• IT-Karriere:
  • Services:

Rubber Ducky: Vom Hacken und Absichern der USB-Ports

BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.

Ein Test von veröffentlicht am
Das Bash Bunny im Einsatz
Das Bash Bunny im Einsatz (Bild: Hak5)

Ihre Namen lauten Bash Bunny, Rubber Ducky oder Malduino. Für Menschen sehen sie aus wie handelsübliche USB-Sticks, für Computer sind sie jedoch Tastaturen. Werden sie in einen Rechner eingesteckt, beginnen sie zuvor festgelegte Befehle einzutippen. Mit solchen BadUSB-Sticks können Admin-Aufgaben automatisiert oder Rechner in wenigen Sekunden mit Schadsoftware übernommen werden.

Letztlich stehen dem Nutzer damit alle Möglichkeiten offen, die ihm eine angeschlossene Tastatur bietet - mit rasender Tippgeschwindigkeit. Keystroke Injection werden solche Angriffe genannt. Wir wollten wissen, wie einfach sie sich durchführen lassen und wie sich Nutzer, Firmen und Admins davor schützen können.

Was können Rubber Ducky, Bash Bunny und Malduino?

Dazu haben wir selbst Hacking-Angriffe gestartet. Als Testgeräte dienten uns Bash Bunny und Malduino Elite. Bei Bash Bunny handelt es sich um einen Mini-Linux-Rechner im USB-Stick-Format mit einem Quad-Core-ARM-Prozessor, 512 MByte Arbeitsspeicher sowie einer 8 GByte SSD. Der Mini-Rechner kann sich als Massenspeicher, Tastatur oder Netzwerkadapter ausgeben und so verschiedene Daten abfangen.

Das Gerät stammt wie der bekanntere Rubber Ducky, dessen Name oft allgemein für die Geräte-Gattung verwendet wird, vom Pentest-Gerätehersteller Hak5, baut jedoch funktional auf diesem auf. Beispielsweise lassen sich mit einem Schieberegler zwischen zwei hinterlegten Angriffen und dem Arming Mode, mit dem der Stick bestückt und administriert werden kann, wählen. Bash Bunny kann für rund 100 US-Dollar direkt beim US-Hersteller bestellt werden.

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. Stadtwerke Karlsruhe GmbH, Karlsruhe

Unser zweites Testgerät - der Malduino Elite - stammt vom britischen Hacking-Geräte-Hersteller Maltronics, der auch Wi-Fi-Deauther vertreibt, mit denen sich beispielsweise Wi-Fi-Überwachungskameras ausknipsen lassen. Einen solchen Angriff konnte Golem.de bereits voriges Jahr mit einem unbemerkten Diebstahl einer Winkekatze demonstrieren.

Die Angriffs- oder Adminscripte gelangen über eine Micro-SD-Karte auf den Malduino Elite. Über einen Schieberegler auf dem mantellosen USB-Stick lassen sich 16 unterschiedliche Scripte anwählen. Mit rund 30 Euro ist der arduinobasierte Malduino Elite deutlich günstiger als das Bash Bunny und kann direkt beim Hersteller bestellt werden.

Fast jedes USB-Gerät kann böse sein

Neben den beiden getesteten Geräten, die dediziert auf den Einsatz als BadUSB-Sticks ausgelegt sind, lassen sich auch viele herkömmliche Geräte für BadUSB verwenden. Dazu müssen Angreifer die Firmware des USB-Gerätes so manipulieren, dass sich ein USB-Stick, eine Webcam, ein USB-Hub oder eine Maus kurzzeitig oder dauerhaft als Tastatur ausgeben und munter drauf lostippen können.

Dass es sich dabei nicht nur um eine theoretische Gefahr handelt, zeigte der Sicherheitsforscher Karsten Nohl bereits vor über fünf Jahren: Viele USB-Controller verfügen über einen Flashspeicher und sind obendrein programmierbar. Nohl zufolge ist es für jemanden mit Kenntnissen in der Programmierung von Mikrocontrollern und der USB-Protokolle vergleichsweise einfach, beispielsweise eine Maus zu übernehmen.

Besonders perfide: Ein fremder Rechner kann ein USB-Gerät, etwa einen Stick, vom Nutzer unbemerkt umprogrammieren und so in einen Schad-Stick verwandeln. Mit dem Malduino oder dem Bash Bunny kann sich ein Angreifer diesen Aufwand jedoch sparen und direkt in den Angriffsmodus wechseln. Wir haben mit den beiden BadUSB-Sticks Windows- und Linux-Rechner angegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
BadUSB-Angriffe auf Windows, Linux und MacOS 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Hardware-Angebote

BlindSeer 08. Mai 2020 / Themenstart

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020 / Themenstart

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020 / Themenstart

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020 / Themenstart

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...

Olliar 07. Mai 2020 / Themenstart

Ich habe Heißkleber! ;-) Oder ich verwende eine WLAN-Tastatur... Oder einen kleinen...

Kommentieren


Folgen Sie uns
       


Asus-Gaming-Monitor mit 43 Zoll Diagonale - Test

Zwar ist der PG43UQ mit seinen 43 Zoll noch immer ziemlich riesig, er passt aber zumindest noch gut auf den Schreibtisch. Und dort überrascht der Asus-Monitor mit einer guten Farbdarstellung und hoher Helligkeit.

Asus-Gaming-Monitor mit 43 Zoll Diagonale - Test Video aufrufen
5G: Neue US-Sanktionen sollen Huawei in Europa erledigen
5G
Neue US-Sanktionen sollen Huawei in Europa erledigen

Die USA verbieten ausländischen Chipherstellern, für Huawei zu arbeiten und prompt fordern die US-Lobbyisten wieder einen Ausschluss in Europa.
Eine Analyse von Achim Sawall

  1. Smartphone Huawei wählt Dailymotion als Ersatz für Youtube
  2. Android Huawei bringt Smartphone mit großem Akku für 150 Euro
  3. Android Huawei stellt kleines Smartphone für 110 Euro vor

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

Maneater im Test: Bissiger Blödsinn
Maneater im Test
Bissiger Blödsinn

Wer schon immer als Bullenhai auf Menschenjagd gehen wollte - hier entlang schwimmen bitte. Maneater legt aber auch die Flosse in die Wunde.
Ein Test von Marc Sauter

  1. Mount and Blade 2 angespielt Der König ist tot, lang lebe der Bannerlord
  2. Arkade Blaster 3D-Shooter mit der Plastikkanone spielen
  3. Wolcen im Test Düster, lootig, wuchtig!

    •  /