Rubber Ducky: Vom Hacken und Absichern der USB-Ports

BadUSB-Sticks geben sich als Tastatur aus und hacken im Vorbeigehen Rechner. Mit der richtigen Software können sie entschärft werden.

Ein Test von veröffentlicht am
Das Bash Bunny im Einsatz
Das Bash Bunny im Einsatz (Bild: Hak5)

Ihre Namen lauten Bash Bunny, Rubber Ducky oder Malduino. Für Menschen sehen sie aus wie handelsübliche USB-Sticks, für Computer sind sie jedoch Tastaturen. Werden sie in einen Rechner eingesteckt, beginnen sie zuvor festgelegte Befehle einzutippen. Mit solchen BadUSB-Sticks können Admin-Aufgaben automatisiert oder Rechner in wenigen Sekunden mit Schadsoftware übernommen werden.

Letztlich stehen dem Nutzer damit alle Möglichkeiten offen, die ihm eine angeschlossene Tastatur bietet - mit rasender Tippgeschwindigkeit. Keystroke Injection werden solche Angriffe genannt. Wir wollten wissen, wie einfach sie sich durchführen lassen und wie sich Nutzer, Firmen und Admins davor schützen können.

Was können Rubber Ducky, Bash Bunny und Malduino?

Dazu haben wir selbst Hacking-Angriffe gestartet. Als Testgeräte dienten uns Bash Bunny und Malduino Elite. Bei Bash Bunny handelt es sich um einen Mini-Linux-Rechner im USB-Stick-Format mit einem Quad-Core-ARM-Prozessor, 512 MByte Arbeitsspeicher sowie einer 8 GByte SSD. Der Mini-Rechner kann sich als Massenspeicher, Tastatur oder Netzwerkadapter ausgeben und so verschiedene Daten abfangen.

Das Gerät stammt wie der bekanntere Rubber Ducky, dessen Name oft allgemein für die Geräte-Gattung verwendet wird, vom Pentest-Gerätehersteller Hak5, baut jedoch funktional auf diesem auf. Beispielsweise lassen sich mit einem Schieberegler zwischen zwei hinterlegten Angriffen und dem Arming Mode, mit dem der Stick bestückt und administriert werden kann, wählen. Bash Bunny kann für rund 100 US-Dollar direkt beim US-Hersteller bestellt werden.

Stellenmarkt
  1. Projektkoordinator Mobilität / Digitalisierung (m/w/d)
    EWR GmbH, Remscheid
  2. IT Applikationsadministrator / Systemadministrator für E-Learning (m/w/d)
    Fachhochschule Südwestfalen, Hagen, Soest
Detailsuche

Unser zweites Testgerät - der Malduino Elite - stammt vom britischen Hacking-Geräte-Hersteller Maltronics, der auch Wi-Fi-Deauther vertreibt, mit denen sich beispielsweise Wi-Fi-Überwachungskameras ausknipsen lassen. Einen solchen Angriff konnte Golem.de bereits voriges Jahr mit einem unbemerkten Diebstahl einer Winkekatze demonstrieren.

Die Angriffs- oder Adminscripte gelangen über eine Micro-SD-Karte auf den Malduino Elite. Über einen Schieberegler auf dem mantellosen USB-Stick lassen sich 16 unterschiedliche Scripte anwählen. Mit rund 30 Euro ist der arduinobasierte Malduino Elite deutlich günstiger als das Bash Bunny und kann direkt beim Hersteller bestellt werden.

Fast jedes USB-Gerät kann böse sein

Neben den beiden getesteten Geräten, die dediziert auf den Einsatz als BadUSB-Sticks ausgelegt sind, lassen sich auch viele herkömmliche Geräte für BadUSB verwenden. Dazu müssen Angreifer die Firmware des USB-Gerätes so manipulieren, dass sich ein USB-Stick, eine Webcam, ein USB-Hub oder eine Maus kurzzeitig oder dauerhaft als Tastatur ausgeben und munter drauf lostippen können.

Dass es sich dabei nicht nur um eine theoretische Gefahr handelt, zeigte der Sicherheitsforscher Karsten Nohl bereits vor über fünf Jahren: Viele USB-Controller verfügen über einen Flashspeicher und sind obendrein programmierbar. Nohl zufolge ist es für jemanden mit Kenntnissen in der Programmierung von Mikrocontrollern und der USB-Protokolle vergleichsweise einfach, beispielsweise eine Maus zu übernehmen.

Besonders perfide: Ein fremder Rechner kann ein USB-Gerät, etwa einen Stick, vom Nutzer unbemerkt umprogrammieren und so in einen Schad-Stick verwandeln. Mit dem Malduino oder dem Bash Bunny kann sich ein Angreifer diesen Aufwand jedoch sparen und direkt in den Angriffsmodus wechseln. Wir haben mit den beiden BadUSB-Sticks Windows- und Linux-Rechner angegriffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
BadUSB-Angriffe auf Windows, Linux und MacOS 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


BlindSeer 08. Mai 2020

Wenn unser IT Manager mit der Idee käme wäre meine Frage "Wir sollen nicht mehr...

Berlinlowa 07. Mai 2020

soweit ich das verstehe, berechnen die verschiedenen Lösungen alle auf Basis...

Berlinlowa 07. Mai 2020

Das siehst Du genau richtig. Mit etwas KnowHow kann man das für wenige Cent nachbauen...

robinx999 07. Mai 2020

die nächste Stufe ist dann ein Gerät das sich als USB Hub mit Tastatur und USB...



Aktuell auf der Startseite von Golem.de
Prozessor-Bug
Wie Intel einen Bug im ersten x86-Prozessor fixte

Der Prozessor tut nicht ganz, was er soll? Heute löst das oft eine neue Firmware, vor 40 Jahren musste neues Silizium her.

Prozessor-Bug: Wie Intel einen Bug im ersten x86-Prozessor fixte
Artikel
  1. CD Projekt Red: Remake von The Witcher bietet offene Welt
    CD Projekt Red
    Remake von The Witcher bietet offene Welt

    Kleine, aber wichtige Info: Die Neuauflage von The Witcher schickt uns in eine offene Welt - was grundlegend neues Gameplay bedeutet.

  2. Entlassungen bei Tech-Unternehmen: Welche Branchen zurzeit am stärksten betroffen sind
    Entlassungen bei Tech-Unternehmen
    Welche Branchen zurzeit am stärksten betroffen sind

    Das Jahr ist von Massenentlassungen bei Tech-Unternehmen geprägt. Wir haben per Open Data analysiert, welche Branchen das besonders betrifft.
    Von Felix Uelsmann

  3. Mydlink Home: D-Link macht Smart-Home-Geräte unbrauchbar
    Mydlink Home
    D-Link macht Smart-Home-Geräte unbrauchbar

    D-Link wird in Kürze alle Clouddienste für eine Reihe verschiedener Smart-Home-Geräte einstellen und diese quasi unbrauchbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /