BadUSB-Angriffe auf Windows, Linux und MacOS

Während der Malduino Elite erst noch mit der Arduino IDE eingerichtet werden muss, ist Bash Bunny sofort einsatzbereit. Wird der Stick im Arming Mode in einen Rechner gesteckt, meldet er sich nach kurzem Hochfahren als Massenspeicher mit rund 2 GByte freiem Speicherplatz am System. Dort können wir zwei Angriff-Templates ablegen, die je nach Position des Hardware-Schalters aufgerufen werden.

Stellenmarkt
  1. Senior SAP MM & ARIBA Inhouse Consultant (m/w/d)
    CureVac Corporate Services GmbH, Tübingen bei Stuttgart, Rhein-Main-Gebiet
  2. Mitarbeiter Datenmanagement (all genders)
    Joyson Safety Systems Sachsen GmbH, Freiberg
Detailsuche

Beim Malduino werden die Templates auf einer Micro-SD-Karte gespeichert und für die vier kleinen Schalter durchnummeriert: Bei 1111 sind alle Schalter auf On, bei 1110 ist der letzte Schalter auf Off.

Wir hinterlegen ein einfaches Test-Script auf dem Malduino und stecken ihn in einen Windows-10-Rechner. Innerhalb kürzester Zeit startet der Stick den Chrome-Browser und öffnet Golem.de.

  1. # Windows
  2. DELAY 1000
  3. GUI r
  4. DELAY 1000
  5. STRING chrome.exe golem.de
  6. ENTER

Golem Akademie
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    28.06.-01.07.2022, virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
Weitere IT-Trainings

Damit unser Stick nicht schneller als das Betriebssystem ist, fügen wir immer wieder kurze Wartezeiten (Delay) von einer Sekunde hinzu. Analog zu dem Script für Windows erstellen wir auch eines für Linux. Hier öffnen wir mit ALT + F2 den Firefox und anschließend ebenfalls Golem.de. Ähnlich funktioniert der Angriff auch mit MacOS, was wir mangels Apple-Geräten im Homeoffice jedoch nicht getestet haben.

  1. # Linux
  2. DELAY 1000
  3. ALT F2
  4. DELAY 1000
  5. STRING firefox golem.de
  6. ENTER

Die Scriptsprache des Malduino basiert auf der des Rubber Ducky, welche wiederum auch mit dem Bash Bunny verwendet werden kann und Ducky Script genannt wird. Letztlich kann mit ihr auf triviale Weise alles erledigt werden, was man auch mit einer Tastatur am System eintippen könnte - nur automatisiert und schneller.

Im Internet finden sich viele vorgefertigte Scripte. Sie reichen von Proof-of-Concepts, über Troll-Scripte, mit denen Computernutzer in den Wahnsinn getrieben werden können, bis hin zu komplexen Hacking-Aufgaben; und schließlich auch bis zum Download eines Fake-Lockscreens, der den Nutzer dazu auffordert, sein Passwort einzugeben, und dieses anschließend an den Server des Angreifers sendet.

Noch gefährlicher mit Social Engineering

Das Bash Bunny bietet Angreifern noch mehr Möglichkeiten. Neben einfachen Ducky-Scripten können auch Dateien auf den internen Speicher kopiert werden; die LED kann je nach Angriffsstadium in einer anderen Farbe leuchten, so dass ein Angreifer sehen kann, wenn der Angriff abgeschlossen ist. Zudem kann sich das Bash Bunny als Netzwerkgerät ausgeben und den Netzwerkverkehr eines Rechners abfangen oder umleiten.

Für die Durchführung der Angriffe sind etliche Szenarien denkbar: von dem Angreifer, der den Stick selbst in einen unbeaufsichtigten PC steckt, über auf dem Parkplatz liegengelassene Sticks, die Mitarbeiter aus Neugier selbst in ihren Rechner stecken, bis hin zu ausgefeilten Social-Engineering-Angriffen, bei denen der Angreifer sein Opfer unter einem Vorwand dazu bringt, den Stick einzustecken.

Um sich vor Schadsoftware auf USB-Sticks zu schützen, sperren Admins meist die USB-Ports - allerdings nur für Massenspeicher und nicht für Tastaturen. Entsprechend greifen die klassischen Mitigationsmaßnahmen gegen BadUSB zu kurz. Solange sich USB-Tastaturen anschließen lassen, können Hacker Angriffe durchführen. Doch wie schützt man sich vor USB-Sticks, die sich als Tastatur ausgeben? Wir haben uns verschiedene Software-Lösungen unter Linux und Windows angesehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Rubber Ducky: Vom Hacken und Absichern der USB-PortsBadUSB-Angriffe verhindern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


BlindSeer 08. Mai 2020

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

  3. Ericsson und Telia Norway: Fast 4 GBit/s in 26-GHz-Netz erreicht
    Ericsson und Telia Norway
    Fast 4 GBit/s in 26-GHz-Netz erreicht

    26-GHz-Netz-Antennen erreichen in Norwegen Höchstwerte bei der Datenübertragung. Die 5G-Ausrüstung kommt von Ericsson.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /