Dipl.-Inform. Carsten Eilers

Auf der "Hack in the Box" Amsterdam 2016 hat Seunghun Han demonstriert, wie einfach es ist, ein bösartiges USB-Gerät zu präparieren: "IRON-HID: Create Your Own Bad USB Device". Das HID (Human Interface Device) ist dabei nur eine Möglichkeit, über ein USB-Gerät Schaden anzurichten. Ein USB-Stick, der als Tastatur agiert und den Rechner kompromittiert ist ja nichts neues. Und BadUSB hat gezeigt, das potentiell jedes USB-Gerät manipuliert sein kann. Bzw. genauer: Eine manipulierte Firmware enthalten kann.

Seunghun Hans IRON-HID dient dazu, Systeme auf die Anfälligkeit für USB-basierte Angriffe zu testen und besteht aus mehreren Komponenten:

• Dem auf Adruino Mega oder Teensy++ 2.0 basierendem USB-Device, dass über USB mit dem zu testenden Gerät verbunden wird.
• Der Firmware auf diesem Device, die die Angriffe durchführt und sich als Tastatur oder USB-Massenspeicher (CD-ROM) ausgeben kann.
• Den Testprogrammen, genannt "Test Agents", die auf dem angegriffenen Gerät installiert werden.
• Dem IRON-HID Commander, einer Smartphone-App, die drahtlos mit dem USB-Device kommuniziert und über die die Tests gesteuert werden.

Die Firmware kann einen Kommunikationskanal zwischen Test Agent und IRON-HID Commander aufbauen, über den der Tester den eingeschleusten Code steuern kann. Der Test Agent kann Befehle ausführen, Bildschirmfotos erstellen und Dateien übertragen.

Das USB-Device kann z.B. in ein mobiles Ladegerät (also eine Powerbank) eingebaut werden, um zum Laden angeschlossene Geräte anzugreifen. Ein ebenfalls seit langem bekannter Angriff. Der sich bisher allerdings gegen Smartphones richtete, die sich mit neuem Strom versorgen wollten. Seunghun Hans Angriff kann auch gegen den Rechner gerichtet werden, der das Ladegerät auflädt. Was es auch schon gab, allerdings in Form einer E-Zigarette, die beim Aufladen am PC diesen mit Schadsoftware infiziert.

Um die USB-Host-Funktion des Smartphones zu aktivieren wird ein USB OTG (On-The-Go) Adapter benötigt. Der würde in einer Verbindung zwischen Smartphone und Powerbank natürlich auffallen, weshalb Seunghun Han ein normales USB-Kabel so präpariert hat, dass es als Adapter erkannt wird. Wird darüber ein Smartphone mit dem Ladegerät verbunden, kann IRON-HID z.B. die PIN des Smartphones knacken, wenn es keinen Schutz vor Brute-Force-Angriffen gibt (siehe dieses YouTube-Video). Ebenso ist es mögliche, Befehle des versteckten Menüs auszuführen (siehe dieses YouTube-Video).

Ein weiterer Demo-Angriff richtete sich gegen ein Point-of-Sale (PoS) System (das auf einem normalen Rechner basiert), bei dem das angeschlossene Ladegerät über die AutoRun.inf der vorgetäuschten CD-ROM Code einschleust, der dann während der Bezahlvorgänge die Kreditkartendaten ausspähen konnte (siehe dieses YouTube-Video).

Werden gefundene USB-Sticks in den Rechner gesteckt?

Angriffe über präparierte USB-Sticks sind nur dann möglich, wenn der Angreifer den USB-Stick auch in den anzugreifenden Rechner stecken kann. Ist ihm das nicht direkt möglich, wird der USB-Stick jemanden untergeschoben, der es kann. Z.B., indem der Stick da "verloren" wird, wo ihn das gewünschte Opfer findet. So weit, so gut. Die Frage ist nur: Steckt wirklich jemand einen gefundenen USB-Stick in seinen Rechner? Mit ziemlicher Sicherheit werden das einige Benutzer machen, aber wie viele? D.h., wie gross ist die Erfolgswahrscheinlichkeit so eines Angriff? Das wollte Elie Bursztein auch wissen, und seine Forschungsergebnisse hat er Anfang August auf der Black Hat USA 2016 vorgestellt: "Does Dropping USB Drives in Parking Lots and Other Places Really Work?".

Auf dem Campus der University of Illinois wurden 297 präparierte USB-Sticks "verlorenen". Beim Öffnen der darauf gespeicherten HTML-Datei wurde ein Request an Elie Burszteins Server geschickt, so dass er erkennen konnte, wie viele der Sticks von ihren Findern in ihre Rechner gesteckt wurden.

Den Ablauf eines Angriffs, bei dem eine Remote zugängliche Shell geöffnet wird, zeigt dieses Video auf YouTube, dazu gibt es auch ein Blog-Posting vom Elie Bursztein. Darin beschreibt er auch (ebenso wie in der Präsentation), wie er einen realistischen USB-Stick gebastelt hat, den das Opfer nicht so leicht von einem echten unterscheiden kann. Eine Payload für einen Teensy-basierten Test-Stick hat Elie Bursztein auf GitHub veröffentlicht.

• 290 der 297 USB-Sticks wurden von jemanden mitgenommen (98%).
• 135 der 297 USB-Sticks telefonierten nach Hause (45%)
• 54 der 297 USB-Sticks (die auf dem Stick als Teil des Experiments erkennbar waren) wurden zurückgegeben (19%)
• 62 Personen beantworteten eine mit dem Experiment verbundene Umfrage (21%)

Weitere interessante Ergebnisse des Experiments finden Sie in der zugehörigen Präsentation (PDF) und in einem Blog-Posting von Elie Bursztein.

In der nächsten Folge werden weitere Angriffe über USB vorgestellt.

Carsten Eilers