USB Rubber Ducky и похожие HID-устройства опасны не тем, что они «взламывают» компьютер магией, а тем, что операционная система видит в них обычную клавиатуру. Компьютер доверяет клавиатуре: она может нажимать клавиши, открывать программы, вводить команды и делать всё, что разрешено текущему пользователю.
Если ноутбук разблокирован, пользователь работает с правами администратора, парольный менеджер открыт, а USB-порты никак не контролируются — такая флешка или кабель могут стать быстрым способом выполнить чужие действия от имени владельца машины. Поэтому защита строится не вокруг одного «антивируса от Rubber Ducky», а вокруг нескольких простых барьеров: физический доступ, блокировка экрана, контроль USB, права пользователей, защита паролей и наблюдение за подозрительными действиями.
- Что именно делает HID-устройство
- Где риск выше всего
- Почему одного антивируса недостаточно
- Какие меры реально снижают риск
- Как выстроить защиту по шагам
- Что выбрать в зависимости от ситуации
- Отдельно про ноутбуки, телефоны и док-станции
- Что делать, если кто-то подключил подозрительное устройство
- Частые ошибки при защите от HID-устройств
- Как сделать защиту рабочей, а не формальной
- Итог: что сделать прямо сейчас
Что именно делает HID-устройство
HID — это Human Interface Device, то есть устройство ввода: клавиатура, мышь, тачпад, джойстик, сканер штрихкодов. Компьютеру не нужно долго устанавливать драйверы для такой периферии — она подключается и сразу начинает работать. Этим и пользуются HID-эмуляторы.
Снаружи такое устройство может выглядеть как:
- обычная USB-флешка;
- кабель;
- брелок;
- адаптер;
- микроконтроллер в корпусе;
- составное устройство, где есть и клавиатура, и накопитель, и сетевая функция.
Проблема в том, что ОС не всегда может уверенно отличить «свою» клавиатуру от поддельной. Поэтому задача защиты — не искать один идеальный признак, а сделать так, чтобы даже при подключении такого устройства у него было как можно меньше возможностей.
Где риск выше всего
Атака через HID-устройство почти всегда требует физического доступа. Поэтому в первую очередь страдают места, где чужой человек может незаметно подойти к компьютеру или оставить устройство в порту.
Риск выше, если:
- сотрудники часто отходят от рабочего места, не блокируя экран;
- в офисе бывают посетители, курьеры, подрядчики, уборщики;
- ноутбуки остаются в переговорных, ресепшене, коворкинге или машине;
- на рабочих местах есть общие учётные записи;
- пользователи работают с правами администратора;
- браузер, почта, мессенджеры и парольные менеджеры остаются открытыми;
- USB-порты не контролируются и в них можно подключить что угодно;
- критичные системы стоят в доступных помещениях без видеонаблюдения и учёта доступа.
Если компьютер заблокирован, пользователь обычный, USB разрешён только для утверждённых устройств, а действия контролируются EDR, то HID-атака превращается из «быстрого выигрыша» в шумное и малополезное событие.
Почему одного антивируса недостаточно
Антивирус может поймать часть вредоносных действий, но HID-устройство само по себе не обязательно содержит вирус. Оно имитирует ввод с клавиатуры. Для системы это выглядит как действия пользователя: кто-то быстро нажал клавиши, открыл приложение, ввёл текст.
Поэтому защита должна перекрывать не только «файлы», но и сценарий использования уже открытого сеанса:
- экран должен блокироваться быстро;
- права пользователя не должны позволять менять систему;
- неизвестные USB-устройства должны блокироваться;
- пароли и сессии должны быть защищены;
- подозрительные цепочки действий должны попадать в мониторинг.
Иными словами, HID-защита — это смесь физической дисциплины и endpoint-политик.
Какие меры реально снижают риск
| Мера | Что закрывает | Когда применять | Ограничения |
|---|---|---|---|
| Автоблокировка экрана через 3–5 минут, для критичных мест — 1–2 минуты | Не даёт HID-устройству действовать от имени открытого сеанса | Во всех офисах и на ноутбуках удалённых сотрудников | Не помогает, если пользователь постоянно оставляет экран разблокированным |
| Контроль USB: разрешать только утверждённые клавиатуры, мыши, док-станции | Блокирует неизвестные HID-эмуляторы и составные устройства | Для корпоративных рабочих мест, финансовых отделов, админских машин | Требует инвентаризации устройств и аккуратных исключений |
| Механические заглушки и отключение лишних портов | Уменьшает количество мест, куда можно что-то подключить | Для ресепшена, переговорных, производственных зон, kiosks | Не защищает активные порты, которыми пользуются сотрудники |
| Обычные пользовательские права вместо админских | Ограничивает ущерб, если устройство всё же выполнило команды | Для большинства офисных компьютеров | Некоторые старые приложения могут потребовать настройки совместимости |
| EDR/мониторинг подозрительных цепочек действий | Помогает заметить запуск терминала, необычные сетевые подключения, копирование файлов | Для корпоративного парка и критичных рабочих мест | Не заменяет блокировку экрана и контроль доступа |
| Парольный менеджер с автоблокировкой и MFA | Снижает риск кражи паролей и использования открытых сессий | Для всех пользователей, особенно администраторов и руководителей | Если менеджер открыт без мастера-пароля, часть риска остаётся |
Как выстроить защиту по шагам
- Начните с блокировки экрана. Поставьте автоблокировку и правило: отошёл от компьютера — заблокировал. Это самая дешёвая и самая эффективная мера против HID-атак.
- Уберите админские права там, где они не нужны. Если HID-устройство сможет действовать только из-под обычного пользователя, ущерб будет намного меньше.
- Соберите список разрешённых USB-устройств. Клавиатуры, мыши, док-станции, сканеры, токены, кабели для спецоборудования — всё, что реально используется в компании.
- Включите USB device control. Через групповые политики, MDM, EDR или встроенные средства ОС настройте правило: неизвестные HID-устройства не подключаются без разрешения.
- Закройте лишние физические порты. На рабочих местах с посетителями используйте заглушки, на критичных машинах — отключайте неиспользуемые USB-порты на уровне BIOS/UEFI или через политики.
- Защитите пароли и браузеры. Настройте автоблокировку парольного менеджера, не храните критичные доступы в открытом браузере, включите MFA для важных сервисов.
- Настройте мониторинг. Отслеживайте подозрительные сценарии: быстрый запуск терминала, необычные процессы, массовое копирование, подключение неизвестных устройств, сетевые обращения после вставки USB.
- Разделите зоны доступа. Посетители не должны иметь доступа к рабочим местам сотрудников. Для гостей — отдельный стол, гостевой ноутбук или терминал без доступа к внутренним системам.
- Проверьте исключения. Док-станции, KVM, специализированные сканеры и устройства доступности часто имеют HID-компоненты. Их нельзя слепо блокировать, но их нужно знать и учитывать.
- Проводите короткие проверки. Раз в квартал проверяйте, блокируется ли неизвестная клавиатура, работает ли автоблокировка, не накопилось ли лишних исключений в USB-политиках.
Не тестируйте HID-устройства на чужих компьютерах и не запускайте сценарии «как в интернете» без письменного согласования. Для проверки достаточно убедиться, что неизвестное устройство ввода не подключается, а событие попадает в журнал или в заявку в ИТ.
Что выбрать в зависимости от ситуации
| Ситуация | Что сделать в первую очередь | Что добавить позже |
|---|---|---|
| Домашний офис или маленький офис без выделенного ИТ | Блокировка экрана, мастер-пароль на компьютере, обычный пользовательский аккаунт, автоблокировка парольного менеджера | MDM или простой контроль USB, обучение сотрудников, отдельные гостевые устройства |
| Офис с посетителями и открытой зоной ресепшена | Не держать открытые рабочие места в зоне доступа гостей, автоблокировка, заглушки на лишних портах | USB allowlist, видеонаблюдение в критичных зонах, гостевой терминал в отдельной сети |
| Финансы, бухгалтерия, HR, юристы | Строгий USB control, обычные права пользователей, защита парольного менеджера, MFA | EDR, сегментация сети, отдельные правила для рабочих мест с конфиденциальными данными |
| Администраторы, разработчики, DevOps | Отдельные админские рабочие места, аппаратные ключи входа, запрет постоянного хранения секретов на машине | Jump host или VDI, расширенный мониторинг, отдельные политики для привилегированных сессий |
| Общие компьютеры, kiosks, терминалы самообслуживания | Kiosk-режим, отключение лишних USB-портов, запрет установки программ, сброс сессии после использования | Физические замки, удалённый мониторинг, централизованное управление образом системы |
| Удалённая работа из кафе, коворкинга, отеля | Не оставлять ноутбук без присмотра, использовать кабельный замок, блокировать экран при любом отходе | MDM-контроль USB, VPN/EDR, запрет подключения неизвестных аксессуаров к рабочему ноутбуку |
Отдельно про ноутбуки, телефоны и док-станции
С ноутбуками главная проблема — не сам USB, а привычка оставлять их разблокированными. В переговорной, машине или коворкинге достаточно нескольких секунд. Поэтому для мобильных рабочих мест я бы считал обязательными три вещи: автоблокировку, шифрование диска и запрет подключения неизвестных HID-устройств через MDM.
С телефонами ситуация похожая. Смартфон может выступать как USB-аксессуар, модем или устройство ввода. На корпоративных телефонах стоит запретить автоматическое доверие новым USB-аксессуарам, ограничить режим передачи файлов и требовать разблокировку перед подключением периферии. На iOS это связано с настройками USB-аксессуаров при заблокированном экране, на Android — с параметрами USB-подключения и политиками MDM.
Док-станции и KVM-переключатели тоже нельзя игнорировать. Они могут содержать HID-компоненты и выглядеть для системы как клавиатура или мышь. Если в компании используются такие устройства, их нужно внести в список разрешённых после проверки модели, прошивки и назначения.
Что делать, если кто-то подключил подозрительное устройство
Если сотрудник заметил неизвестную флешку, кабель или брелок в USB-порту, действовать нужно спокойно и быстро:
- Отключить устройство, если это безопасно и не мешает расследованию.
- Заблокировать компьютер или отключить его от сети, если есть признаки подозрительной активности.
- Сообщить в ИТ или службу безопасности, не вставляя устройство повторно.
- Проверить события подключения USB, запуск приложений, сетевые подключения и изменения в системе.
- Если парольный менеджер, почта или браузер были открыты, сменить пароли и отозвать активные сессии с чистого устройства.
- Если есть признаки компрометации — изолировать рабочую станцию и провести полноценную проверку.
Главная ошибка в такой ситуации — просто вынуть устройство и забыть. HID-атака может не оставить «вируса» на диске, но может успеть открыть сессию, скопировать файл, отправить данные или изменить настройки.
Частые ошибки при защите от HID-устройств
- Рассчитывать только на антивирус. Он не всегда поймёт, что перед ним «быстрая клавиатура», а не действия пользователя.
- Оставлять компьютеры разблокированными. Это сводит на нет даже хорошие технические настройки.
- Разрешать все USB-устройства «чтобы ничего не ломалось». Так HID-эмуляторы проходят без лишних вопросов.
- Блокировать всё USB без разбора. Это ломает док-станции, сканеры, токены и устройства доступности. Лучше делать список разрешённых устройств.
- Считать VID/PID полной защитой. Идентификаторы устройства полезны для фильтрации, но их нельзя считать неприступной бронёй.
- Давать сотрудникам права администратора по умолчанию. Тогда один подключённый эмулятор получает слишком много возможностей.
- Держать парольный менеджер и браузер постоянно открытыми. Особенно опасно на рабочих местах в зонах с посетителями.
- Забыть про телефоны и Bluetooth HID. USB — не единственный путь, хотя в этой теме он основной.
- Не вести журнал исключений. Через полгода никто уже не помнит, почему конкретной клавиатуре или док-станции разрешили всё.
Как сделать защиту рабочей, а не формальной
Хорошая защита от USB Rubber Ducky и других HID-устройств выглядит не как один запрет, а как понятный набор правил:
- неизвестное устройство ввода не должно подключаться автоматически;
- разблокированный сеанс не должен оставаться доступным без владельца;
- обычный пользователь не должен иметь прав администратора;
- пароли и токены не должны быть доступны из открытого браузера;
- подозрительные действия должны попадать в мониторинг;
- посетители не должны иметь физического доступа к рабочим местам;
- исключения по USB должны быть документированы и периодически пересматриваться.
Если ресурсов мало, начните с трёх вещей: автоблокировка, обычные пользовательские права и запрет неизвестных USB-устройств. Это уже сильно меняет баланс риска. Если среда критичная, добавляйте EDR, физический контроль портов, сегментацию и отдельные правила для админских рабочих мест.
Итог: что сделать прямо сейчас
Защита от HID-атак начинается с простого вопроса: «Что сможет сделать чужое устройство, если его вставят в мой компьютер прямо сейчас?». Если ответ звучит как «всё, что угодно», начинайте с базовых мер.
Минимальный рабочий набор такой:
- поставить автоблокировку экрана;
- убрать админские права с обычных рабочих мест;
- запретить неизвестные USB HID-устройства;
- закрыть лишние порты физически или программно;
- защитить парольный менеджер и браузерные сессии;
- настроить мониторинг подозрительных действий;
- разделить рабочие и гостевые зоны.
USB Rubber Ducky не страшна как «секретное оружие». Она опасна там, где компьютер уже открыт, пользователь слишком доверчив, а порты не контролируются. Закройте эти слабые места — и устройство останется просто странной флешкой, которая ничего полезного сделать не сможет.


