BadUSB

Aus IT-Forensik Wiki
Version vom 16. Juli 2022, 15:18 Uhr von St212422 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „BadUSB ist ein Angriff, der eine inhärente Schwachstelle in der USB-Firmware ausnutzt. Angriffe reichen von Logikbomben über Datendiebstahl, Keylogger und Ra…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

BadUSB ist ein Angriff, der eine inhärente Schwachstelle in der USB-Firmware ausnutzt. Angriffe reichen von Logikbomben über Datendiebstahl, Keylogger und Ransomware bis hin zu BIOS-Manipulationen.

Funktionsweise

USB kann mit einer Vielzahl verschiedener Geräte verbunden werden (z.B., Kameras, Tastaturen, Modems, Webcams). Dabei ist es die Aufgabe des USB-Mikrocontroller-Chips, den angeschlossenen Gerätetyp und seine Fähigkeiten zu identifizieren. Hier setzt der BadUSB-Angriff an. Er fügt einem vermeintlich nur einmalig beschreibbaren Speicherbereich zusätzlichen Code hinzu. Auf diese Weise kann das USB-Gerät neu programmiert werden und als Human Interface Device (kurz: HID), wie z.B. Tastatur oder Maus, fungieren. Das simulierte HID wird dann verwendet, um die versteckten Befehle auszuführen.[1] Ein Angriff ist für Antiviren-Software nicht erkennbar und kann nur schwer verhindert werden. [2]

Die Verbreitung ist keineswegs auf Windows beschränkt. Sie funktioniert mit anderen Betriebssystemen analog. Die notwendigen Systeminformationen zur Auswahl der richtigen Infektions-Routine können aus der USB-Kommunikation abgeleitet werden. Systemrechte lassen sich ggf. über die neu geschaffenen Eingabemöglichkeiten direkt am Opfersystem beschaffen.[3] Neben klassischen USB-Massenspeichern können auch andere USB-Geräte, wie z.B. Mäuse, Kameras, Ventilatoren oder weitere sog. Gadgets, betroffen sein.[4]

Historie

Die Schwachstelle in der USB-Kommunikation ist bereits seit mehr als 10 Jahren bekannt. Adrian Crenshaw warnte 2011 vor der ersten Generation von manipulierten USB Geräten.[5] Die Gefahr ging hier von dedizierten Hardwarelösungen wie Rubber Ducky und Teeny aus. Aber bereits mit der zweiten Generation war es möglich, den Angriff ausschliesslich über Softwareanpassungen zu initiieren. Einer Gruppe des Security Research Labs rund um Karsten Nohl ist es 2014 gelungen, die Angriffsmethode auf kommerzielle USB-Sticks zu portieren.[6] Caudill und Wilson machten den notwendigen Code sogar für jedermann zugänglich.[7] Gleichzeitig entwickelten sich die dedizierten Hardwarelösungen weiter. Über das Projekt TURNIPSCHOOL hielt mit "Short Range RF" zum ersten Mal Funktechnologie Einzug in die Geräte. Seit der dritten Generation verfügen BadUSB Sticks wie WHID Injector oder P4wnP1 über eine WiFi-Verbindung, die eine unmittelbare Fernsteuerung zulässt. Der WHID Elite verfügt zusätzlich sogar über ein Mikrofon und NRF-Modul. Damit lassen sich Umgebungsgeräusche aufnehmen und der Angriff - die Verwendung von Funktastaturen und -mäusen vorausgesetzt - auf andere Geräte ausweiten.[8]


Aktuelle Bedrohungslage

Die generelle Bedrohungslage ist ambivalent. Auf der einen Seite geht man aufgrund der notwendigen Individualisierung von Firmware und Angriffsbefehlen nur von einer geringen Verbreitung aus. Auf der anderen Seite sind Angriffe nicht nur aufgrund ihrer Seltenheit nur schwer identifizierbar und dadurch gleichermaßen effektiv wie gefährlich.[9]

Eine der ersten bekannten, organisierten Attacken ereignete sich 2018. Hacker installierten billige Laptops, USB-Geräte und Raspberry PI Boards im lokalen Netzwerk an unterschiedlichen Standorten von acht osteuropäischen Banken. Durch die Nutzung der dadurch entstandenen Remote-Zugänge sowie unter Verwendung von Ransomware konnten sie mehrere zehn Millionen US Dollar erbeuten.[10]

Ein weiterer Fall ereignete sich 2020 in den USA. Hacker versendeten USB-Sticks zusammen mit vermeintlichen Gutscheinkarten für die Elektronikkette BestBuy. In Wirklichkeit handelte es sich aber um BadUSB-Sticks, die über eine Tastatursimulation automatisiert Powershell-Skripte ausführte. Über die Powershell-Befehle wurde weiterer Schadcode aus dem Internet nachgeladen und ein Ransomware-Angriff durchgeführt.[11]

Der letzte größere Angriff liegt nur wenige Monate zurück. Die Hackergruppe FIN7 startete einen Angriff auf US-Unternehmen in der Transport-, Versicherungs- und Verteidigungsindustrie. Das FBI warnte öffentlich vor der Gefahr von Ransomware in Verbindung mit USB-Sticks, nachdem entsprechende Pakete als Geschenkboxen oder Covid-19-Informationsmaterial gekennzeichnet an die Unternehmen versendet wurden.[12]

BadUSB ist somit nicht mehr nur eine theoretische Gefahr und erfreut sich immer größerer Beliebtheit, wie nicht zuletzt die BadUSB-Attacke in der US-Serie Mr. Robot (2016) zeigte.

Einzelnachweise

  1. Stabsstelle Informationssicherheit. BadUSB. 2022. URL: https://www.itsb.ruhr-uni-bochum.de/themen/badusb.html.
  2. Jürgen Schmidt. BadUSB: Wenn USB-Geräte böse werden. 2014. url: https://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html.
  3. Jürgen Schmidt. BadUSB: Wenn USB-Geräte böse werden. 2014. url: https://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html.
  4. Luca Bongiorni. How To Bring HID Attacks To The Next Level. url: https://hackinparis.com/data/slides/2018/talks/HIP2018_Luca_Bongiorni_ How_To_Bring_HID_Attacks_To_The_Next_Level.pdf. Juni 2018.
  5. Adrian Crenshaw. Plug and Prey: Malicious USB Devices. url: http://www.irongeek.com/downloads/Malicious%20USB%20Devices.pdf. Juni 2011.
  6. Karsten Nohl, Sascha Krißler und Jakob Lell. BadUSB - On accessories that turn evil. url: https://radetskiy.files.wordpress.com/2014/08/srlabs-badusb-blackhat-v1.pdf. Okt. 2016.
  7. Andy Greenberg. The Unpatchable Malware That Infects USBs Is Now on the Loose. 2014. url: https://www.wired.com/2014/10/code-published-for-unfixable-usb-attack/.
  8. Luca Bongiorni. How To Bring HID Attacks To The Next Level. url: https://hackinparis.com/data/slides/2018/talks/HIP2018_Luca_Bongiorni_How_To_Bring_HID_Attacks_To_The_Next_Level.pdf. Juni 2018.
  9. Michael Hill. Was ist BadUSB? 2022. url: https://www.csoonline.com/de/a/was-ist-badusb,3673729.
  10. Catalin Cimpanu. Eastern European banks lose tens of millions of dollars in Hollywood-style hacks. 2018. url: https://www.zdnet.com/article/eastern-european-banks-lose-tens-of-millions-of-dollars-in-hollywood-style-hacks.
  11. Catalin Cimpanu. Rare BadUSB attack detected in the wild against US hos- pitality provider. 2020. url: https://www.zdnet.com/article/first-raspberry-pi-powered-mini-satellite-finishes-record-flight.
  12. Julia Mutzbauer. Cyberkriminelle verschicken USB-Sticks mit Ransomwa- re. 2022. url: https://www.csoonline.com/de/a/cyberkriminelle-verschicken-usb-sticks-mit-ransomware,3673705.