Tobias Scheible Cyber Security & IT-Forensik Dozent
MalDuino W von Maltronics

MalDuino und MalDuino W

Bisher wurde der MalDuino in einer Pro- und einer Lite-Version angeboten. Den MalDuino Pro habe ich im Artikel „MalDuino – BadUSB mit Schalter“ vorgestellt. Der MalDuino Lite entspricht ungefähr dem Digispark. Die Elite-Version fand ich sehr spannend, da der Stick über kleine DIP-Schalter verfügt. Damit kann ausgewählt werden, welches Skript von der SD-Karte ausgeführt wird. […]

Sonntag, 30. Mai 2021
0 Kommentare

Bisher wurde der MalDuino in einer Pro- und einer Lite-Version angeboten. Den MalDuino Pro habe ich im Artikel „MalDuino – BadUSB mit Schalter“ vorgestellt. Der MalDuino Lite entspricht ungefähr dem Digispark. Die Elite-Version fand ich sehr spannend, da der Stick über kleine DIP-Schalter verfügt. Damit kann ausgewählt werden, welches Skript von der SD-Karte ausgeführt wird.

Die bisherigen MalDuinos besitzen kein Gehäuse und sind dementsprechend auffällig. Was gerade bei Pentests eher unpraktisch ist. Die neuen Gehäuse sind elegant in Schwarz gehalten und damit sehen die MalDuinos wie ganz normale USB-Speichersticks aus. Das Highlight ist die USB-A- und USB-C-Schnittstelle. Beide Anschlüsse sind verbaut und können flexibel genutzt werden – aber natürlich immer nur eine Schnittstelle gleichzeitig. Damit wurde der Entwicklung Rechnung getragen, dass es Notebooks nur noch mit USB-C-Schnittstellen gibt.

MalDuino

Die BadUSB-Skripte werden bei dem MalDuino auf einer microSD-Karte gespeichert. An diese gelangt man, indem der Metallbügel entfernt und dann die beiden Kunststoffteile vorsichtig auseinandergedrückt werden. Dort befindet sich auch ein Schalter mit drei Positionen, mit dem beeinflusst werden kann, welches Skript ausgeführt wird. An der ersten Stelle des Dateinamens muss sich eine Zahl (1,2 oder 3) befinden, damit erfolgt die Zuordnung. Die Erstellung der Skripte erfolgt gleich wie beim MalDuino Elite.

BadUSB MalDuino
MalDuino Quelle: maltronics.com
BadUSB MalDuino MalDuino Quelle: maltronics.com

MalDuino W

WLAN

Sobald der MalDuino W mit einer USB-Schnittstelle verbunden wird und darüber mit Strom versorgt wird, erscheint nach kurzer Zeit das WLAN-Netzwerk mit dem Namen „malduinow“ und dem Passwort „malduinow“. Sobald mit einem Rechner die WLAN-Verbindung aufgebaut ist, kann das Webinterface über die Adressen http://malduinow.tools oder http://192.168.4.1 aufgerufen werden. Das Webinterface ist gleich wie beim DSTIKE WIFI Duck aufgebaut. Daher kann dieser Anleitung gefolgt werden. Der Code für den MalDuino W ist auf GitHub verfügbar.

BadUSB MalDuino W
MalDuino W
BadUSB MalDuino W MalDuino W

Fazit MalDuino

Die neuen MalDuions sind konsequente Weiterentwicklungen der bisherigen MalDuino Lite- und Elite-Version. Optimal ist die Unterstützung der USB-A- und USB-C-Schnittstelle. Das bieten bisher nur wenige BadUSB-Geräte. Der MalDuino Elite hatte natürlich durch seine vier DIP-Schalter viel mehr Möglichkeiten geboten. Im Vergleich dazu ist der neue MalDuino mit seinen drei Möglichkeiten mehr beschränkt, aber durch sein Gehäuse deutlich besser für Pentests geeignet. Der MalDuino W ist ebenfalls eine logische Weiterentwicklung, bietet aber einen ähnlichen Funktionsumfang wie der DSTIKE WIFI Duck.

Interesse am Thema Hacking Hardware?
  • 11.12.2021 (Workshop) Hacking Hardware - Cyber Security Workshop, VDI Zollern-Baar, Albstadt (weitere Infos)

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.