Sử dụng công cụ usbrip, chúng tôi có thể chứng minh rằng một thiết bị USB đã được kết nối với một hệ thống Linux cụ thể, bởi một người dùng cụ thể, trong một khoảng thời gian cụ thể
GIỚI THIỆU VỀ USBRIP
Usbrip là gì?
Usbrip là công cụ pháp y dòng lệnh giúp theo dõi lịch sử tất cả các kết nối USB trên hệ thống Linux Nó phân tích dữ liệu nhật ký hệ thống từ các nguồn như lệnh journalctl hoặc các tệp nhật ký như /var/log/syslog và /var/log/messages để ghi lại lịch sử các sự kiện USB Thông qua usbrip, người dùng có thể dễ dàng xem lại các hoạt động USB đã diễn ra, với kết quả được hiển thị ở đầu ra tiêu chuẩn hoặc lưu vào tệp để tiện kiểm tra Đây là công cụ hữu ích cho các chuyên gia bảo mật và quản trị hệ thống trong việc giám sát các hoạt động USB trên Linux.
Chương trình usbrip theo dõi các tạo tác thiết bị USB và liệt kê chúng dưới các cột sau:
• Connected (date & time) /Thời gian kết nối
• VID (vendor ID) /ID nhà cung cấp
• PID (product ID) /ID sản phẩm
• Disconnected (date & time) /Thời gian ngắt kết nối
Bên cạnh đó, nó cũng có thể:
• Xuất dữ liệu đã thu thập dưới dạng kết xuất JSON để sử dụng sau này
• Tạo danh sách các thiết bị USB được ủy quyền (đáng tin cậy) dưới dạng tệp JSON (gọi nó là auth.json)
• Tìm kiếm "sự kiện vi phạm" dựa trên auth.json: khám phá các thiết bị USB xuất hiện trong lịch sử và KHÔNG xuất hiện trong tệp auth.json
Using the -s flag during installation creates a protected 7-Zip archive to enable automatic backups and consolidate USB events efficiently This process is automated through the cron scheduler, ensuring reliable and scheduled data preservation Implementing this setup enhances security and streamlines the management of USB event logs.
• Tìm kiếm chi tiết bổ sung về một thiết bị USB cụ thể dựa trên VID và / hoặc PID của nó
Các tính năng của USBRIP
Công cụ Usbrip chủ yếu giúp phát hiện truy cập USB trái phép trên hệ thống Linux Nhờ vào Usbrip, chúng ta có thể xác nhận rằng một thiết bị USB đã được kết nối với hệ thống, do một người dùng cụ thể thực hiện, trong một khoảng thời gian nhất định Công cụ này phù hợp để theo dõi và điều tra tất cả các trường hợp liên quan đến truy cập thiết bị USB trái phép, mang lại khả năng kiểm soát an ninh mạnh mẽ cho hệ thống của bạn.
Bạn có thể xuất tất cả các chi tiết kết nối USB thành một tệp JSON để dễ dàng tìm kiếm các "sự kiện vi phạm" hoặc các hoạt động liên quan Việc này giúp quản lý và giám sát các thiết bị USB một cách hiệu quả, ví dụ như tạo một tệp auth.json để lưu trữ danh sách các thiết bị USB được ủy quyền hoặc đáng tin cậy Phương pháp này tối ưu hóa quá trình phân tích dữ liệu và đảm bảo an ninh cho hệ thống của bạn.
Các tệp auth.json có thể được sử dụng để kiểm tra các thiết bị USB đã được kết nối và xác định xem chúng có phải là thiết bị có thẩm quyền hay không Điều này giúp bạn phát hiện liệu người dùng có thể đã sao chép nội dung từ hệ thống của bạn mà không có sự cho phép Việc giám sát này tăng cường bảo mật và kiểm soát truy cập vào dữ liệu quan trọng của hệ thống.
Xin lưu ý rằng khi cài đặt usbrip bằng tập lệnh trình cài đặt, file auth.jsontệp sẽ được tự động tạo tại vị trí /var/opt/usbrip/trusted, nhưng bạn cũng có thể tự tạo file ở bất kỳ nơi nào bạn muốn để tùy chỉnh cài đặt Để sử dụng usbrip hiệu quả, bạn cần tìm hiểu và lấy các chi tiết về thiết bị USB, giúp quản lý và giám sát các thiết bị kết nối chính xác Việc cài đặt và định cấu hình đúng sẽ đảm bảo an ninh tối ưu cho hệ thống của bạn.
Nếu bạn muốn biết chi tiết thông số kỹ thuật của thiết bị USB, có thể dễ dàng lấy thông tin bằng cách sử dụng VID hoặc PID của thiết bị Công cụ Usbbrip sẽ truy xuất các dữ liệu quan trọng như nhà cung cấp, loại thiết bị và giao diện từ cơ sở dữ liệu usb.ids, được duy trì tại http://www.linux-usb.org/ Bên cạnh đó, việc sao lưu các sự kiện USB là rất quan trọng để đảm bảo an toàn và quản lý thiết bị hiệu quả.
Nếu bạn đã cài đặt thủ công Usbrip với tùy chọn -s( storages), bạn có thể tự động sao lưu các sự kiện USB với bộ lập lịch crontab
Cách thức hoạt động
Nếu không được giám sát, một tin tặc có USB Rubber Ducky và quyền truy cập vật lý vào máy tính có thể xâm nhập vào cả các hệ thống an toàn nhất Các cuộc tấn công dạng này thường dễ bị bỏ qua nếu không sử dụng các công cụ giám sát chuyên dụng như USBRip, giúp đảm bảo an toàn cho thiết bị của bạn khỏi các mối đe dọa từ phần cứng Việc xác thực và bảo vệ truy cập vật lý là yếu tố quan trọng trong việc ngăn chặn các cuộc tấn công mạng và đảm bảo bảo mật thông tin.
Việc bật tính năng ghi nhật ký giúp dễ dàng xác định thời điểm thiết bị đáng ngờ đã được cắm vào cổng, mặc dù khó biết thiết bị của bạn đã truy cập trước đó hay chưa USBRip không thể truy cập nhật ký hệ thống cũ để xem lại các sự kiện trong quá khứ, nhưng nó có thể theo dõi mọi hoạt động sau khi cài đặt nhằm phòng ngừa các cuộc tấn công HID trong tương lai Các cuộc tấn công HID là gì?
Thiết bị giao diện người (HID) gồm các thiết bị được con người sử dụng để điều khiển máy tính, như bàn phím và chuột HID có đặc quyền cao hơn so với phần mềm hay tập lệnh vì hệ điều hành giả định rằng các lệnh từ thiết bị này xuất phát từ người dùng có quyền truy cập máy tính.
Các hacker đã phát triển các công cụ như USB Rubber Ducky để khai thác sự tin cậy giữa máy tính và thiết bị HID USB Rubber Ducky giả mạo một ổ đĩa flash tiêu chuẩn nhưng hoạt động như một bàn phím thông minh, có khả năng nhập các lệnh và tổ hợp phím đã được lập trình sẵn với tốc độ cực kỳ nhanh, từ đó thực hiện các cuộc tấn công một cách dễ dàng và hiệu quả.
Các loại tấn công của tin tặc bằng USB Rubber Ducky, Digispark và các công cụ tương tự có phạm vi rộng, từ việc tạo cửa hậu trên máy tính macOS và Windows đến gửi email chứa ảnh chụp màn hình tất cả thông tin đăng nhập lưu trữ trong trình duyệt Firefox, gây nguy hiểm đáng kể cho an ninh dữ liệu cá nhân và doanh nghiệp.
Bởi vì máy tính tin rằng USB Rubber Ducky chỉ là một bàn phím khác, nó sẽ thực hiện các lệnh ngay lập tức mà không đưa ra bất kỳ cảnh báo rõ ràng nào cho mục tiêu rằng chúng đã bị xâm phạm Miễn là Ducky Script cẩn thận trong việc dọn dẹp sau chính nó - bằng cách đóng tất cả các cửa sổ mà nó đã mở, xóa lịch sử thiết bị đầu cuối và làm cho máy tính có vẻ ở trạng thái giống như mục tiêu đã để nó - một cuộc tấn công có thể hoàn toàn không bị phát hiện Điều đó không có nghĩa là không thể ngăn chặn hoặc phát hiện các loại tấn công này Có một số công cụ trên mạng, chẳng hạn như DuckHunter , nhằm hạn chế tác động của các cuộc tấn công HID bằng cách theo dõi các hành vi đáng ngờ như thao tác gõ phím quá nhanh Trong khi dự án DuckHunter chưa được cập nhật kể từ năm 2017, có một công cụ khác có thể cung cấp bằng chứng về một cuộc tấn công HID, công cụ này vừa mạnh mẽ và hiện đang được duy trì
USBRip tận dụng chức năng nhật ký hệ thống để hiển thị lịch sử đầy đủ của tất cả các thiết bị USB đã được cắm vào máy tính Linux, giúp xác định các hoạt động không hợp lệ hoặc đáng ngờ Mặc dù kẻ tấn công có thể xóa các nhật ký này trong quá trình dọn dẹp, nhưng việc xóa bỏ tất cả bằng chứng truy cập trực tiếp vào máy tính đòi hỏi nhiều bước phức tạp và tốn thời gian hơn Thậm chí, USBRip còn cho phép xem qua nhật ký các thiết bị có dấu vân tay đặc trưng, chẳng hạn như USB Rubber Ducky và Digispark, do các nhà sản xuất này cung cấp các đặc điểm nhận dạng riêng biệt Điều này giúp nâng cao khả năng phát hiện các thiết bị USB đáng ngờ hoặc gây hại trên hệ thống Linux.
CÀI ĐẶT USBRIP
Định cấu hình lại một số tệp Linux
Để đảm bảo USBRIP phân tích cú pháp các bản ghi hệ thống chính xác, cần cấu hình một số tệp trong thư mục gốc Đầu tiên, hãy xóa một dòng khỏi tệp /rsyslog.conf; nếu muốn gỡ cài đặt USBRip và khôi phục máy tính về trạng thái ban đầu, bạn chỉ cần comment dòng đó lại để dễ dàng khôi phục sau này.
Để chỉnh sửa tệp rsyslog.conf, bạn có thể sử dụng cửa sổ dòng lệnh và mở tệp bằng trình soạn thảo văn bản yêu thích của mình Tệp này nằm trong thư mục /etc của hệ thống và bạn có thể dễ dàng truy cập để thực hiện các chỉnh sửa cần thiết.
Hình 1 Truy cập vào thư mục rsyslog.conf
Sau khi nó mở ra, hãy cuộn xuống dòng có nội dung:
Tiếp theo, đặt dấu # ở phía trước nó Phần đó bây giờ sẽ trông giống như thế này:
Hình 2 Thêm dấu # trước dòng lệnh
Hãy lưu và thoát khỏi tệp mà không thay đổi tên tệp để đảm bảo an toàn dữ liệu Sau khi điều chỉnh cách máy tính lưu trữ nhật ký hệ thống theo phương pháp cũ, bạn cần thay thế bằng phương thức phù hợp để USBRip có thể sử dụng Trong cùng một cửa sổ dòng lệnh, nhập lệnh đã hướng dẫn để hoàn tất quá trình cấu hình.
~# echo '$ActionFileDefaultTemplate RSYSLOG FileFormat' | tee
USBRip sẽ tạo ra một tệp conf mới sử dụng định dạng khác để lưu trữ nhật ký hệ thống, giúp tăng cường quản lý và tối ưu hóa quá trình ghi nhật ký Để duy trì hệ thống sạch sẽ và chính xác, chúng ta cần xóa các bản ghi hệ thống hiện tại của máy tính có định dạng sai bằng lệnh phù hợp, đảm bảo dữ liệu nhật ký được cập nhật đúng chuẩn.
~# rm -f /var/log/syslog* /var/log/messages*
Cuối cùng, chúng ta cần khởi động lại rsyslog bằng lệnh bên dưới Sau khi hoàn tất, chúng ta có thể chuyển sang cài đặt chương trình
Cài đặt USBRIP
Sau khi các tệp hệ thống đã được cấu hình đúng cách, bạn có thể tiến hành cài đặt USBRip Đầu tiên, hãy điều hướng đến thư mục bạn đã chọn trong cửa sổ dòng lệnh và sao chép kho lưu trữ Git bằng lệnh thích hợp để bắt đầu quá trình cài đặt.
~# git clone https://github.com/snovvcrash/usbrip.git
Hình 3 Cài đặt USBRip bằng lệnh git
Để bắt đầu, điều hướng đến thư mục nhân bản và cài đặt các thư viện Python cần thiết, bạn có thể sử dụng pip hoặc chạy trình cài đặt setup.py Xem hướng dẫn bằng video của chúng tôi để biết cách thực hiện các bước này một cách chính xác và hiệu quả.
~/usbrip# chmod +x /installers/install.sh
~/usbrip# sudo -H /installers/install.sh -s
>>>> /opt/usbrip already exists First run: sudo uninstall.sh –all
Tiếp theo, thoát thư mục / usbrip và khởi động trang trợ giúp để kiểm tra những gì ở đó
~# usbrip -h sage: usbrip [-h] {banner,events,storage,ids} positional arguments:
{banner,events,storage,ids} banner show tool banner events work with USB events storage work with USB event storage ids work with USB IDs optional arguments:
-h, help show this help message and exit
Bạn có thể kiểm tra xem USBRip đã được cài đặt chính xác hay chưa bằng cách nhập lệnh `usbrip` vào thiết bị đầu cuối Nếu cài đặt thành công, hệ thống sẽ hiển thị màn hình xác nhận, đảm bảo rằng USBRip hoạt động đúng và sẵn sàng để sử dụng.
Hình 5 Hình ảnh minh họa cài đặt thành công
Nếu bạn thấy điều đó, thì chúng ta đã hoàn tất bước cài đặt USBRip đầu tiên.
HƯỚNG DẪN SỬ DỤNG VÀ DEMO
Các lệnh trong USBRip
Để kiểm tra xem tất cả các lệnh có sẵn trong USBRip, chúng ta có thể thực hiện bằng cách sau: usbrip -h
Hình 6 Danh sách các lệnh trong USBRip
- Dùng để hiển thị danh sách các sự kiện
- Các lệnh con trong events:
~$ usbrip events history [-t | -l] [-e] [-n ] [-d [ ]] [ host [ ]] [ vid [ ]] [ pid [ ]] [ prod
[ ]] [ manufact [ ]] [ serial
[ ]] [ port [ ]] [-c [ ]] [-f [ ]] [-q] [ debug]
• Lấy lịch sử sự kiện USB
~$ usbrip events open [-t | -l] [-e] [-n ] [-d
[ ]] [ host [ ]] [ vid [ ]] [ pid
[ ]] [ prod [ ]] [ manufact
[ ]] [ serial [ ]] [ port [ ]] [-c
• Mở kết xuất sự kiện USB
The command `sudo usbrip events genauth ` allows users to extract authentication events from a JSON file containing USB event data Users can refine their searches by adding attributes such as `-a ` for specific criteria, and refine the output further with options like `-e` to include additional event details The command also supports filtering by the number of events (`-n `), date ranges (`-d `), and specific hosts (` host `) Additional filters include vendor ID (` vid`), product ID (` pid`), product name (` prod`), manufacturer (` manufact`), serial number (` serial`), and port number, making it a comprehensive tool for analyzing USB event authentication data efficiently.
[ ]] [-f [ ]] [-q] [ debug]
• Tạo danh sách các thiết bị USB đáng tin cậy (được ủy quyền)
~$ sudo usbrip events violations [-a [ ]] [-t | -l] [-e] [-n ] [-d [ ]] [ host
[ ]] [ vid [ ]] [ pid [ ]] [ prod [ ]] [ manufact [ ]] [ serial [ ]] [ port [ ]] [-c [ ]] [-f [ ]] [-q] [ debug]
• Nhận các sự kiện vi phạm USB dựa trên danh sách các thiết bị đáng tin cậy b Lệnh storage
- Xuất danh sách các sự kiện và làm việc với các danh sách này
- Các lệnh con trong storage
~$ sudo usbrip storage list [-q] [ debug]
• Liệt kê nội dung của bộ nhớ đã chọn STORAGE_TYPE là "history" hoặc
~$ sudo usbrip storage open [-t | -l] [-e] [-n ] [-d [ ]] [ host [ ]] [ vid [ ]] [ pid
[ ]] [ prod [ ]] [ manufact
[ ]] [ serial [ ]] [ port [ ]] [-c
• Mở bộ nhớ đã chọn Hoạt động tương tự như EVENTS OPEN
~$ sudo usbrip storage update [IN_AUTH.JSON] [-a [ ]] [-e] [-n ] [-d [ ]] [ host
[ ]] [ vid [ ]] [ pid [ ]] [ prod [ ]] [ manufact [ ]] [ serial
[ ]] [ port [ ]] [ lvl ] [-q] [ debug]
• Cập nhật bộ nhớ - thêm sự kiện USB vào bộ nhớ hiện có
COMPRESSION_LEVEL là một số trong [0 9]
~$ sudo usbrip storage create [IN_AUTH.JSON] [-a [ ]] [-e] [-n ] [-d [ ]] [ host
[ ]] [ vid [ ]] [ pid [ ]] [ prod [ ]] [ manufact [ ]] [ serial
[ ]] [ port [ ]] [ lvl ] [-q] [ debug]
• Tạo bộ nhớ - tạo kho lưu trữ 7-Zip và thêm các sự kiện USB vào nó theo vào các tùy chọn đã chọn
~$ sudo usbrip storage passwd [ lvl ] [-q] [ debug]
• Thay đổi mật khẩu của bộ nhớ hiện có c Lệnh ids
- Tìm kiếm nhà sản xuất và loại thiết bị theo số nhận dạng của chúng
- Các lệnh con của ids
~$ usbrip ids search [ vid ] [ pid ] [ offline] [-q] [ debug]
• Nhận thêm thông tin chi tiết về một thiết bị USB cụ thể bằng và / hoặc từ cơ sở dữ liệu ID USB
• Cập nhật (tải xuống) cơ sở dữ liệu ID USB
Cách xem lịch sử kết nối USB trong Linux
Bạn chỉ cần chạy chương trình như sau:
Chương trình sẽ tìm các tệp nhật ký, và nếu tất cả đều đúng thứ tự, với các tệp nhật ký được xác định theo ngày chính xác và ghi nhận các sự kiện liên quan đến thiết bị USB, thì nó sẽ xuất ra kết quả cuối cùng.
[?] How would you like your event history list to be generated?
[>] Please enter the number of your choice (default is 1):
Nếu bạn muốn in dữ liệu ra màn hình, chỉ cần nhấn ENTER vì tùy chọn xem dữ liệu trên màn hình đã được chọn mặc định Ngược lại, nếu muốn lưu dữ liệu vào tệp JSON, bạn cần chọn tùy chọn này để đảm bảo dữ liệu được lưu trữ chính xác.
Bảng sau sẽ được hiển thị:
Hình 7 Cách xem lịch sử kết nối USB trong Linux
Các trường trong nó có nghĩa như sau:
• Connected(ngày và giờ thiết bị được kết nối)
• USer (rõ ràng là người dùng hệ thống được ngụ ý, nhưng tôi có tên máy chủ ở đây)
• VID (ID nhà cung cấp - mã định danh của nhà sản xuất)
• PID (ID sản phẩm - mã định danh sản phẩm)
• Manufacturer (nhà sản xuất thiết bị)
• Serial Number (số sê-ri)
• Port (cổng USB được kết nối với)
• Disconnected (ngày và giờ khi thiết bị bị ngắt kết nối)
Cách kiểm tra tệp từ hệ thống khác trong usbrip
Trong usbrip, bạn có thể chỉ định tệp chứa dữ liệu để phân tích bằng cách sử dụng tùy chọn -f, ví dụ như để tìm các sự kiện kết nối và ngắt kết nối với giao diện USB trong tệp usb2.0.txt Điều này giúp người dùng dễ dàng lọc và phân tích chính xác các hoạt động USB cần thiết, nâng cao hiệu quả kiểm tra an ninh và chẩn đoán lỗi hệ thống.
1 ~$ usbrip events history -f usb2.0.txt
Để phân tích dữ liệu từ một hệ thống khác, bạn cần đảm bảo định dạng ngày hỗ trợ đã được cấu hình chính xác Nếu định dạng ngày không được thiết lập phù hợp, bước đầu tiên là chuyển đổi tệp dữ liệu sang định dạng phù hợp theo hướng dẫn đã đề cập Việc chuyển đổi này đảm bảo quá trình phân tích dữ liệu diễn ra suôn sẻ và chính xác hơn.
Dưới đây là phần cuối của dữ liệu từ journalctl trên hệ thống:
Hình 8 Tệp từ hệ thống khác trong USBRip
Cách tìm loại thiết bị USB và nhà sản xuất của nó
Giả sử tôi quan tâm đến thiết bị sau:
│ Connected │ User │ VID │ PID │ Product │ Manufacturer │ Serial Number │ Port │ Disconnected │
Với usbrip, tôi có thể tìm kiếm cơ sở dữ liệu bằng VID và PID
Hãy bắt đầu bằng cách tải cơ sở dữ liệu:
Trong quá trình tìm kiếm, người dùng có thể sử dụng tùy chọn vid để tìm theo ID nhà cung cấp và pid để tìm theo ID sản phẩm Mỗi lần bắt đầu tìm kiếm, hệ thống usbrip sẽ cập nhật hoặc tải dữ liệu cơ sở dữ liệu đã lưu, điều này có thể mất thêm thời gian Để giảm thiểu thời gian tìm kiếm, người dùng có thể sử dụng cờ offline để hệ thống chỉ sử dụng cơ sở dữ liệu cục bộ đã được cập nhật sẵn.
1 usbrip ids search vid 152d pid 0578 offline
Vendor: JMicron Technology Corp / JMicron USA Technology Corp
Product: JMS567 SATA 6Gb/s bridge
Hình 9 Loại thiết bị và nhà sản xuất
Các tùy chọn vid và pid không cần thiết phải được sử dụng cùng lúc, bạn có thể tìm kiếm với cả hai để tối ưu hóa quá trình cài đặt Việc định cấu hình dữ liệu đầu ra giúp đảm bảo kết quả chính xác và phù hợp với nhu cầu của người dùng Việc hiểu rõ cách sử dụng các tùy chọn này sẽ nâng cao hiệu quả trong quá trình làm việc.
Sử dụng tùy chọn -q giúp ngăn chặn việc hiển thị biểu ngữ, thông báo thông tin và làm cho chương trình không hỏi cách hiển thị dữ liệu (bảng điều khiển hoặc JSON) Dữ liệu có thể được hiển thị ở dạng danh sách thay vì bảng, bằng cách sử dụng tùy chọn -l Ngoài ra, với tùy chọn -n, bạn có thể giới hạn kết quả đầu ra chỉ hiển thị một số mục nhập gần đây nhất định Ví dụ về cách sử dụng tích hợp tất cả các tùy chọn này nhằm tùy chỉnh kết quả phù hợp với nhu cầu của người dùng.
1 usbrip events history -ql -n 100 -f usb2.0.txt
Hình 10 Lịch sử các thiết bị
Chỉ hiển thị thông tin cho các thiết bị di động, cho một thiết bị USB cụ thể hoặc cho những ngày cụ thể
Usbrip hỗ trợ các loại bộ lọc sau: a Chỉ hiển thị các thiết bị có thể tháo rời
Trong thực tế, rất khó xác định chính xác thiết bị nào có thể ngắt kết nối, nhưng bạn hoàn toàn có thể làm điều đó một cách khéo léo Nếu thiết bị đã bị ngắt kết nối, thì khả năng bị ngắt kết nối lần nữa rất cao, điều này rất rõ ràng Các thiết bị dễ bị ngắt kết nối như ổ đĩa di động và ổ đĩa flash được nhiều người chú ý hàng đầu trong các trường hợp truy cập trái phép, làm tăng nguy cơ rò rỉ dữ liệu hoặc gây rối loạn hệ thống.
Tùy chọn -e được sử dụng để áp dụng bộ lọc này :
1 ~$ usbrip events history -e -f usb2.0.txt b Lọc theo trường bảng, các tùy chọn: user , vid , pid , product , man production , serial , port
Bạn có thể kết hợp nhiều tùy chọn để lọc dữ liệu trong các lệnh USBRIP, hoặc sử dụng từng tùy chọn riêng biệt dựa trên nhu cầu Tên các tùy chọn đã phần nào thể hiện chức năng của chúng, nhưng để hiểu rõ hơn, bạn có thể tham khảo hướng dẫn chi tiết tại trang https://kali.tools/?pH73 Ngoài ra, sau khi chỉ định các tùy chọn, có thể thêm các giá trị phân tách bằng dấu cách để tùy chỉnh kết quả, chẳng hạn như sắp xếp theo ngày tháng để dễ dàng theo dõi lịch sử các sự kiện USB.
Tùy chọn -d được sử dụng cho việc này :
1 usbrip events history -c conn vid pid disconn serial -d '2019-08-24' '2019-08-25' -f usb2.0.txt
Lưu ý rằng phạm vi không được tạo nếu chỉ định hai ngày, nghĩa là chỉ dữ liệu của hai ngày đó mới được lấy Điều này quan trọng để đảm bảo quá trình truy xuất dữ liệu chính xác và hiệu quả khi bạn chỉ chọn hai ngày cụ thể Hiểu rõ về phạm vi ngày giúp tối ưu hóa quá trình phân tích dữ liệu và tránh nhầm lẫn trong quá trình lọc thông tin.
Chỉ hiển thị một số thông tin nhất định
Trong ví dụ trước, tùy chọn -c đã được sử dụng để liệt kê các cột kèm theo thông tin kết nối, như conn, vid, pid, disconn Việc này giúp hiển thị chính xác các dữ liệu liên quan trên các cột này, cung cấp thông tin rõ ràng về trạng thái kết nối của thiết bị.
Hình 11 Thời gian kết nối và ngắt
Tên của tất cả các cột (bạn phải xác định chúng mà không có dấu ngoặc kép tách bằng dấu cách): " conn ", " người sử dụng ", " vid ", " pid ", " sản ",
" manufact ", " nối tiếp ", " cổng ", " disconn "
Tạo tệp JSON để lọc các thiết bị đáng tin cậy
Hầu hết các sự kiện USB xảy ra với các thiết bị tin cậy như chuột, bàn phím, ổ đĩa flash và các thiết bị nội bộ như webcam hoặc máy quét vân tay Người dùng thường không nghi ngờ các thiết bị này, do chúng đã quen thuộc và được sử dụng hàng ngày Tuy nhiên, các thiết bị USB có thể là điểm tấn công tiềm ẩn nếu không được kiểm soát chặt chẽ, gây nguy cơ mất an toàn dữ liệu và quyền riêng tư Vì vậy, việc kiểm tra và quản lý các thiết bị USB đảm bảo bảo vệ hệ thống khỏi các mối đe dọa có thể xảy ra từ các thiết bị này.
Lịch sử sự kiện có thể trở nên lộn xộn do các sự kiện USB không quan tâm, gây khó khăn trong việc theo dõi hoạt động độc hại trên máy tính của bạn Khi cố gắng kiểm tra các hoạt động này, sự hỗn loạn này có thể làm bạn khó nhận ra các mối đe dọa thực sự đối với hệ thống của mình.
Một cách hiệu quả để khắc phục sự cố này là xây dựng danh sách trắng các thiết bị USB đáng tin cậy, giúp chúng tôi dễ dàng chặn các báo cáo về thiết bị không đáng tin cậy Thay vì bỏ qua tất cả các báo cáo liên quan đến thiết bị USB, việc chọn lọc và xác định các thiết bị an toàn sẽ tối ưu hóa quá trình quản lý và bảo mật hệ thống Đặt danh sách trắng cho các thiết bị USB tin cậy không chỉ giảm thiểu các cảnh báo giả mà còn nâng cao hiệu quả kiểm soát truy cập và bảo vệ dữ liệu Áp dụng chiến lược này giúp cải thiện độ tin cậy của hệ thống, giảm thiểu gián đoạn và tối ưu hóa trải nghiệm người dùng trong quản lý thiết bị USB.
Chúng tôi dễ dàng tạo tệp JSON các thiết bị đáng tin cậy bằng USBRip, giúp quản lý danh sách thiết bị USB một cách hiệu quả Bạn có thể tạo tệp "auth.json" chứa tất cả các thiết bị USB đã kết nối với máy tính vào ngày 14 tháng 2 năm 2020 bằng lệnh đơn giản Việc sử dụng USBRip giúp tự động tổng hợp danh sách thiết bị USB một cách nhanh chóng và chính xác, phù hợp cho các mục đích bảo mật và quản lý hệ thống.
~# usbrip events gen_auth auth.json -d '2020-02-14' usage: usbrip events [-h] {history,open,genauth,violations}
Nếu chúng tôi mở tệp "auth.json" trong thư mục USBRip của mình, chúng tôi sẽ thấy như sau
Giờ đây, chúng tôi có thể hạn chế tìm kiếm USBRip đối với bất kỳ sự kiện USB nào không có trong auth.json bằng cách sử dụng:
~# usbrip events violations auth.json table
| _| _| _|_| [5] _| x[i]_| https://github.com/snovvcrash/usbrip
[22:20:08] [INFO] Trying to run journalctl
[22:20:08] [INFO] Opening authorized device list: "/root/usbrip/auth.json"
[?] How would you like your violation list to be generated?
[>] Please enter the number of your choice (default 1): 1
Hình 13 hiển thị lệnh `usb-rip events violations auth.json table`, giúp trả về một bảng liệt kê tất cả các thiết bị không có trong danh sách các thiết bị đáng tin cậy Việc này giúp quản trị viên dễ dàng phát hiện và theo dõi các thiết bị không được phép truy cập hệ thống Báo cáo này là công cụ quan trọng để đảm bảo an ninh mạng, ngăn chặn các thiết bị trái phép hoặc gây nguy hiểm cho hệ thống.
│ Connected │ User │ VID │ PID │ Product │ Manufacturer │ Serial Number │ Port │ Disconnected │
│ 2020-02-14 22:29:11 │ kubuntu │ 0930 │ 6544 │ DataTraveler 2.0 │ Kingston │ 00241D8CE51BC16029500C03 │ 1-1 │ 2020-02-14 22:33:55 │
│ 2020-02-14 22:38:55 │ kubuntu │ 03eb │ 2401 │ HID Keyboard │ ATMEL AVR │ ∅ │ 1-2 │ 2020-02-14 22:40:44 │
│ 2020-02-14 22:40:44 │ kubuntu │ 03eb │ 2401 │ HID Keyboard │ ATMEL AVR │ ∅ │ 1-2 │ ∅ │
│ 2020-02-14 22:44:51 │ kubuntu │ 0930 │ 6544 │ DataTraveler 2.0 │ Kingston │ 00241D8CE51BC16029500C03 │ 1-2 │ 2020-02-14 22:54:51 │
│ 2020-02-14 22:46:10 │ kubuntu │ 0930 │ 6544 │ DataTraveler 2.0 │ Kingston │ 00241D8CE51BC16029500C03 │ 1-2 │ 2020-02-14 22:57:10 │
│ 2020-02-14 22:50:54 │ kubuntu │ 1c7a │ 0570 │ EgisTec Touch Fingerprint Sensor │ EgisTec │ 00253CD │ 1-6 │ ∅ │
│ 2020-02-14 22:51:33 │ kubuntu │ 0930 │ 6544 │ DataTraveler 2.0 │ Kingston │ 00241D8CE51BC16029500C03 │ 1-2 │ 2020-02-14 22:59:39 │
│ 2020-02-14 23:05:23 │ kubuntu │ 0930 │ 6544 │ DataTraveler 2.0 │ Kingston │ 00241D8CE51BC16029500C03 │ 1-2 │ 2020-02-14 23:06:12 │
Hình 14 Các thiết bị không có trong danh sách các thiết bị đáng tin cậy
Tất cả các thiết bị trong danh sách này cần được kiểm tra cẩn thận để xác định xem chúng có đáng tin cậy hay không
Dựa trên dữ liệu phân tích, bàn phím HID trở thành thiết bị đáng ngờ khi được kết nối vào máy tính xách tay mà không cần bàn phím ngoài Nghiên cứu cho thấy, nhà sản xuất Amtel chịu trách nhiệm về con chip bên trong USB Rubber Ducky, điều này cho thấy khả năng cao USB Rubber Ducky đã được cắm vào hệ thống Việc phát hiện dữ liệu đăng nhập từ USB Rubber Ducky cho thấy tình trạng nguy hiểm của thiết bị này trong an ninh máy tính.
Tạo danh sách các thiết bị đáng tin cậy
Phân tích nhật ký thực của máy tính gia đình cho thấy có rất nhiều dữ liệu và việc xử lý chúng bằng mắt thường gặp nhiều khó khăn Điều này làm cho việc theo dõi các hoạt động như kết nối ổ đĩa USB trở nên phức tạp hơn, đặc biệt nếu đã diễn ra cách đây một tháng Do đó, việc quản lý và phân tích dữ liệu máy tính cần các công cụ phù hợp để dễ dàng xác định các sự kiện đã xảy ra.
Trong tình huống này, việc xây dựng một danh sách các thiết bị đáng tin cậy là rất quan trọng để đảm bảo an toàn mạng Khái niệm đơn giản nhưng hiệu quả, nó giúp xác định các thiết bị được phép truy cập hệ thống bằng cách tạo danh sách các thiết bị đáng tin cậy của bạn Hệ thống sẽ so sánh nhật ký hoạt động với danh sách này, và nếu phát hiện có thiết bị không có trong danh sách, thông tin liên quan sẽ được cảnh báo để đảm bảo an ninh mạng.
Có một số cách để tạo danh sách các thiết bị đáng tin cậy bằng lệnh gen_auth events usbrip
Bạn cần xác định tệp lưu danh sách thiết bị bắt buộc, ví dụ như đường dẫn đến tệp ~ / auth.json, để đảm bảo dữ liệu được lưu trữ đúng nơi Tiếp theo, hãy chỉ định các thuộc tính của thiết bị được phép truy cập bằng tùy chọn -a, trong đó có thể đưa vào một hoặc nhiều trường như "vid", "pid", "sản xuất", "nối tiếp", phân biệt bằng khoảng trắng và không dùng dấu ngoặc kép.
Để thêm thiết bị mới, bạn cần chỉ định các thiết bị muốn thêm, sử dụng các bộ lọc đã thảo luận trước đó Ví dụ, bạn có thể thêm thiết bị dựa trên VID của nhà cung cấp bằng cách sử dụng tùy chọn vid, sau đó liệt kê các số nhận dạng nhà cung cấp (vendor ID) cần thêm, phân tách bằng dấu cách Điều này giúp quá trình cài đặt thiết bị trở nên dễ dàng và chính xác hơn.
1 usbrip events gen_auth ~/auth.json -a vid pid serial vid 04d9 0b05 1d6b 13d3 8087 13fe 148f 0cf3 04e8 152d 14cd -f usb2.0.txt
Bạn có thể sử dụng chức năng lọc theo ngày để kiểm tra những ngày chỉ có thiết bị đáng tin cậy được kết nối Tính năng này giúp liệt kê các ngày quan trọng, đảm bảo hệ thống của bạn hoạt động ổn định và an toàn Việc sử dụng bộ lọc ngày là phương pháp hiệu quả để theo dõi và quản lý các kết nối thiết bị qua từng ngày một cách chính xác và tiện lợi.
1 usbrip events gen_auth ~/auth.json -a vid pid serial -d '2019-08-24' '2019-08-24' '2019-08-26' -f usb2.0.txt
Phát hiện kết nối của thiết bị USB nước ngoài với máy tính trong Linux
Để xác minh, hãy sử dụng lệnh vi phạm sự kiện usbrip , sau đó chỉ định tệp có danh sách thiết bị đáng tin cậy là đủ:
1 usbrip events violations ~/auth.json -f usb2.0.txt
Một ví dụ về đầu ra trong trường hợp của tôi:
Hình 15 Phát hiện usb ngoài kết nối với máy tính
Ban đầu, tôi cảm thấy hơi căng thẳng, nhưng sau đó tôi nhận thức rõ hơn về các thiết bị kết nối của mình Một trong những thiết bị gây lo lắng là ổ USB ngoài, cụ thể là một ổ cứng di động được kết nối qua bộ chuyển đổi SATA-USB, cho thấy tầm quan trọng của việc kiểm tra và bảo vệ các thiết bị lưu trữ dữ liệu khỏi các mối đe dọa tiềm ẩn.
Lệnh đã giúp làm mới bộ nhớ:
1 usbrip ids search vid 152d pid 0539 offline
Vendor: JMicron Technology Corp / JMicron USA Technology Corp
Product: JMS539/567 SuperSpeed SATA II/III 3.0G/6.0G Bridge
Hộp đó cũng ghi "SuperSpeed"
Thiết bị thứ hai, gồm 2307 Boot ROM và Phison, khiến tôi bối rối vì phát hiện ra đó không phải là tai nghe USB hay bàn di chuột của laptop, mà là ổ đĩa flash cá nhân chứa phân vùng EFI để cập nhật BIOS Ngạc nhiên hơn, thiết bị này được nhận diện khác thường có thể do máy tính đã khởi động với nó hoặc vì các lý do kỹ thuật khác Trong quá trình kiểm tra, tôi đúc kết rằng đừng vội phản ứng hoặc phản ánh nếu gặp phải kết quả bất ngờ, vì có thể đó là dấu hiệu của những vấn đề kỹ thuật hoặc bảo mật cần xem xét kỹ lưỡng hơn.
Đạo đức thứ hai liên quan đến việc VID và PID có thể thay đổi trong một số điều kiện hoặc hệ thống có thể nhận diện chúng khác đi, tùy thuộc vào môi trường hoạt động Ngoài ra, số sê-ri của thiết bị USB cũng có thể được chỉnh sửa hoặc thay đổi, đặc biệt đối với một số thiết bị nhất định.
Lưu kết quả vào một tệp
Nếu bạn chọn tùy chọn thứ hai trong khi xử lý tệp:
Sau đó, chương trình sẽ nhắc bạn nhập đường dẫn đến tệp (hoặc chấp nhận giá trị mặc định) - dữ liệu nhận được sẽ được lưu ở định dạng JSON
Bạn cũng có thể chuyển hướng đầu ra chương trình thành một tệp (đừng quên tùy chọn -q để tắt lời nhắc cho người dùng):
1 usbrip events history -f usb2.0.txt -q -t > usb.info
Chương trình cung cấp lệnh lưu trữ đặc biệt để lưu kết quả, giúp thuận tiện trong việc làm việc với Cron Bạn cũng có thể khởi động lệnh này theo cách thủ công để dễ dàng quản lý và truy xuất dữ liệu.
Lệnh usbrip cho phép người dùng lưu, cập nhật và xem thông tin về lịch sử cũng như các vi phạm liên quan đến thiết bị USB Công cụ này giúp kiểm soát các hoạt động USB một cách hiệu quả, tăng cường an ninh hệ thống Để biết thêm chi tiết và hướng dẫn sử dụng, hãy truy cập vào trang trợ giúp tại https://kali.tools/?pH73.
Thông tin sẽ được lưu trữ Bạn có thể đặt mật khẩu cho kho lưu trữ
Bạn có thể tìm thấy ví dụ về cách thêm dịch vụ vào Cron trong tệp /usr/usbrip/cron/usbrip.cron, giúp tự động hóa các tác vụ định kỳ Thông tin chi tiết về cách thiết lập Cron để lên lịch cho các công việc được trình bày rõ ràng trong bài viết này, hỗ trợ bạn cấu hình Cron dễ dàng và hiệu quả hơn.