BadUSB-Angriffe auf Windows, Linux und MacOS

Während der Malduino Elite erst noch mit der Arduino IDE eingerichtet werden muss, ist Bash Bunny sofort einsatzbereit. Wird der Stick im Arming Mode in einen Rechner gesteckt, meldet er sich nach kurzem Hochfahren als Massenspeicher mit rund 2 GByte freiem Speicherplatz am System. Dort können wir zwei Angriff-Templates ablegen, die je nach Position des Hardware-Schalters aufgerufen werden.

Beim Malduino werden die Templates auf einer Micro-SD-Karte gespeichert und für die vier kleinen Schalter durchnummeriert: Bei 1111 sind alle Schalter auf On, bei 1110 ist der letzte Schalter auf Off.

Wir hinterlegen ein einfaches Test-Script auf dem Malduino und stecken ihn in einen Windows-10-Rechner. Innerhalb kürzester Zeit startet der Stick den Chrome-Browser und öffnet Golem.de.

# Windows
DELAY 1000
GUI r
DELAY 1000
STRING chrome.exe golem.de
ENTER

Damit unser Stick nicht schneller als das Betriebssystem ist, fügen wir immer wieder kurze Wartezeiten (Delay) von einer Sekunde hinzu. Analog zu dem Script für Windows erstellen wir auch eines für Linux. Hier öffnen wir mit ALT + F2 den Firefox und anschließend ebenfalls Golem.de. Ähnlich funktioniert der Angriff auch mit MacOS, was wir mangels Apple-Geräten im Homeoffice jedoch nicht getestet haben.

# Linux
DELAY 1000
ALT F2
DELAY 1000
STRING firefox golem.de
ENTER

Die Scriptsprache des Malduino basiert auf der des Rubber Ducky, welche wiederum auch mit dem Bash Bunny verwendet werden kann und Ducky Script genannt wird. Letztlich kann mit ihr auf triviale Weise alles erledigt werden, was man auch mit einer Tastatur am System eintippen könnte – nur automatisiert und schneller.

Im Internet finden sich viele vorgefertigte Scripte. Sie reichen von Proof-of-Concepts, über Troll-Scripte, mit denen Computernutzer in den Wahnsinn getrieben werden können, bis hin zu komplexen Hacking-Aufgaben; und schließlich auch bis zum Download eines Fake-Lockscreens, der den Nutzer dazu auffordert, sein Passwort einzugeben, und dieses anschließend an den Server des Angreifers sendet.

Noch gefährlicher mit Social Engineering

Das Bash Bunny bietet Angreifern noch mehr Möglichkeiten. Neben einfachen Ducky-Scripten können auch Dateien auf den internen Speicher kopiert werden; die LED kann je nach Angriffsstadium in einer anderen Farbe leuchten, so dass ein Angreifer sehen kann, wenn der Angriff abgeschlossen ist. Zudem kann sich das Bash Bunny als Netzwerkgerät ausgeben und den Netzwerkverkehr eines Rechners abfangen oder umleiten.

Für die Durchführung der Angriffe sind etliche Szenarien denkbar: von dem Angreifer, der den Stick selbst in einen unbeaufsichtigten PC steckt, über auf dem Parkplatz liegengelassene Sticks, die Mitarbeiter aus Neugier selbst in ihren Rechner stecken, bis hin zu ausgefeilten Social-Engineering-Angriffen, bei denen der Angreifer sein Opfer unter einem Vorwand dazu bringt, den Stick einzustecken.

Um sich vor Schadsoftware auf USB-Sticks zu schützen, sperren Admins meist die USB-Ports – allerdings nur für Massenspeicher und nicht für Tastaturen. Entsprechend greifen die klassischen Mitigationsmaßnahmen gegen BadUSB zu kurz. Solange sich USB-Tastaturen anschließen lassen, können Hacker Angriffe durchführen. Doch wie schützt man sich vor USB-Sticks, die sich als Tastatur ausgeben? Wir haben uns verschiedene Software-Lösungen unter Linux und Windows angesehen.