Discussion :

[alphastorm]

Bonjour à tous !

Je n'arrive pas malgré beaucoup de recherche, à savoir si Docker à la capacité d'analyser une attaque via USB (rubberDucky) en bloquant et analysant directement tout ceci dès le branchement de la clé ! (tout ceci sur une vm windows 7 (sur un ubuntu 14))

j'ai compris comment il fonctionne mais ce point reste très flou ..!

je travaillait sur Cuckoo sandbox, mais pareil, je ne trouve aucun moyen pour contrer une attaque de ce type ... auriez vous une idée ?

(j'ai déja coupé les fonctions usb dans regedit pour que windows ne puisse pu voir de périphérique sur les ports usb mais je cherche quelque chose de plus concret.)

Dans l'espoir de vous lire,

Alpha

[Flodelarab]

Bonjour

Pourquoi demandes-tu aux linuxiens une solution sous windows ?

[alphastorm]

Bonjour ! merci de la réponse rapide;

en fait je voulais plutôt expliquer ce que je recherchais mais je me suis mal exprimé !

je recherche maintenant une solution linux, qui pourrait analyser (dans une sorte de sandbox) une attaque via clé usb (rubberducky) ! et j'ai pensé à Docker mais je ne trouve absolument rien sur le sujet ... je suis un peu désespéré.

et justement, j'ai essayé cuckoo sandbox (linux) mais je n'arrive pas à la faire marcher :s pourtant je configure bien les fichier de conf mais rien n'y fait ...
de plus, cuckoo sandbox il faut lancer un malware ou quelque chose, alors que j'ai besoin d'une solution qui "attend" l'attaque pour l'analyser.

j'espére que je me suis mieux exprimé

auriez vous une idée ?

Alpha

[papajoker]

bonjour,

toujours rien compris, docker est "en quelque sorte" juste une vm dans lequel tu peux faire tourner n'importe quel linux et installer ton logiciel. On installe de la même façon ton logiciel dans une vm ou docker.

la seule différence c'est que tu vas trouver des dockerfiles avec Cuckoo pre-installé
une rapide recherche web te donne quelques dockerfiles (a tester ...) 1 2 etc ...

[alphastorm]

D'accord je te remercie donc je pense que Docker n'est pas la solution que je recherche en fin de compte ...

Pour faire simple, j'ai une clé USB rubberducky, qui quand je la branche sur un Linux, va écrire comme un clavier sur la machine, un code que j'aurais écrit à l'avance.

Je recherche juste une solution native sous linux, qui au cas ou une personne voudrait brancher une clé usb infectée de malwares sur mon ordinateur, analyse se qui s'execute, fait un rapport, et bloque si l'action est dangereuse.

je serais heureux de trouver un outil qui me permettrais de faire ça !

Encore merci de vos réponses, personne sur aucun forum n'a su m'aider ..!

[jlliagre]

Utiliser Docker n'a pas de sens pour ce type d'attaque car Docker n'a pas d'écran où l'on puisse ouvrir une fenêtre et encore moins accès à un clavier USB.

Avec une VM, l'accès aux périphériques de type HID (clavier/souris/etc.) est soit (probablement) impossible avec VirtualBox, soit désactivé par défaut avec VMWare, car sinon, le démarrage d'une VM pourrait entraîner l'appropriation de la souris et du clavier par cette VM, et rendre donc impossible le retour à la machine hôte (hors arrêt de la VM invitée).

A supposer que ces problèmes soient réglés, par exemple comme indiqué ici, il doit être facile de détecter la clef car elle ne va pas être reconnue comme périphérique de stockage mais comme un clavier lors de son insertion. Si en revanche, on accepte le branchement d'un clavier, il ne va pas être facile de détecter de manière imparable une USB rubberducky car qu'elle que soit l'heuristique mise en oeuvre, le programmeur de la clef pourra probablement toujours trouver une parade pour la contourner.

En conclusion, la seule méthode que je vois serait de configurer l'OS pour qu'il refuse d'avoir plus d'un clavier ou plus d'une souris connectés à la fois.