Rubber Ducky: Vom Hacken und Absichern der USB-Ports

BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.

Ein Test von veröffentlicht am
Das Bash Bunny im Einsatz
Das Bash Bunny im Einsatz (Bild: Hak5)

Ihre Namen lauten Bash Bunny, Rubber Ducky oder Malduino. Für Menschen sehen sie aus wie handelsübliche USB-Sticks, für Computer sind sie jedoch Tastaturen. Werden sie in einen Rechner eingesteckt, beginnen sie zuvor festgelegte Befehle einzutippen. Mit solchen BadUSB-Sticks können Admin-Aufgaben automatisiert oder Rechner in wenigen Sekunden mit Schadsoftware übernommen werden.

Letztlich stehen dem Nutzer damit alle Möglichkeiten offen, die ihm eine angeschlossene Tastatur bietet - mit rasender Tippgeschwindigkeit. Keystroke Injection werden solche Angriffe genannt. Wir wollten wissen, wie einfach sie sich durchführen lassen und wie sich Nutzer, Firmen und Admins davor schützen können.

Was können Rubber Ducky, Bash Bunny und Malduino?

Dazu haben wir selbst Hacking-Angriffe gestartet. Als Testgeräte dienten uns Bash Bunny und Malduino Elite. Bei Bash Bunny handelt es sich um einen Mini-Linux-Rechner im USB-Stick-Format mit einem Quad-Core-ARM-Prozessor, 512 MByte Arbeitsspeicher sowie einer 8 GByte SSD. Der Mini-Rechner kann sich als Massenspeicher, Tastatur oder Netzwerkadapter ausgeben und so verschiedene Daten abfangen.

Das Gerät stammt wie der bekanntere Rubber Ducky, dessen Name oft allgemein für die Geräte-Gattung verwendet wird, vom Pentest-Gerätehersteller Hak5, baut jedoch funktional auf diesem auf. Beispielsweise lassen sich mit einem Schieberegler zwischen zwei hinterlegten Angriffen und dem Arming Mode, mit dem der Stick bestückt und administriert werden kann, wählen. Bash Bunny kann für rund 100 US-Dollar direkt beim US-Hersteller bestellt werden.

Stellenmarkt
  1. IT-Servicetechniker (m/w/d) - Bank Technologie
    GRG Deutschland GmbH, Hamburg
  2. IT-Leiter Cluster (m/w/d)
    Helios IT Service GmbH, Wiesbaden, Gotha, Meiningen, Erfurt
Detailsuche

Unser zweites Testgerät - der Malduino Elite - stammt vom britischen Hacking-Geräte-Hersteller Maltronics, der auch Wi-Fi-Deauther vertreibt, mit denen sich beispielsweise Wi-Fi-Überwachungskameras ausknipsen lassen. Einen solchen Angriff konnte Golem.de bereits voriges Jahr mit einem unbemerkten Diebstahl einer Winkekatze demonstrieren.

Die Angriffs- oder Adminscripte gelangen über eine Micro-SD-Karte auf den Malduino Elite. Über einen Schieberegler auf dem mantellosen USB-Stick lassen sich 16 unterschiedliche Scripte anwählen. Mit rund 30 Euro ist der arduinobasierte Malduino Elite deutlich günstiger als das Bash Bunny und kann direkt beim Hersteller bestellt werden.

Fast jedes USB-Gerät kann böse sein

Neben den beiden getesteten Geräten, die dediziert auf den Einsatz als BadUSB-Sticks ausgelegt sind, lassen sich auch viele herkömmliche Geräte für BadUSB verwenden. Dazu müssen Angreifer die Firmware des USB-Gerätes so manipulieren, dass sich ein USB-Stick, eine Webcam, ein USB-Hub oder eine Maus kurzzeitig oder dauerhaft als Tastatur ausgeben und munter drauf lostippen können.

Dass es sich dabei nicht nur um eine theoretische Gefahr handelt, zeigte der Sicherheitsforscher Karsten Nohl bereits vor über fünf Jahren: Viele USB-Controller verfügen über einen Flashspeicher und sind obendrein programmierbar. Nohl zufolge ist es für jemanden mit Kenntnissen in der Programmierung von Mikrocontrollern und der USB-Protokolle vergleichsweise einfach, beispielsweise eine Maus zu übernehmen.

Besonders perfide: Ein fremder Rechner kann ein USB-Gerät, etwa einen Stick, vom Nutzer unbemerkt umprogrammieren und so in einen Schad-Stick verwandeln. Mit dem Malduino oder dem Bash Bunny kann sich ein Angreifer diesen Aufwand jedoch sparen und direkt in den Angriffsmodus wechseln. Wir haben mit den beiden BadUSB-Sticks Windows- und Linux-Rechner angegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
BadUSB-Angriffe auf Windows, Linux und MacOS 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


BlindSeer 08. Mai 2020

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...

Olliar 07. Mai 2020

Ich habe Heißkleber! ;-) Oder ich verwende eine WLAN-Tastatur... Oder einen kleinen...



Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /