• IT-Karriere:
  • Services:

BadUSB-Angriffe auf Windows, Linux und MacOS

Während der Malduino Elite erst noch mit der Arduino IDE eingerichtet werden muss, ist Bash Bunny sofort einsatzbereit. Wird der Stick im Arming Mode in einen Rechner gesteckt, meldet er sich nach kurzem Hochfahren als Massenspeicher mit rund 2 GByte freiem Speicherplatz am System. Dort können wir zwei Angriff-Templates ablegen, die je nach Position des Hardware-Schalters aufgerufen werden.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. über duerenhoff GmbH, Raum Aschaffenburg

Beim Malduino werden die Templates auf einer Micro-SD-Karte gespeichert und für die vier kleinen Schalter durchnummeriert: Bei 1111 sind alle Schalter auf On, bei 1110 ist der letzte Schalter auf Off.

Wir hinterlegen ein einfaches Test-Script auf dem Malduino und stecken ihn in einen Windows-10-Rechner. Innerhalb kürzester Zeit startet der Stick den Chrome-Browser und öffnet Golem.de.

  1. # Windows
  2. DELAY 1000
  3. GUI r
  4. DELAY 1000
  5. STRING chrome.exe golem.de
  6. ENTER

Damit unser Stick nicht schneller als das Betriebssystem ist, fügen wir immer wieder kurze Wartezeiten (Delay) von einer Sekunde hinzu. Analog zu dem Script für Windows erstellen wir auch eines für Linux. Hier öffnen wir mit ALT + F2 den Firefox und anschließend ebenfalls Golem.de. Ähnlich funktioniert der Angriff auch mit MacOS, was wir mangels Apple-Geräten im Homeoffice jedoch nicht getestet haben.

  1. # Linux
  2. DELAY 1000
  3. ALT F2
  4. DELAY 1000
  5. STRING firefox golem.de
  6. ENTER

Die Scriptsprache des Malduino basiert auf der des Rubber Ducky, welche wiederum auch mit dem Bash Bunny verwendet werden kann und Ducky Script genannt wird. Letztlich kann mit ihr auf triviale Weise alles erledigt werden, was man auch mit einer Tastatur am System eintippen könnte - nur automatisiert und schneller.

Im Internet finden sich viele vorgefertigte Scripte. Sie reichen von Proof-of-Concepts, über Troll-Scripte, mit denen Computernutzer in den Wahnsinn getrieben werden können, bis hin zu komplexen Hacking-Aufgaben; und schließlich auch bis zum Download eines Fake-Lockscreens, der den Nutzer dazu auffordert, sein Passwort einzugeben, und dieses anschließend an den Server des Angreifers sendet.

Noch gefährlicher mit Social Engineering

Das Bash Bunny bietet Angreifern noch mehr Möglichkeiten. Neben einfachen Ducky-Scripten können auch Dateien auf den internen Speicher kopiert werden; die LED kann je nach Angriffsstadium in einer anderen Farbe leuchten, so dass ein Angreifer sehen kann, wenn der Angriff abgeschlossen ist. Zudem kann sich das Bash Bunny als Netzwerkgerät ausgeben und den Netzwerkverkehr eines Rechners abfangen oder umleiten.

Für die Durchführung der Angriffe sind etliche Szenarien denkbar: von dem Angreifer, der den Stick selbst in einen unbeaufsichtigten PC steckt, über auf dem Parkplatz liegengelassene Sticks, die Mitarbeiter aus Neugier selbst in ihren Rechner stecken, bis hin zu ausgefeilten Social-Engineering-Angriffen, bei denen der Angreifer sein Opfer unter einem Vorwand dazu bringt, den Stick einzustecken.

Um sich vor Schadsoftware auf USB-Sticks zu schützen, sperren Admins meist die USB-Ports - allerdings nur für Massenspeicher und nicht für Tastaturen. Entsprechend greifen die klassischen Mitigationsmaßnahmen gegen BadUSB zu kurz. Solange sich USB-Tastaturen anschließen lassen, können Hacker Angriffe durchführen. Doch wie schützt man sich vor USB-Sticks, die sich als Tastatur ausgeben? Wir haben uns verschiedene Software-Lösungen unter Linux und Windows angesehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Rubber Ducky: Vom Hacken und Absichern der USB-PortsBadUSB-Angriffe verhindern 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Top-Angebote
  1. 599€ (Bestpreis mit Alternate. Vergleichspreis ab ca. 660€)
  2. (u. a. MSI Optix MAG272CRX für 299€ + 6,99€ Versand statt ca. 450€ im Vergleich und Corsair...
  3. (u. a. The Crew 2 für 10,49€, Mount & Blade II - Bannerlord für 33,99€ und Mortal Kombat 11...

BlindSeer 08. Mai 2020 / Themenstart

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020 / Themenstart

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020 / Themenstart

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020 / Themenstart

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...

Olliar 07. Mai 2020 / Themenstart

Ich habe Heißkleber! ;-) Oder ich verwende eine WLAN-Tastatur... Oder einen kleinen...

Kommentieren


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

Corona: Japans Krankenhäuser steigen endlich von Fax auf E-Mail um
Corona
Japans Krankenhäuser steigen endlich von Fax auf E-Mail um

In Japan löst die Coronakrise einen Modernisierungsschub aus. Den Ärzten in den Krankenhäusern fehlt die Zeit für das manuelle Ausfüllen von Formularen.
Ein Bericht von Felix Lill

  1. Onlineshopping Weiterhin mehr Pakete als vor Beginn der Coronapandemie
  2. Corona IFA 2020 findet doch als physisches Event statt
  3. Corona Pariser Polizei darf keine Drohnen zur Überwachung verwenden

    •  /