Gefährliche Peripherie: USB
Auch über Angriffe über den USB-Port habe ich bereits 2005 in About Security (siehe hier auf archive.org) etwas geschrieben. Damals war das Podslurping ein relativ neuer Angriff: Wenn ein präparierter USB-Massenspeicher, z.B. ein iPod, an einen Rechner angeschlossen wird, wird über die AutoRun-Funktion ein darauf installiertes Programm gestartet und kopiert für den Angreifer interessante Dateien von der Festplatte des Rechners auf den eigenen Massenspeicher (Proof of Concept).
Das leidige Thema AutoRun
Die AutoRun-Funktion zum automatischen Starten von Programmen beim Anschließen eines Massenspeichers, die beim Podslurping missbraucht wird, hat schon vielen Würmern bei der Verbreitung geholfen. Besonders negativ ist in der Hinsicht der RPC-Wurm Conficker aufgefallen: Der hebelte die bereits verbesserte Schutzfunktion von Windows Vista, das die AutoRun-Programme erst nach einer Nachfrage startet, aus, indem ein gefälschtes Icon den Benutzer denken ließ, er würde nur einen Ordner öffnen. In Windows 7 hat Microsoft die AutoRun-Funktion gegenüber den Vorgängerversionen geändert: Sie funktioniert nur noch für optische Laufwerke, so dass sie nicht mehr durch Schadsoftware ausgenutzt werden kann, um sich selbst von z.B. USB-Sticks zu starten.
Änderung an AutoRun beeindruckt Würmer nur anfangs
Microsoft hatte das Verhalten von Windows 7 bereits 2009 für Windows XP, Server 2003, Vista und Server 2008 rückportiert, diese Lösung aber nur über das Download Center bereit gestellt. So sollte Entwicklern, die die AutoRun-Funktion z.B. zur Installation von Software verwendeten, Zeit um Umstieg gegeben werden. Im Februar 2011 wurde der zugehörige Patch über Windows Update allgemein bereit gestellt. Bereits im Juni war erkennbar, dass damit die Verbreitung von USB-Würmern stark eingeschränkt wurde. Inzwischen ist aber z.B. Zeus dazu übergegangen, sich auch über USB-Massenspeicher und die AutoRun-Funktion zu verbreiten, und das mit Erfolg. Anscheinend gibt es noch (zu) viele Rechner, auf denen das Update aus dem Februar nicht installiert wurde. Was u.U. auch dran liegen könnte, dass es ein "non-security update" ist.
Schädling ab Werk
Außer über infizierte USB-Sticks und andere Massenspeicher gelangen USB-Würmer und andere Schädlinge auch immer wieder über andere infizierte Hardware ins lokale Netz. In der Vergangenheit wurden bereits z.B. iPods, Navigationsgeräte, MP3-Player, Digitale Bilderrahmen oder Digital-Kameras ab Werk mit USB-Würmern ausgeliefert, und prinzipiell ist jedes mit einem Speicher ausgestattete USB-Gerät ein potentielles Einfallstor für Schadsoftware. Zumindest dieses Einfallstor wird durch die geänderte AutoRun-Funktion geschlossen.
Geändertes AutoRun kein Hindernis für gezielte Angriffe
Eins sollte man nicht vergessen: Die AutoRun-Funktion funktioniert weiterhin auf CDs und DVDs - und allen Geräten, die sich als solche ausgeben. Ein gezielter Angriff mit einem entsprechend präparierten USB-Gerät ist also weiterhin möglich - das Gerät muss nur behaupten, es sei eine CD oder DVD, und schon startet Windows das angegebene Programm. Microsoft nennt speziell die U3-USB-Sticks als Beispiel:
"It is worth noting that some smart USB flash drives can pose as a CD/DVD drive instead of standard ones (see http://en.wikipedia.org/wiki/U3 for an example). In this specific scenario, the operating system will treat the USB drive as if it is a CD/DVD because the type of the device is determined at the hardware level."
Eine Möglichkeit, die virtuelle CD eines U3-Sticks zu manipulieren, wird im schon oben verlinkten Proof of Concept beschrieben, eine weitere ist das u3-tool.
Bösartige Hardware
Kommen wir nun zu Angriffen durch "bösartige Hardware" - Hardware, die für Angriffe hergestellt oder präpariert wurde und nicht nur wie im Fall der USB-Würmer mehr oder weniger zufällig dafür missbraucht wird. Darüber schrieb ich 2005
"Ein USB-Gerät könnte außerdem außer der Funktion als Massenspeicher weitere, versteckte Funktionen enthalten. Z.B. könnte es als Tastatur agieren und beim Anschluss an einen Rechner automatisch Angriffe durchführen. Da man einem entsprechenden Gerät diese Funktion nicht ansieht, könnte eine explizit erlaubte externe Festplatte, mit der ein Außendienstmitarbeiter Daten transportiert, beim Anschluss an einen Rechner zu einem Angriff führen."
Tastatur oder nicht Tastatur, das ist hier die Frage...
Spezialhardware, die sich als Tastatur ausgibt, wurde schon seit längerem für Angriffe genutzt. So lässt sich z.B. das Teensy USB Development Board durch das Social-Engineer Framework in Verbindung mit dem Metasploit Framework so konfigurieren, dass es von einem Rechner als Tastatur (Human Interface Device, HID) erkannt wird und dann Code einschleusen kann.
Auf der Sicherheitskonferenz Black Hat DC 2011 haben Angelos Stavrou und Zhaohui Wang vorgeführt, wie so etwas auch ohne spezielle Hardware funktioniert: Der manipulierte USB-Stack eines Android-Smartphones wird beim Anschluss an einen Rechner als Tastatur erkannt und führt dann Angriffe durch, z.B. um einen Reboot des Rechners auszulösen (Material).
Ein USB-Stick, der sich beim Anschluss an den Rechner als Tastatur ausgibt und konfigurierte Aktionen ausführt, ist USB Rubber Ducky. Die "Tastatur" ist System-unabhängig und wird über Skripte gesteuert, eine kleine Auswahl wurde im Projekt-Wiki gesammelt. Verpackt in eine Gummi-Ente fällt der Stick natürlich auf, aber ein normaler USB-Stick kann schnell mal quasi im Vorbeigehen in einen freien USB-Port gesteckt werden. Da wird aus dem Podslurping dann wohl bald das Duckslurping.
Im Juni 2011 beschrieb der Sicherheitsdienstleister Netragard einen Angriff mit einer präparierten Computer-Maus: In die Maus war ein Teensy USB Development Board eingebaut, der eine Tastatur simuliert und 60 Sekunden nach Inbetriebnahme der Maus Schadsoftware aus einem ebenfalls eingebauten USB-Stick in den Rechner einschleust.
Eine weitere Kategorie bösartiger USB-Hardware sind Keylogger, die zwischen Tastatur und Rechner gesteckt werden und alle Tastendrücke protokollieren. Im Februar wurden in öffentlichen Bibliotheken im englischen Manchester solche Keylogger gefunden. Keylogger fallen kaum auf: Sie sind nur ca. doppelt so gross wie ein USB-Stecker, da sie im Prinzip nur aus USB-Stecker und -Buchse und miniaturisierter Hardware bestehen. Da der USB-Stecker ja im Rechner verschwindet, ragt nur die USB-Buchse heraus, in der dann wiederum das original Tastaturkabel steckt. Einem flüchtigen Beobachter wird kaum auffallen, dass der "Stecker" des Tastaturkabels etwas länger als üblich ist. Wenn es denn überhaupt flüchtige Beobachter gibt - wie oft sieht man sich schon die Rückseite eines Rechners an? Und genau da steckt ja i.A. das Tastaturkabel drin. Und selbst wenn die Tastatur auf der Vorderseite des Rechners angeschlossen ist - wer achtet schon darauf, wie lang der Stecker des Kabels ist?
Wobei im Fall von Apple-Tastaturen nicht mal ein externe Keylogger nötig ist, wie K. Chen auf der Sicherheitskonferenz Black Hat USA 2009 gezeigt hat: Eine manipulierte Firmware sorgt dafür, dass der frei programmierbare Microcontroller in der Tastatur Tastendrücke speichert. Allerdings hat die Speicherkapazität Grenzen: Die Tastatur verfügt nur über 8 KByte Flash-Speicher und 256 Byte RAM (Material). Außer als Keylogger kann der Microcontroller natürlich auch für andere Zwecke missbraucht werden.
In der nächsten Folge werden weitere Gefahren durch USB-Geräte beschrieben.
Übersicht über alle Artikel zum Thema
- Gefährliche Peripherie: Firewire
- Gefährliche Peripherie: USB
- Gefährliche Peripherie: USB - Stick weg, Daten weg
- Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen
- Gefährliche Peripherie: Drucker und Co.
- Gefährliche Peripherie: Thunderbolt
- Gefährliche Peripherie: USB - Bösartige Ladegeräte
- Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr
- BadUSB - Ein Angriff, der dringend ernst genommen werden sollte
Trackbacks
Dipl.-Inform. Carsten Eilers am : Ist BadBIOS möglich? Teil 2: USB-Manipulationen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein Worst Case Szenario: Wenn über E-Zigaretten die Passwortmanager des IoT ausgespäht werden
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über Geräte, die angeblich nur etwas Strom über USB möchten
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : USB-Sicherheit - Ein Überblick
Vorschau anzeigen
www.win-10-forum.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : USB-Sicherheit 2016 - Ein Update
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 12.17 - Angriffsvektor Bluetooth
Vorschau anzeigen