Bad USB – Böse Tastaturen erkennen!

Spätestens, seitdem eine Berliner Firma die Entwicklung einer neuartigen Angriffstechnologie bekanntgegeben hat, sind verstärkt USB-Ports als Angriffsziele im Gespräch.

USB-Geräte werden bei dem Angriff durch eine neue Software innerlich in andere Geräte umgewandelt. Ein Speicherstick oder eine Digitalkamera kann durch die aufgespielte Software so modifiziert werden, dass daraus ein WLAN-Adapter oder eine Tastatur wird. Zumindest denkt das der Rechner, an den das Gerät angesteckt wird. Hierbei spielt es keine Rolle, ob der Rechner ein Windows, MAC OS X oder Linux Betriebssystem besitzt.

Besonders gefährlich sind Geräte, die zu einer USB-Tastatur umfunktioniert wurden. Über diese lassen sich in Bruchteilen einer Sekunde und ohne Benutzerinteraktion beliebige Befehle eintippen. Der Rechner des Opfers kann somit beispielsweise mit Schadsoftware infiziert und im Anschluss über das Internet ferngesteuert werden. Zusätzlich umgeht diese Version gängige Sicherheitsmechanismen in Hochsicherheitsumgebungen. Sogenannte USB-Blocking-Software blockiert meist nur unbekannte USB-Speichermedien, nicht jedoch USB-Tastaturen oder Mäuse, da sonst ja die Bedienung eines Rechners erheblich erschwert werden würde.

So gefährlich und aussichtslos das klingen mag, es gibt einen Lichtblick: Fast alle Angriffsszenarien, außer der bösen Tastatur, lassen sich durch USB-Blocking-Software eindämmen oder durch fehlende Administratorrechte der Benutzer verhindern. Angriffe mit vorgetäuschten Tastaturen können nur schwer verhindert werden, sind aber auf dem Monitor des Opfers sichtbar. Schließlich muss diese Tastatur die gefährlichen Befehle auf der grafischen Oberfläche des Rechners erst einmal tippen. Dieses Tippen kann vom Opfer auf dem Bildschirm erkannt werden, wie in dem folgenden Video zu sehen ist:

 

Im Video sehen Sie, wie ein manipulierter USB-Raketenwerfer (besonders bei IT affinen Menschen, wie Systemadministratoren beliebt) nach dem Einstecken rechts das Menü öffnet. Dort wird, kurz erkennbar, ein Befehl ausgeführt. Das alles dauert nur wenige Augenblicke. Wie Sie sich nach unserer kurzen Einführung nun sicher denken können, handelt es sich in Wirklichkeit nicht mehr nur um einen Spielzeugraketenwerfer mit USB-Anschluss, sondern zudem um eine eingebaute Tastatur, die beim Einstecken Tastaturbefehle absetzt.

Dem Angreifer wird kurz nach Ausführung unserer Malware auf dem USB-Gerät die entfernte Steuerung des Opfersystems online übertragen, ohne dass das Opfer etwas davon merkt, die Firewall etwas blockiert oder das Antivirensystem etwas erkennt. Der Rechner steht vollständig unter fremder Kontrolle: 

 

Das große Problem im Unternehmensumfeld

Wenn der Benutzer etwas bemerkt, ist es zu spät. Dann hilft nur noch schnelles Handeln! Das Opfer sollte den Vorfall umgehend einem Sicherheitsbeauftragten melden, damit dieser Gegenmaßnahmen einleiten kann.

  • Prägen Sie sich den Vorgang ein und zeigen Sie das Video Ihren Kollegen und Mitarbeitern, damit diese den Angriff erkennen können.
  • Kennen in Ihrem Unternehmen alle Benutzer die Ansprechpartner und Prozesse bei Sicherheitsvorfällen? Nein? Nicht sicher? Dann ist jetzt der perfekte Zeitpunkt, diese wesentliche Information aufzufrischen.

Nur wenn Mitarbeiter einen solchen Angriff erkennen können, den zuständigen Ansprechpartner kennen und dadurch Sicherheitsvorfälle rasch und zuverlässig melden, lässt sich der Schaden eindämmen, der durch einen trojanisierten Rechner unter der Kontrolle Krimineller entsteht. Durch gezielte Schulungen Ihrer Mitarbeiter können Sie zudem vorbeugen und Ihre Kollegen für potentielle Angriffsszenarien sensibilisiteren. Hierfür empfehelen wir die Security Awareness Trainings von E-Sec.

Dieser Artikel basiert auf einem Text der NSIDE ATTACK LOGIC GmbH. Den Originalartikel finden Sie im Blog von NSIDEDie NSIDE ATTACK LOGIC GmbH ist spezialisiert auf hochwertige technische Penetration-Tests und realitätsnahe Simulationen von IT-gestützter Betriebsspionage.