Dipl.-Inform. Carsten Eilers

Die AutoRun-Funktion zum automatischen Starten von Programmen beim Anschließen eines Massenspeichers, die beim Podslurping missbraucht wird, hat schon vielen Würmern bei der Verbreitung geholfen. Besonders negativ ist in der Hinsicht der RPC-Wurm Conficker aufgefallen: Der hebelte die bereits verbesserte Schutzfunktion von Windows Vista, das die AutoRun-Programme erst nach einer Nachfrage startet, aus, indem ein gefälschtes Icon den Benutzer denken ließ, er würde nur einen Ordner öffnen. In Windows 7 hat Microsoft die AutoRun-Funktion gegenüber den Vorgängerversionen geändert: Sie funktioniert nur noch für optische Laufwerke, so dass sie nicht mehr durch Schadsoftware ausgenutzt werden kann, um sich selbst von z.B. USB-Sticks zu starten.

Änderung an AutoRun beeindruckt Würmer nur anfangs

Microsoft hatte das Verhalten von Windows 7 bereits 2009 für Windows XP, Server 2003, Vista und Server 2008 rückportiert, diese Lösung aber nur über das Download Center bereit gestellt. So sollte Entwicklern, die die AutoRun-Funktion z.B. zur Installation von Software verwendeten, Zeit um Umstieg gegeben werden. Im Februar 2011 wurde der zugehörige Patch über Windows Update allgemein bereit gestellt. Bereits im Juni war erkennbar, dass damit die Verbreitung von USB-Würmern stark eingeschränkt wurde. Inzwischen ist aber z.B. Zeus dazu übergegangen, sich auch über USB-Massenspeicher und die AutoRun-Funktion zu verbreiten, und das mit Erfolg. Anscheinend gibt es noch (zu) viele Rechner, auf denen das Update aus dem Februar nicht installiert wurde. Was u.U. auch dran liegen könnte, dass es ein "non-security update" ist.

Schädling ab Werk

Außer über infizierte USB-Sticks und andere Massenspeicher gelangen USB-Würmer und andere Schädlinge auch immer wieder über andere infizierte Hardware ins lokale Netz. In der Vergangenheit wurden bereits z.B. iPods, Navigationsgeräte, MP3-Player, Digitale Bilderrahmen oder Digital-Kameras ab Werk mit USB-Würmern ausgeliefert, und prinzipiell ist jedes mit einem Speicher ausgestattete USB-Gerät ein potentielles Einfallstor für Schadsoftware. Zumindest dieses Einfallstor wird durch die geänderte AutoRun-Funktion geschlossen.

Geändertes AutoRun kein Hindernis für gezielte Angriffe

Eins sollte man nicht vergessen: Die AutoRun-Funktion funktioniert weiterhin auf CDs und DVDs - und allen Geräten, die sich als solche ausgeben. Ein gezielter Angriff mit einem entsprechend präparierten USB-Gerät ist also weiterhin möglich - das Gerät muss nur behaupten, es sei eine CD oder DVD, und schon startet Windows das angegebene Programm. Microsoft nennt speziell die U3-USB-Sticks als Beispiel:

"It is worth noting that some smart USB flash drives can pose as a CD/DVD drive instead of standard ones (see http://en.wikipedia.org/wiki/U3 for an example). In this specific scenario, the operating system will treat the USB drive as if it is a CD/DVD because the type of the device is determined at the hardware level."

Eine Möglichkeit, die virtuelle CD eines U3-Sticks zu manipulieren, wird im schon oben verlinkten Proof of Concept beschrieben, eine weitere ist das u3-tool.

Bösartige Hardware

Kommen wir nun zu Angriffen durch "bösartige Hardware" - Hardware, die für Angriffe hergestellt oder präpariert wurde und nicht nur wie im Fall der USB-Würmer mehr oder weniger zufällig dafür missbraucht wird. Darüber schrieb ich 2005

"Ein USB-Gerät könnte außerdem außer der Funktion als Massenspeicher weitere, versteckte Funktionen enthalten. Z.B. könnte es als Tastatur agieren und beim Anschluss an einen Rechner automatisch Angriffe durchführen. Da man einem entsprechenden Gerät diese Funktion nicht ansieht, könnte eine explizit erlaubte externe Festplatte, mit der ein Außendienstmitarbeiter Daten transportiert, beim Anschluss an einen Rechner zu einem Angriff führen."

Tastatur oder nicht Tastatur, das ist hier die Frage...

Spezialhardware, die sich als Tastatur ausgibt, wurde schon seit längerem für Angriffe genutzt. So lässt sich z.B. das Teensy USB Development Board durch das Social-Engineer Framework in Verbindung mit dem Metasploit Framework so konfigurieren, dass es von einem Rechner als Tastatur (Human Interface Device, HID) erkannt wird und dann Code einschleusen kann.

Auf der Sicherheitskonferenz Black Hat DC 2011 haben Angelos Stavrou und Zhaohui Wang vorgeführt, wie so etwas auch ohne spezielle Hardware funktioniert: Der manipulierte USB-Stack eines Android-Smartphones wird beim Anschluss an einen Rechner als Tastatur erkannt und führt dann Angriffe durch, z.B. um einen Reboot des Rechners auszulösen (Material).

Ein USB-Stick, der sich beim Anschluss an den Rechner als Tastatur ausgibt und konfigurierte Aktionen ausführt, ist USB Rubber Ducky. Die "Tastatur" ist System-unabhängig und wird über Skripte gesteuert, eine kleine Auswahl wurde im Projekt-Wiki gesammelt. Verpackt in eine Gummi-Ente fällt der Stick natürlich auf, aber ein normaler USB-Stick kann schnell mal quasi im Vorbeigehen in einen freien USB-Port gesteckt werden. Da wird aus dem Podslurping dann wohl bald das Duckslurping.

Im Juni 2011 beschrieb der Sicherheitsdienstleister Netragard einen Angriff mit einer präparierten Computer-Maus: In die Maus war ein Teensy USB Development Board eingebaut, der eine Tastatur simuliert und 60 Sekunden nach Inbetriebnahme der Maus Schadsoftware aus einem ebenfalls eingebauten USB-Stick in den Rechner einschleust.

Eine weitere Kategorie bösartiger USB-Hardware sind Keylogger, die zwischen Tastatur und Rechner gesteckt werden und alle Tastendrücke protokollieren. Im Februar wurden in öffentlichen Bibliotheken im englischen Manchester solche Keylogger gefunden. Keylogger fallen kaum auf: Sie sind nur ca. doppelt so gross wie ein USB-Stecker, da sie im Prinzip nur aus USB-Stecker und -Buchse und miniaturisierter Hardware bestehen. Da der USB-Stecker ja im Rechner verschwindet, ragt nur die USB-Buchse heraus, in der dann wiederum das original Tastaturkabel steckt. Einem flüchtigen Beobachter wird kaum auffallen, dass der "Stecker" des Tastaturkabels etwas länger als üblich ist. Wenn es denn überhaupt flüchtige Beobachter gibt - wie oft sieht man sich schon die Rückseite eines Rechners an? Und genau da steckt ja i.A. das Tastaturkabel drin. Und selbst wenn die Tastatur auf der Vorderseite des Rechners angeschlossen ist - wer achtet schon darauf, wie lang der Stecker des Kabels ist?

Wobei im Fall von Apple-Tastaturen nicht mal ein externe Keylogger nötig ist, wie K. Chen auf der Sicherheitskonferenz Black Hat USA 2009 gezeigt hat: Eine manipulierte Firmware sorgt dafür, dass der frei programmierbare Microcontroller in der Tastatur Tastendrücke speichert. Allerdings hat die Speicherkapazität Grenzen: Die Tastatur verfügt nur über 8 KByte Flash-Speicher und 256 Byte RAM (Material). Außer als Keylogger kann der Microcontroller natürlich auch für andere Zwecke missbraucht werden.

In der nächsten Folge werden weitere Gefahren durch USB-Geräte beschrieben.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Gefährliche Peripherie: Firewire

Gefährliche Peripherie: USB

Gefährliche Peripherie: USB - Stick weg, Daten weg

Gefährliche Peripherie: USB - Weitere Angriffe und Gegenmaßnahmen

Gefährliche Peripherie: Drucker und Co.

Gefährliche Peripherie: Thunderbolt

Gefährliche Peripherie: USB - Bösartige Ladegeräte

Gefährliche Peripherie: USB - Zweckentfremdete Anschlüsse und mehr

BadUSB - Ein Angriff, der dringend ernst genommen werden sollte