© Liashko/Shutterstock.com
Angriffe über USB

Unsicherer Serial Bus


Seitdem USB den PS/2-Anschluss für Tastatur und Maus verdrängt hat, haben sicherheitsbewusste Admins ein Problem: Sie können das potenzielle Einfallstor USB-Port nicht einfach lahm legen. Und der erlaubt mehr Angriffe, als die meisten Benutzer ahnen.

Betrachten wir zuerst einmal die allgemein bekannten Angriffe über den USB-Port: USB-Würmer und die „Evil Maid“.

Der Wurm, der durch den USB-Port kam

Würmer verbreiten sich im Allgemeinen über Netzwerke, entweder direkt über ein Netzwerkprotokoll oder zum Beispiel per E-Mail. Irgendwo in einem Netzwerk losgelassen, befallen sie nach und nach alle anderen angreifbaren Rechner im gleichen Netz [1] – egal, ob es sich dabei um ein lokales Netz oder das gesamte Internet handelt. Insbesondere Conficker hat in diesem Zusammenhang von sich Reden gemacht, aber auch davor gab es etliche sehr erfolgreiche Würmer [2].

Ein Spezialfall sind die „USB-Würmer“, die sich nicht über eine Netzwerkverbindung verbreiten, sondern die AutoRun-Funktion von USB-Massenspeichern, vor allem USB-Sticks, missbrauchen, um von einem infizierten Rechner aus andere Rechner zu erreichen – und lokale Netze, die gar nicht mit dem Internet verbunden sind. Diese USB-Würmer waren zeitweise eine wahre Plage, und auch heute gibt es noch viel zu viele davon, und vor allem zu viele erfolgreiche. Und das, obwohl Microsoft das Einfallstor AutoRun längst geschlossen hat. Denn irgendwann hat auch Microsoft erkannt, dass das so nicht mehr weitergehen kann und die Funktion von AutoRun nach und nach eingeschränkt, was die Entwickler der Schadsoftware nicht wirklich stört. Die müssen dann eben etwas mehr Aufwand betreiben und zusätzlich auf Social Engineering oder weitere Schwachstellen setzen. So verbreitete sich zum Beispiel Stuxnet über die so genannte Shortcut-Lücke, eine Schwachstelle beim Verarbeiten von LNK-Dateien. Es war damit unabhängig von der Funktion der AutoRun-Funktion [3].

Inzwischen hat Microsoft die AutoRun-Funktion im Grunde auf die AutoPlay-Funktion für CD/DVD zusammengeschrumpft, was einen Angriff theoretisch deutlich erschwert – sofern die Cyberkriminellen keine präparierte CD/DVD verbreiten und keine eigentlich harmlose CD/DVD einen AutoRun-Wurm enthält.

USB-Massenspeicher oder USB-CD-ROM?

Praktisch sieht das, wie immer, natürlich anders aus. Denn woran erkennt das Betriebssystem, dass es eine CD/DVD in einem über USB angeschlossenen CD/DVD-Laufwerk vor sich hat und nicht zum Beispiel einen USB-Stick? Daran, dass das USB-Gerät es ihm mitteilt. Dummerweise hat man beim Entwurf des USB-Standards nicht daran gedacht, dass Geräte ja auch mal lügen könnten. Und wenn ein USB-Device dem System meldet, es sei das CD-Laufwerk „Foobar128“ und gerade sei die CD „Harmlose Kinderspiele 3.14“ eingelegt worden, dann glaubt das System ihm das und führt die von der CD geladene AutoRun-Datei aus. Wenn das Gerät dann in Wirklichkeit einfach nur ein entsprechend präparierter Microcontroller ist und die AutoRun-Datei Schadsoftware startet, ist das eben Pech. Hat der Benutzer Glück, erkennt sein Virenscanner den Schädling, bevor der Schaden anrichten kann. Hat er weniger Glück, ist sein System danach infiziert.

Übrigens ist diese Möglichkeit Microsoft bekannt [4], sie wird zum Beispiel von den U3-USB-Sticks genutzt, um die enthaltene Software automatisch starten zu können. Für Windows sieht ein U3-Stick wie ein USB-Hub mit angeschlossenem CD-Laufwerk und Massenspeicher aus.

Der Angriff der bösen Zimmermädchen

USB-Würmer kennt fast jeder, ein weiterer (mehr oder weniger theoretischer) Angriff über USB-Sticks ist schon deutlich weniger bekannt: der so genannte „Evil Maid“-Angriff [5]. Dabei wird ein Notebook mit vollständiger Festplattenverschlüsselung vom Angreifer von einem präparierten USB-Stick gebootet, der dann Schadsoftware auf dem Notebook einschleust. Diese späht das Passwort für die Festplattenverschlüsselung aus. Bootet der Benutzer danach sein Notebook, wird das Passwort ausgespäht und gespeichert oder über das Netzwerk an den Angreifer übertragen. Der kann sich danach erneut Zugriff auf das Gerät verschaffen und mit dem ausgespähten Passwort die Festplattenverschlüsselung aufheben. Der Name „Evil Maid“-Angriff wurde gewählt, weil er in Hotels zum Beispiel von Zimmermädchen oder Personen, die sich als solche ausgeben, durchgeführt werden kann.

Joanna Rutkowska und Alex Tereshkin entwickelten im Januar 2009 einen entsprechenden Angriff auf TrueCrypt [6]. Auch für andere Verschlüsselungsprogramme wurden entsprechende Angriffe veröffentlicht. Wirklich „in the wild“ gab es aber keine entsprechenden Angriffe. Oder die Opfer haben nie darüber berichtet.

Daten raus statt Schadcode rein

Während die USB-Sticks bisher zum Einschleusen von Schadcode genutzt wurden, können sie aber durchaus auch in der Gegenrichtung missbraucht werden. Gelangt Schadcode über einen USB-Stick auf einen nicht mit dem Internet oder gar nicht mit einem Netzwerk verbundenen Rechner, hat er ein Problem: Er kann zwar entsprechend seiner Programmierung Schaden anrichten oder Daten sammeln, aber keine Daten an seinen Entwickler schicken. Jedenfalls nicht über das Netzwerk, wie es allgemein üblich ist. Aber stattdessen kann er die Daten ja auf jeden erreichbaren USB-Stick speichern. Installationen des Schädlings auf Rechnern mit einer Netzwerkverbindung zum Angreifer können dann alle von ihnen auf USB-Sticks entdeckten Datenpakete an den Angreifer schicken. Diese Taktik haben zum Beispiel der „Super-Cyberwar-Alleskönner-Schädling“ ­Flame und sein Kollege Gauss verwendet [7], [8].

Angriffe über spezielle Hardware

Bisher ging es um Angriffe über ganz normale, handelsübliche USB-Sticks. Aber über USB kann man natürlich noch mehr anschließen, zum Beispiel Tastaturen und Mäuse, die so genannten Human Interface Devices (HID) [9]; oder Hardware, die sich als Tastatur ausgibt. Die können Sie sogar selbst programmieren, ein entsprechendes Toolkit samt passender Hardware wurde von der Hak5-Community unter dem Namen „USB Rubber Ducky“ entwickelt [10].

Gummiente mit Stammbaum

USB Rubber Ducky hat zwei Vorgänger: Der erste ist das „USB Switchblade“, ein präparierter U3-Stick, mit dem sich ein Windows-Rechner ausspähen lässt [11]. Die Software läuft nur unter Windows 2000, XP und 2003, und für einen erfolgreichen Angriff ist noch etwas Social Engineering notwendig, da ein Benutzer mit Admin-Rechten dazu gebracht werden muss, die AutoRun-Datei auszuführen. Letzteres ist aber nicht unbedingt ein Problem, wenn der Angreifer zum Beispiel auf einer LAN-Party seinem Opfer seinen USB-Stick mit einem Patch, Spiel oder Ähnlichem leiht. Nach dem Start sammelt das USB Switchblade heimlich im Hintergrund alle möglichen Daten und speichert sie auf dem Stick.

Der Nachfolger des USB Switchblade ist die „USB Hacksaw“, ebenfalls ein modifizierter U3-Stick, der einen Windows-Rechner (ab Windows 2000) mit Spyware infiziert. Die Spyware kopiert die Dokumente von angeschlossenen USB-Sticks und schickt sie per E-Mail an den Angreifer.

Der Angriff des USB-Quietscheentchens

Aber kommen wir zum USB Rubber Ducky. Das hat einiges in sich: einen Atmel 32 Bit Microcontroller, einen microSD-Card-Reader, ein JTAG-Interface für I/O-Operationen und natürlich einen USB-Anschluss. Da eine USB-Tastatur emuliert wird, ist USB Rubber Ducky systemunabhängig. Jedes System, das eine USB-Tastatur unterstützt, kann angegriffen werden.

Eine einfache Skriptsprache namens Ducky Script erlaubt das Entwickeln eigener Angriffe – die Manipulation von Systemeinstellungen, das Öffnen einer Backdoor –, generell alle Aktionen, die sich bei einem physikalischen Zugriff über die Tastatur auch ausführen lassen [13]. Und natürlich gibt es auch eine Sammlung fertiger Payloads [14].

USB Rubber Ducky ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang