• IT-Karriere:
  • Services:

Rubber Ducky: Vom Hacken und Absichern der USB-Ports

BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.

Ein Test von veröffentlicht am
Das Bash Bunny im Einsatz
Das Bash Bunny im Einsatz (Bild: Hak5)

Ihre Namen lauten Bash Bunny, Rubber Ducky oder Malduino. Für Menschen sehen sie aus wie handelsübliche USB-Sticks, für Computer sind sie jedoch Tastaturen. Werden sie in einen Rechner eingesteckt, beginnen sie zuvor festgelegte Befehle einzutippen. Mit solchen BadUSB-Sticks können Admin-Aufgaben automatisiert oder Rechner in wenigen Sekunden mit Schadsoftware übernommen werden.

Letztlich stehen dem Nutzer damit alle Möglichkeiten offen, die ihm eine angeschlossene Tastatur bietet - mit rasender Tippgeschwindigkeit. Keystroke Injection werden solche Angriffe genannt. Wir wollten wissen, wie einfach sie sich durchführen lassen und wie sich Nutzer, Firmen und Admins davor schützen können.

Was können Rubber Ducky, Bash Bunny und Malduino?

Dazu haben wir selbst Hacking-Angriffe gestartet. Als Testgeräte dienten uns Bash Bunny und Malduino Elite. Bei Bash Bunny handelt es sich um einen Mini-Linux-Rechner im USB-Stick-Format mit einem Quad-Core-ARM-Prozessor, 512 MByte Arbeitsspeicher sowie einer 8 GByte SSD. Der Mini-Rechner kann sich als Massenspeicher, Tastatur oder Netzwerkadapter ausgeben und so verschiedene Daten abfangen.

Das Gerät stammt wie der bekanntere Rubber Ducky, dessen Name oft allgemein für die Geräte-Gattung verwendet wird, vom Pentest-Gerätehersteller Hak5, baut jedoch funktional auf diesem auf. Beispielsweise lassen sich mit einem Schieberegler zwischen zwei hinterlegten Angriffen und dem Arming Mode, mit dem der Stick bestückt und administriert werden kann, wählen. Bash Bunny kann für rund 100 US-Dollar direkt beim US-Hersteller bestellt werden.

Stellenmarkt
  1. STADT ERLANGEN, Erlangen
  2. VIVASECUR GmbH, Leinfelden-Echterdingen

Unser zweites Testgerät - der Malduino Elite - stammt vom britischen Hacking-Geräte-Hersteller Maltronics, der auch Wi-Fi-Deauther vertreibt, mit denen sich beispielsweise Wi-Fi-Überwachungskameras ausknipsen lassen. Einen solchen Angriff konnte Golem.de bereits voriges Jahr mit einem unbemerkten Diebstahl einer Winkekatze demonstrieren.

Die Angriffs- oder Adminscripte gelangen über eine Micro-SD-Karte auf den Malduino Elite. Über einen Schieberegler auf dem mantellosen USB-Stick lassen sich 16 unterschiedliche Scripte anwählen. Mit rund 30 Euro ist der arduinobasierte Malduino Elite deutlich günstiger als das Bash Bunny und kann direkt beim Hersteller bestellt werden.

Fast jedes USB-Gerät kann böse sein

Neben den beiden getesteten Geräten, die dediziert auf den Einsatz als BadUSB-Sticks ausgelegt sind, lassen sich auch viele herkömmliche Geräte für BadUSB verwenden. Dazu müssen Angreifer die Firmware des USB-Gerätes so manipulieren, dass sich ein USB-Stick, eine Webcam, ein USB-Hub oder eine Maus kurzzeitig oder dauerhaft als Tastatur ausgeben und munter drauf lostippen können.

Dass es sich dabei nicht nur um eine theoretische Gefahr handelt, zeigte der Sicherheitsforscher Karsten Nohl bereits vor über fünf Jahren: Viele USB-Controller verfügen über einen Flashspeicher und sind obendrein programmierbar. Nohl zufolge ist es für jemanden mit Kenntnissen in der Programmierung von Mikrocontrollern und der USB-Protokolle vergleichsweise einfach, beispielsweise eine Maus zu übernehmen.

Besonders perfide: Ein fremder Rechner kann ein USB-Gerät, etwa einen Stick, vom Nutzer unbemerkt umprogrammieren und so in einen Schad-Stick verwandeln. Mit dem Malduino oder dem Bash Bunny kann sich ein Angreifer diesen Aufwand jedoch sparen und direkt in den Angriffsmodus wechseln. Wir haben mit den beiden BadUSB-Sticks Windows- und Linux-Rechner angegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
BadUSB-Angriffe auf Windows, Linux und MacOS 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. 499,99€ (Release 10.11.)
  2. 499€ (Release 10.11.)
  3. 999,99€

BlindSeer 08. Mai 2020

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...

Olliar 07. Mai 2020

Ich habe Heißkleber! ;-) Oder ich verwende eine WLAN-Tastatur... Oder einen kleinen...


Folgen Sie uns
       


Geforce RTX 3080: Wir legen die Karten offen
Geforce RTX 3080
Wir legen die Karten offen

Am 16. September 2020 geht der Test der Geforce RTX 3080 online. Wir zeigen vorab, welche Grafikkarten und welche Spiele wir einsetzen werden.

  1. Ethereum-Mining Nvidias Ampere-Karten könnten Crypto-Boom auslösen
  2. Gaming Warum DLSS das bessere 8K ist
  3. Nvidia Ampere Geforce RTX 3000 verdoppeln Gaming-Leistung

Immortals Fenyx Rising angespielt: Göttliches Gaga-Gegenstück zu Assassin's Creed
Immortals Fenyx Rising angespielt
Göttliches Gaga-Gegenstück zu Assassin's Creed

Abenteuer im antiken Griechenland mal anders! Golem.de hat das für Dezember 2020 geplante Immortals ausprobiert und zeigt Gameplay im Video.
Von Peter Steinlechner


    Stellenanzeige: Golem.de sucht CvD (m/w/d)
    Stellenanzeige
    Golem.de sucht CvD (m/w/d)

    Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

    1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
    2. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
    3. In eigener Sache Die 24-kernige Golem Workstation ist da

      •  /