Tobias Scheible Cyber Security & IT-Forensik Dozent
BadUSB Geräte

Artikelserie: Angriffe per USB

Mit BadUSB werden USB-Geräte bezeichnet, die z.B. mit einer virtuellen Tastatur bösartige Befehle auf einem Rechner ausführen können. Dabei kann es sich um USB-Geräte mit veränderter Firmware oder um darauf spezialisierte Microcontroller handeln. Durch die weite Verbreitung der USB-Schnittstelle und die Tarnung als Eingabegeräte können BadUSB-Angriffe nur schwer verhindert werden und gleichzeitig kann ein großer Schaden angerichtet werden.

Samstag, 28. September 2019
0 Kommentare

USB-Schnittstellen sind nicht nur in Rechnersystemen verbaut, sondern auch immer mehr in den verschiedensten Arten von Geräten – vom Staubsaugroboter über Alarmanlagen bis hin zu Industrieanlagen. Gleichzeitig sind viele Benutzer sehr vertraut im Umgang mit USB-Geräten, da sie häufig täglich genutzt werden. Dadurch werden sie oft bedenkenlos eingesetzt. Die Sicherheitsforscher Nir Nissim, Ran Yahalom und Yuval Elovici untersuchten in ihrem Artikel „USB-based attacks“ die Angriffsmethoden auf USB und fanden insgesamt mehr als 29 verschiedene Angriffsszenarien.

Angriffe auf die USB-Schnitstelle
Angriffsmethoden auf die USB-SchnitstelleA taxonomy of USB-based attacks
Angriffe überdie USB-Schnitstelle Taxonomie über Angriffsmethoden auf die USB-Schnitstelle
BadUSB

Der Bereich „Programmable Microcontroller“ basiert auf Hacking Hardware und wird als BadUSB bezeichnet. Dabei wird spezielle Hardware verwendet, die eine USB-Schnittstelle hat und als virtuelles Gerät, wie zum Beispiel eine Tastatur, fungieren kann.

BadUSB

BadUSB hat sich als Sammelbegriff für Angriffe über USB-Schnittstellen etabliert. Dabei geht es immer um die Ausnutzung der Flexibilität von USB und die Simulation einer virtuellen Schnittstelle bzw. einem Gerät – wie z.B. Maus, Tastatur und Netzwerk.

Die ersten derartigen Projekte wurden im Jahr 2010 vorgestellt, basierend auf dem kleinen programmierbaren Entwicklerboard Teensy, der mit den beliebten Arduino-Boards kompatibel ist. Das Board ist mit einem USB-Anschluss ausgestattet, der auch als virtuelle Eingabegeräte (HIDs) fungieren kann. Die erste Version dieser Teensy-Programmierung hieß Programmable HID USB Keystroke Dongle (PHUKD) und beschreibt die Möglichkeiten eines Angriffsszenarios per USB. Das Projekt Kautilya folgte.

Firmware

In einer weiteren Forschungsarbeit fanden die Sicherheitsforscher von Security Research Lab heraus, dass sich die Firmware von üblichen USB-Sticks manipulieren lassen und darüber BadUSB-Angriffe durchgeführt werden können. Sie veröffentlichten 2014 ihre Arbeit „BadUSB — On accessories that turn evil“ auf der BlackHat Konferenz und prägten damit den Begriff BadUSB. Damit wurde gezeigt, dass potenziell alle USB-Geräte durch Manipulationen der Firmware als Angriffswerkzeuge verwendet werden können.

Funktionsweise

Bei einem BadUSB-Angriff wird ein Microcontroller verwendet, der eine USB-Schnittstelle hat, die als virtuelles Gerät fungieren kann. Am häufigsten wird hier eine virtuelle Tastatur verwendet. Dabei werden Befehle, also die Tastatureingaben, vorab auf dem Controller gespeichert. Sobald dieser dann an einem Rechner angeschlossen wird, werden die Befehle ausgeführt. Dadurch können zum Beispiel beliebige Programme gestartet werden oder die Eingabeaufforderung geöffnet werden und mehrere Befehle eingegeben werden. BadUSB funktioniert aber nicht nur mit Tastatureingaben, sondern jedes beliebige Eingabegerät kann damit simuliert werden.

Angriffsszenario

Zum Teil wurden in der Vergangenheit bereits derartige Controller in anderen unauffälligen Geräten verborgen wie beispielsweise in einem USB-Ventilator. Diese werden dann an entsprechend heißen Tagen von einem Angreifer gezielt an Mitarbeiter einer Zielfirma verschenkt. Sobald diese dann den USB-Ventilator anschließen, werden die Befehle ausgeführt. Für den Benutzer sieht es so aus, als ob sich der Rechner selbstständig macht. Fatal ist diese Art des Cyberangriffes auch auf Geräte, die eine USB-Schnittstelle haben, aber nicht direkt als Computer wahrgenommen werden. Hierbei kann es sich zum Beispiel um Smart TVs, Multifunktionsdrucker, Alarmanlagen oder Produktionssteuerungsanlagen handeln.

Gegenmaßnahmen

Da Eingabegeräte von den Betriebssystemen schnell und ohne weitere Konfiguration eingebunden werden sollten, stehen einem BadUSB-Angriff keine größeren Hürden entgegen. Gleichzeitig befindet sich die Schadsoftware in einem für das Betriebssystem unzugänglichen Bereich auf dem USB-Gerät und kann daher nicht vor der Ausführung erkannt werden.

Fremde USB-Geräte sollten daher nur mit äußerster Vorsicht angeschlossen und auf ungewöhnliches Verhalten (z.B. Meldung und Sound für die Installation einer neuen Hardware) geachtet werden. Fallen Anomalien auf, muss das Gerät möglichst schnell entfernt werden. Sind Geräte mit USB-Schnittstellen in Bereichen mit Publikumsverkehr aufgestellt, sollten diese per Konfiguration deaktiviert oder durch bauliche Maßnahmen geschützt werden.

BadUSB Blocker als Adapter
BadUSB Blocker als Adapter
BadUSB Blocker als Adapter Adapter zum Blockieren der Daten-Ports

Es gibt auch USB-Adapter, die über keine Datenverbindungen verfügen und daher nur eine Stromverbindung zulassen. Sie können verwendet werden, um zum Beispiel ein Smartphone sicher an öffentlichen USB-Steckern zu laden. Es gibt zwar auch Adapter, die nur bestimmte USB-Gerätetypen zulassen und alle andere blockieren. Allerdings wird dadurch die verfügbare Bandbreite deutlich eingeschränkt.

Artikelserie

Angriffe per USB

In dieser Artikelserie beschreibe ich verschiedene Arten von Angriffsmethoden über die USB-Schnittstelle, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie „Angriffe per USB“, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

Interesse am Thema Hacking- & Pentest-Hardware?
  • 12.11.2024 (Workshop) Hacking- und Pentest-Hardware Workshop, scheible.it, Böblingen (weitere Infos)

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.