• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft UsbKill. Anti-Forensic

Доброго времени суток товарищи, братья и сестры, коллеги)))
Хочу вас познакомить с такой штучкой как usbkill.
Выделение_006.png
Програмка написана на python, код есть на гитхабе. Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Возможности программы таковы:
poweroff пк , удаление файлов и папок, чистка ram и swap, при подключении usb устройств
Установка до невозможности проста
Код:
git clone https://github.com/hephaest0s/usbkill.git
cd usbkill/
#устанавливаем
python setup.py install
cd install
#копируем файл настроек
cp usbkill.ini /etc/

Тааак, теперь по настройкам, откроем любым текстовым редактором файл usbkill.ini который мы скопировали в директорию /etc/
Функция whitelist , как мы понимаем отвечает за белый список устройств которым разрешено подключение отключение к нашему пк

Выделение_007.png


remove_file_cmd это интеграция с утилитой srm которая входит в набор

Далее идут функции files_to_remove и folders_to_remove , думаю что они означают не стоит, пример заполнения ниже)
Выделение_008.png


melt_usbkill = False отвечает за журнал логов, true=удалять, false=не удалять

kill_commands = ["bash ~ / scripts / destroy.sh", "sync"] это последние команды перед отключением пк

do_sync = True синхронизация

do_wipe_ram = False Очистка RAM, False=Выключено, True=Включено , для работоспособности функции должно быть настроена sdmem

Код:
wipe_ram_cmd = sdmem -fll
Интеграция с sdmem из secure-delete

do_wipe_swap = False Очистка SWAP, False=Выключено, True=Включено, для работоспособности функции должно быть настроена sswap

wipe_swap_cmd = sswap -l Интеграция с sswap из secure-delete

Ну вот в принципе и все)) теперь если кто вдруг захочет что то скинуть на флешку с вашего пк, то сильно обломатся. Спасибо за внимание)
Аааа, нет, не все)) есть такой момент, баг или фича не знаю, если usb устройство было подключено до запуска usbkill, то при его изьятии пк выключится
 
Последнее редактирование модератором:

nekto

Green Team
02.11.2017
18
52
BIT
0
Предполагаемое использование usbkill как инструмент для усложнения работы криминалистам.
Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
 
  • Нравится
Реакции: DefWolf и ghostphisher
N

n01n02h

Так любой криминалист:
1. Сделает копию образа с винта
2. Будет искать инфу, загрузившись со своей системы или LiveCD/LiveUSB...
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
 
30.12.2017
661
1 253
BIT
1
А если диск закриптован? При подключении usb устройства пк выключается, с очисткой swap и ram. Что остается криминалисту? Брутфорс который может занять достаточно долгое время?
Плохой вы человек ))) Только хотел подробно описать , так вы меня опередили . c ув )
Блокировку Bios осталось и загрузку со сторонних Usb отключить . И еще чтобы через DMA не попытались память прочитать .
 

nekto

Green Team
02.11.2017
18
52
BIT
0
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
 
30.12.2017
661
1 253
BIT
1
Во второй половине 90ых был такой сайт (очень известный в определенных кругах): carderplanet
Помнится на нем кто то описывал и вроде пытался распространять самодельную систему уничтожения данных на винчестерах посредством микровзрывов :)
В нашем деле , только комплекс мер может защитить систему . В свое время также разрабатывал различные комплексы . В то время когда о атаке cool boot еще никто не слышал , ее уже вовсю применяли в своей практике некоторые отделы . Так вот разрабатываемые комплексы тоже , позволяли предотвращать попытки проникновения в корпус ноутбука или системного блока . Только начали защищаться от холодной перезагрузки . Как стали применяться атаки DMA , чтение памяти напрямую в частности через firewire IEEE 1394
 
B

beregok

Также интересующейся файлами может узнать список ваших устройст зарание, "попросить" вашу флешку и подменить pid:vid
 

woolf1514

Green Team
06.03.2017
181
191
BIT
1
Как его добавить в автозагрузку?
Или может есть альтернатива, работающая как служба? silk у меня тоже отказывается работать(
 
I

igorgabarov

Ребят, подскажите по очистке памяти.
Написано, что интеграция с sdmem. А найти его в репозиториях (манжаро, аур) не могу. Где достать, как поставить?
 
I

igorgabarov

sdmem находится в пакете secure-delete
Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

Код:
sdmem --help
bash: sdmem: command not found

Как убедиться, что все отработает?
 

hamerik

Green Team
26.06.2019
35
3
BIT
0
Спасибо за подсказку!

Установил пакет. утилита srm появилась, запускается, а вот sdmem почему-то нету. Неуверен, что очистка памяти отработает...

Код:
sdmem --help
bash: sdmem: command not found

Как убедиться, что все отработает?
Может от рута всё таки попробуешь, он только через рут работает.
 

DrLekter

New member
18.05.2019
4
0
BIT
0
При закрытии терминала, программа тоже закрывалась. Нашел, что можно ее в фоновый режим перевести, добавив & в конце команды запуска программы. Может кто не знает )
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!