var at han ikke havde bestilt sådan et. Nu er Rune en betænksom mand der er vant til at håndtere IT og IT-sikkerhed så han kunne ikke finde på at sætte denne direkte i sin eller andres PC. Men Rune arbejder i Telecom X der er et teleselskab og derfor et interessant mål for en hacker.

usb-kina-itsikkerhed

AutoRun / AutoPlay

Med Windows 10 er den tidligere benyttede AutoRun mulighed fjernet, nu hedder den AutoPlay og kan ikke umiddelbart eksekverer programmer på en USB. Dog kan man ved at benytte 3. part løsninger som samlogic.net lave en løsning der kan køre et program automatisk. Så ved at pakke (embedde) et lille program kan man få fat i password fra alle de maskiner hvor et sådan USB stik isættes.

Check din kollegas password

Så hvis man nu tænkte videre på denne historie, kan man på et USB stik lave en ret simpel metode til at fange passwords eller inficerer en PC. Såfremt man ønsker at se andres passwords kan følgende opskrift benyttes:

Benyt Samlogic software til at oprette en eksekverbar fil der disabler Windows antivirus på et drev og kør herefter et password scannings program f.eks Mimikatz til at finde lokale passwords. Er der internetadgang kan man samtidig sende dette via en mail/web adgang.

Check dine egne passwords (du bliver overrasket)

Fra en Admin PS/CMD – Kør følgende powershell: Set-MpPreference -ExclusionPath c:\script

Download Mimikatz: Fra: https://github.com/gentilkiwi/mimikatz/releases download ZIP filen til c:\scripts

Udpak og kør følgende fra en prompt: Mimikatz.exe sekurlsa::logonpasswords

Herefter kommer en liste hvor du kan se dine passwords i fuldstændigt klar tekst.

Hvad skal jeg gøre for at undgå dette på min PC / I min virksomhed?

Du kan disable AutoPlay, ved hjælp af en af disse metoder:

Klik på din Start knap – skriv: AutoPlay – I denne menu kan du vælge hvad der skal ske når du isætter et USB drev.

Kør følgende PS kommandoer på din PC:

New-Item-Path “HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer” | Out-Null Set -ItemProperty -Path “HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer” -Name “NoDriveTypeAutoRun” -Type DWord -Value 255

Kontakt os for at få mere viden omkring dette: kra@legaltechdenmark.com

/Kåre