Es ist allgemein bekannt, dass USB-Sticks in einem Unternehmen einen großen Schaden anrichten können. Doch USB-Sticks, die einen kleinen aber kompletten Computer in sich tragen, sind besonders gefährlich. Sogenannte USB-Attack-Plattformen wie der Rubber Ducky bieten Angreifern oder Pentestern eine hervorragende Plattform, um die verschiedenen Systeme zu infizieren oder auf ihre Sicherheit zu testen.
Die USB-Angriffsplattformen – Rubber Ducky, Bash Bunny und Co.
Ein USB-Gerät wird von einem modernen Betriebssystem inzwischen automatisch mittels des Plug-und-Play Systems erkannt und installiert. Bei Tastaturen wird der Treiber für das Gerät automatisch festgelegt und schon kann mit dem Tippen losgelegt werden. Bei USB-Sticks wird das Datenformat erkannt und das entsprechende Dateisystem automatisch in das System eingehangen.
So weit, so gut. Es muss nicht mehr erst wie in Windows 95 nach jeder Geräteinstallation ein Neustart vorgenommen werden, doch dies bringt auch Gefahren mit sich. Was ist, wenn ein USB-Gerät sich zum Beispiel als Tastatur ausgibt, welche eigentlich gar keine ist? Genau da setzen USB-Angriffsplattformen wie der Rubber Ducky an. Diese Geräte täuschen dem PC ein anderes USB-Gerät vor, sodass ein Angriff gestartet werden kann.
Ein entsprechend ausgeklügelter Angriff kann zum Beispiel in sekundenschnelle Tastatureingaben auf einem Computer emulieren, welche eine Konsole öffnet, eine Schadware aus dem Internet herunterlädt und diese ausführt. Schon hat ein Angreifer eine Hintertür in ein Unternehmen etabliert. Der Hersteller Hak5 wirbt damit, dass mittels einer einfach zu lernenden Skript-Sprache solche Angriffe machbar sind.
In der neusten Version einer solchen USB-Angriffsplattform, dem Bash Bunny, kann mittels eines Schiebereglers zwischen zwei verschiedenen Angriffen und einem „Arming“-Modus gewählt werden. Der letzte Modus dient dazu, den Stick auf einen entsprechenden Angriff vorzubereiten. Eine Alternative zum aktuellen Bash Bunny ist der MalDuino, welcher ebenfalls mehrere Programme auf einer MicroSD Speicherkarte speichern kann.
Ein Beispielscript
DELAY 750 GUI r DELAY 1000 STRING powershell Start-Process chrome https://youtu.be/lBko95-SxJo -Verb runAs ENTER DELAY 750 ALT j DELAY 750 ENTER
Das auf den ersten Blick unübersichtliche Skript würde beim Einstecken eines Rubber Ducky in einen Windows Computer, den Google Chrome Browser mit Administratorrechten öffnen und auf der Videoplattform YouTube ein Live-Hacking Video der AWARE7 anzeigen. Auf der DuckToolKit Webseite können eigene Skripte geschrieben und vorhandene heruntergeladen werden.
Im Endeffekt kann jede Tastenkombination mit Verzögerungen auf einen Rubber Ducky gespielt werden. Für unser Beispielskript haben wir überlegt, welche Tastenkombinationen notwendig sind um ein gezieltes YouTube Video abzuspielen. Diese Tastenkombinationen können auf der DuckToolKit Webseite zu einer Binär-Datei geformt werden, die anschließend per Drag&Drop auf den Rubber Ducky gespielt werden kann.
Es gibt eine Vielzahl von bereits existierenden Skripten, die frei zugänglich und kostenlos zum Download bereitstehen. Wir weisen einmal mehr darauf hin, dass Sie diese Skripte in Kombination mit einem Rubber Ducky oder anderer Hacking Hardware echten Schaden ausüben können und die Nutzung nur auf eigenen Geräten ausgeübt werden sollte.
Der Befehl DELAY führt eine Pause aus, damit auch ein relativ langsamer Computer die schnellen Eingaben verarbeiten kann.
Anschließend wird die Tastenkombination WINDOWS (GUI) und R abgesetzt. Diese Tastenkombination öffnet den „Ausführen“ Dialog unter Windows. Darauffolgend wird die Zeichenkette (STRING) in das entsprechende Feld des Dialogs eingetippt. ENTER drückt den Ok-Button. Anschließend wird abgefragt, ob Google Chrome Änderungen am System vornehmen darf. Diese Abfrage ermöglicht einem Programm mit höheren Rechten ausgeführt zu werden und zum Beispiel Daten auf der Windows-Partition ändern. Diese Abfrage wird ebenfalls in Sekundenschnelle mit der Kombination ALT und J sowie ENTER bestätigt.
Es zeigt sich somit, dass bereits ein kurzes Skript ausreicht, damit ein möglicher Schaden denkbar wäre. Denn anstatt eines Videos könnte Chrome auch genutzt werden, um eine Schadware aus dem Internet herunterzuladen. Diese kann ebenfalls mit ein paar weiteren Befehlen leicht zur Ausführung gebracht werden.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Gnome, USB-Guard und Antivirenprogramme – Schutz vor Rubber Ducky?
Das Gnome Entwicklerteam hat sich dem Problem der USB-Angriffsplattformen angenommen und einen USB-Schutz entwickelt, welcher über einen Konsolenbefehl in allen Linux-Distributionen, die Gnome verwenden, aktiviert werden kann. Anschließend müssen alle USB-Geräte manuell zugelassen werden. Als Alternative dazu gibt es das Konsolenprogramm USB-Guard, welches ebenfalls einen USB-Schutz bietet. Auch hier muss der Nutzer alle USB-Geräte manuell zulassen.
Da es aber in einem Unternehmen selten dazu kommt, dass ein neues USB-Gerät angeschlossen wird, kann dies für die verschiedenen Workstations eine hohe Sicherheit bieten. Für einen Präsentationscomputer jedoch ist es eher umständlich, da jede Fremdpräsentation, welche auf einem USB-Stick daher kommt, manuell genehmigt werden muss.
Auch wenn es unwahrscheinlich ist, dass eine Privatperson mit einer USB-Angriffsplattform angegriffen wird, versuchen Antivirenhersteller ebenfalls eine Art USB-Schutz zu etablieren. Verwendet man zum Beispiel die Interet-Security von GData aus Bochum, so blockiert diese mit dem USB-KeyboardGuard jegliche neu erkannten Tastaturen, welche nicht zum Zeitpunkt der Installation der Internet-Security angeschlossen waren. Der Nutzer kann die Tastatur mittels Eingabe eines Codes zulassen.
Die modernen USB-Angriffsplattformen wie der Bash Bunny können jedoch zum Beispiel auch als Netzwerkkarte agieren. Eine USB-Netzwerkkarte würde von einem USB-Tastaturschutz nicht erkannt werden.
Unternehmen sollten vor allem im Kontext des Social Engineeringssehr darauf achten, dass keine Fremden USB-Geräte an Unternehmenscomputer angeschlossen werden. Die gezeigten Geräte können so schnell agieren, dass bereits einige Sekunden ausreichen, damit unbemerkt eine Hintertür etabliert werden kann.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
