USBissig!

Angriffe mit dem USB Rubber Ducky

Praxis & Tipps | Praxis

Wer einen USB-Stick findet, schließt ihn auch an. Das kann jedoch fatale Folgen haben: Spezielle Sticks geben sich als Tastatur aus und führen so ungehindert gefährliche Skripte aus.

USB-Schnittstellen sind nicht nur allgegenwärtig, sondern auch allgemeingefährlich: Sie erlauben vollen Zugriff auf den Rechner, sofern dieser nicht gerade gesperrt ist. Mit Spezial-Hardware kann ein Angreifer fast jedes System im Vorbeigehen kompromittieren, während man gerade nur kurz den Raum verlassen hat, um einen Kaffee zu holen. Die Hacker-Geräte geben sich als Tastatur aus und feuern blitzschnell vorprogrammierte Tastatureingaben ab. Im einfachsten Fall sendet die Spezial-Hardware den Befehl Windows-Taste+R, woraufhin unter Windows der Ausführen-Dialog aufpoppt. Nach dem Tippen von „cmd“ und Enter wartet auch schon die Kommandozeile auf weitere Befehle. Von hier an sind der Fantasie des Angreifers keine Grenzen gesetzt.

Wer seinen Rechner routinemäßig beim Verlassen des Arbeitsplatzes absperrt, der stelle sich einmal folgende Situation vor: Sie finden einen USB-Stick auf dem Flur und haben keine Ahnung, wem er gehört. Um Indizien zu sammeln, die bei der Suche nach dem Besitzer helfen könnten – oder aus schierer Neugier –, schließen Sie den Stick an Ihren Rechner an. Kurz darauf öffnet sich wie von Geisterhand die Eingabeaufforderung – und dann ist es auch schon zu spät. Sie haben keinen gewöhnlichen USB-Stick erwischt, sondern das USB Rubber Ducky (Gummi-Entchen), welches gerade Ihr System auf die Hörner nimmt. Es handelt sich um einen speziell entwickelten USB-Stick, der nicht etwa als Speichergerät dient, sondern vornehmlich als virtuelle Tastatur. Man kann ihn für etwa 40 Euro in den USA bestellen (siehe c’t-Link am Ende dieses Artikels). Die Sicherheitskonzepte der Betriebssysteme haben dem Tipproboter nur wenig entgegenzusetzen. Deshalb kann man damit allerlei Schabernack treiben. Und das haben wir auch.

Im Netz findet man für fast alles ein passendes Skript – von gemein bis gemeingefährlich. Einige Skripte zielen lediglich darauf ab, die Mitmenschen zu foppen. „Payload Wallpaper prank“ etwa erstellt einen Screenshot des Windows-Desktops, setzt diesen als Hintergrundbild und blendet anschließend die Verknüpfungen aus. Der Nutzer sieht die Icons weiterhin, kann sie aber nicht anklicken. Viele der Skripte eignen sich aber auch für ernsthafte Pentesting-Aufgaben. Eines legt etwa einen neuen Windows-Nutzer mit einem vorgegebenen Passwort an und aktiviert die Dateifreigabe, wodurch man im Netz auf die Festplatte des Rechners zugreifen kann. Das alles geschieht so schnell, dass ein unvorbereiteter Nutzer gar nicht weiß, wie ihm geschieht. Sollte sich mal die Benutzerkontensteuerung (UAC) in den Weg stellen, verscheucht das Rubber Ducky sie schlicht mit der Tastenkombination Alt+J. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Mit NetHunter kann das Smartphone über USB nicht nur Strom, sondern auch Daten vom Rechner abzapfen. Es wird über ein Web-Interface bedient.

Videos

Kommentare