close
Aufklärung

Ninjas, Häschen und Entlein, gegen diesen USB-Hack musst du stark sein!

Foto: Ventus17 (pixabay.com)

Getarnt als USB-Stick oder Ladekabel entfalten sie eine unangenehme Eigenschaft, wenn du sie anschließt: Angreifer können Kontrolle über deinen Rechner erlangen. Durch Zurückhaltung bei fremden USB-Geräten wirst du stark gegen solch einen USB-Hack.

Diese USB-Geräte sind toxisch

Es ist manchmal fies mit der Computersicherheit. Gerade wenn wir am wenigsten damit rechnen, können bereits kleine Unachtsamkeiten unsere Maschinen zur Strecke bringen. So zum Beispiel beim Anschließen eines USB-Ladekabels oder Speichersticks. Mit speziellen USB-Geräten können Angreifer nämlich Kontrolle über deinen Rechner erlangen. Solche digitalen Wölfe im USB-Geräte-Schafspelz (ich nenne sie im Folgenden “USB-Wölfe”) haben oft niedliche Namen wie Rubber Ducky (Gummiente) oder Bash Bunny (Häschen). Der USBNinja ist ein besonders hinterlistiger Wolf, denn er tarnt sich als Smartphone-Ladekabel. Dank günstigem Zubehör und vorgefertigten Schadcodes lassen sich solche USB-Wölfe auch ohne Weiteres individuell herstellen.

  • Rubber Ducky
    Rubber Ducky: Der Klassiker unter den USB-Wölfen.

Wie funktioniert ein USB-Hack?

Phase 1 – Wenn ich doch nur eine Tastatur wäre…

Angriffsmöglichkeiten über manipulierte USB-Sticks sind bereits seit 2005 bekannt. Allerdings hat sich in den letzten Jahren eine Angriffsvariante entwickelt, die schwer zu bändigen ist (prominent geworden im Jahr 2014 durch “BadUSB”, einer Demonstration des Angriffs durch deutsche Sicherheitsforscher). Der grobe Ablauf am Beispiel des USBNinjas: Schließt man ihn an den Rechner, verhält er sich erwartungsgemäß. Das Smartphone bekommt Saft und man kann Daten auf den Rechner übertragen. Jedoch gaukelt der USBNinja dem Rechner auch vor, er wäre eine Tastatur. Und als Nutzer bekommt man das nicht unbedingt mit. Das ist auch noch kein Hack, sondern eine ganz normale Funktion des USB-Standards. Das Gerät sagt dem Rechner “Hallo, ich bin eine Tastatur!” und der Rechner sagt “Na gut!”.

Phase 2 – …befehligte ich dich in meine Cybersphäre!

Die Tastatureingaben werden vom Angreifer vorab in das Gerät programmiert und automatisch ausgeführt. Und so kommt der Angreifer an deine Maschine: Unter Windows wird mit der Tastenkombination “Windows + R” der “Ausführen…”-Dialog geöffnet und dort mit dem entsprechenden Befehl eine beliebige Anwendung gestartet. Und welche Anwendung verleiht einem per Tastatur die größte Macht über den Rechner? Die Kommandozeile! Diese startet man mit “cmd” oder “powershell”. Von hier aus ist vieles möglich. Beispielsweise kann sich der Angreifer eine Verbindung zum Rechner einrichten, um weitere Schritte bequem aus der Ferne durchzuführen, er kann sensible Daten kopieren oder aber den Zugang zu deinem Rechner sperren, um Lösegeld für die Entsperrung zu fordern (Ransomware). Wie gesagt, vieles ist möglich. Ein weiteres Feature des USBNinjas: Dank eingebautem Bluetooth-Chip kann der Angreifer auf den idealen Zeitpunkt warten, um den Angriff zu starten.

Hier eine Demo durch Kevin Mitnick, dem berühmt-berüchtigten Alt-Hacker und Social Engineer (Video auf Englisch):

Kann mir das passieren?

Solche USB-Waffen sind relativ günstig, bzw. einfach herzustellen, haben aber ein ziemlich hohes Schadenspotential. Deren Einsatz ist somit auch für Kleinkriminelle und Gelegenheitshacker lukrativ. Prinzipiell kann also jeder mal Ziel eines solchen Angriffs sein, egal ob man Windows, Mac oder Linux benutzt. Dabei sind verschiedene Angriffswege denkbar:

  • Der Angreifer steckt den USB-Wolf während deiner Abwesenheit an deinen Rechner und nimmt es nach dem Angriff wieder mit (z.B. in der Bibliothek, im Café oder im Großraumbüro)
  • Der Angreifer tauscht dein Ladekabel unbemerkt gegen einen USBNinja aus
  • Du verleihst dein Ladekabel an eine unbekannte (und dummerweise böswillige) Person und bekommst unbemerkt einen USBNinja zurück
  • Du kaufst ein gebrauchtes Ladekabel (oder USB-Stick) und erhältst einen USB-Wolf
  • Du bekommst von einer fremden Person angeblich ein Ladekabel (oder USB-Stick) geschenkt, es ist aber ein USB-Wolf (“Ich habe so viele davon und brauche dieses nicht!”)
  • Der Angreifer lässt einen USB-Wolf auf deinem Schreibtisch oder sonstwo liegen und du denkst, es wäre dein Glückstag

Und viele weitere mehr! Dem Social Engineering sind kaum Grenzen gesetzt.

So wirst Du resistent gegen diesen USB-Hack

Die wirksamste Maßnahme gegen solche Angriffe ist es, fremden USB-Geräten grundsätzlich zu misstrauen und sie zu meiden, denn nach dem Anschließen ist man fast schutzlos. Antivirensoftware bringt definitiv nichts. Gegen diesen USB-Hack hilft am besten, folgende Tipps so vollständig und konsequent wie möglich zu beherzigen. Das funktioniert in der Realität nicht immer, aber wenn du das Schadenspotenzal begriffen hast, wirst du bei USB-Geräten zukünftig aus reiner Intuition vorsichtiger sein:

  • Nicht anschließen: Fremde USB-Ladekabel oder Speichersticks meiden.
  • Bildschirm sperren, wenn du den Rechner an öffentlichen Orten verlässt (dieser Angriff funktioniert bei gesperrtem Bildschirm nicht!).
  • Ohne Admin-Rechte arbeiten: Arbeite an deinem Rechner im Normalfall mit einem normalen Benutzerkonto ohne administrative Rechte.
  • Nicht an Fremde verleihen: Eigene USB-Ladekabel nicht an unbekannte Personen verleihen oder zumindest beim Zurückerhalt darauf achten, ob es wirklich dein Kabel ist (eine unauffällige Markierung kann hierbei helfen).
  • USB-Anschluss im Auge behalten: Achte stets darauf, ob ein fremdes USB-Gerät an deinen Rechner gesteckt wurde. Kleine Speichersticks oder Dongles kann man leicht übersehen.
  • Neu anstatt gebraucht kaufen: USB-Ladekabel oder Speichersticks bevorzugt neu und nicht gebraucht kaufen.
  • Bei merkwürdigen Fensteraktivitäten rausziehen: Achte auf plötzlich erscheinende Fenster und Tastatureingaben, die nicht von dir veranlasst wurden. In diesem Fall Stick/Kabel sofort rausziehen oder mit der Maus aus diesem Fenster rausklicken.

Mit den Worten Kevin Mitnicks:

“You need to stop, look and think before you plug in any device to your computer.”

“Du solltest kurz innehalten, hinschauen und nachdenken, bevor du irgendein Gerät an deinen Computer schließt.”

Fun Facts

  • Die beschriebene Angriffstechnik wird “Keystroke Injection” genannt (schadhafter Code wird per Tastatureingaben “injiziert”).
  • Dieser USB-Hack hat einen Auftritt in der Hackerserie Mr. Robot (Staffel 2, Episode 9).
Tags : hackerSocial EngineeringUSB
Gökhan Bal

The author Gökhan Bal

Enthusiast für menschen- und gesellschaftsdienliche digitale Innovationen. Experte für digitale Sicherheit und technischen Datenschutz. Digitale Sicherheit betrachte ich nicht nur als meine Profession, sondern vielmehr als meine Mission. Für mich dreht sich dabei alles um den Menschen und seine Bedürfnisse.

Leave a Response