Suche
Close this search box.

Wenn USB-Geräte zur Cyber-Waffe werden

Für industrielle Steuerungssysteme sind USB-Geräte die Hauptquelle von Malware.“ Dieses Statement gab Luca Bongiorni von Bentley Systems während seines Vortrags auf dem #TheSAS2019. Die meisten Leute, die in irgendeiner Weise mit Sicherheit zu tun haben, kennen klassische Geschichten über Flash-Laufwerke, die irgendwem „versehentlich“ auf einem Parkplatz aus der Tasche gefallen sind, wahrscheinlich zu genüge. Aber in unserer Branche ist diese Geschichte einfach zu illustrativ, um sie nicht immer wieder zu erzählen.

Advertisement

Bei einer anderen – realen – Story über USB-Flashlaufwerke war der Protagonist der Mitarbeiter einer Industrieanlage, der sich den Spielfilm La La Land während seiner Mittagspause auf einen USB-Stick lud. Und das war der Beginn einer Geschichte, die mit der Infektion des Air-Gap-Systems eines Kernkraftwerks endete; Eine Geschichte, die sich (wie so oft) in das Genre „vermeidbare Infektion kritischer Infrastrukturen“ einordnen lässt.

Leider vergessen viele, dass USB-Geräte nicht ausschließlich auf Flashlaufwerke beschränkt sind. Human Interface Devices (HIDs) wie Tastaturen und Mäuse, Ladekabel für Smartphones und sogar Dinge wie Plasmabälle und Thermobecher können manipuliert werden, um industrielle Steuerungssysteme anzuvisieren.

Advertisement

Eine kurze Geschichte existierender USB-Waffen

Ungeachtet der Vergesslichkeit der Menschen, sind als Waffen eingesetzte USB-Geräte definitiv nichts Neues. Die ersten Geräte dieser Art wurden bereits im Jahr 2010 verzeichnet. Basierend auf einem kleinen Entwicklungsboard namens Teensy, ausgestattet mit einem USB-Anschluss, konnten sie als HIDs fungieren und beispielsweise Tastatureingaben an einen PC senden. Hacker stellten schnell fest, dass die Geräte zu Penetrationstestzwecken dienten, und entwickelten daraufhin eine ähnliche Version, die darauf ausgerichtet war, neue Nutzer zu erstellen, Backdoor-liefernde Programme auszuführen oder Geräte mit Malware zu infizieren.

Advertisement

Die erste Version dieser Teensy-Modifikation war unter dem Namen PHUKD bekannt. Es folgte Kautilya, eine Variante, die mit den bekannteren Arduino-Boards kompatibel war. Danach kam Rubberducky – dank der Serie Mr. Robot der vielleicht bekannteste USB-Tastatur-Emulator, der auf den ersten Blick wie ein ganz gewöhnlicher USB-Stick erscheint. Bei Angriffen auf Geldautomatenwurde ein leistungsfähigeres Gerät namens Bash Bunny verwendet.

Es dauerte nicht lange, bis der Erfinder von PHUKD auf eine neue Idee kam und eine trojanisierte Maus mit integriertem Pentesting-Board entwickelte, die nicht nur wie eine normale Maus funktionierte, sondern darüber hinaus auch alle PHUKD-Fähigkeiten besaß. Unter Social-Engineering-Gesichtspunkten ist die Verwendung echter HIDs für die Systempenetration möglicherweise noch einfacher als der Gebrauch eines USB-Sticks, da selbst Personen, die keinenfremden USB-Stick an ihren PC anschließen würden, normalerweise keine Bedenken bei Tastaturen oder Mäusen haben.

Die zweite Generation der als Waffen eingesetzten USB-Geräte wurde in den Jahren 2014 und 2015 ins Leben gerufen; zu ihnen gehörten auch die berüchtigten BadUSB-basierten Geräte. Erwähnenswert sind auch TURNIPSCHOOL und Cottonmouth, die angeblich von der US-amerikanischen National Security Agency (NSA) entwickelt worden waren: bei ihnen handelte es sich um Geräte, die so klein waren, dass sie in ein USB-Kabel integriert werden konnten, um Daten von Computern (einschließlich Computer ohne Netzwerkverbindung) abzufangen.

Aktueller Stand schädlicher USB-Geräte

Die dritte Generation der USB-Pentesting-Tools bringt diese auf ein völlig neues Niveau. Der sogenannte WHID Injector ist beispielsweise ein solches Tool; hierbei handelt es sich im Grunde genommen um einen zweiten Rubberducky mit WLAN-Verbindung, die es Hackern erlaubt, das Tool fernzusteuern, was ihnen mehr Flexibilität und die Möglichkeit, mit verschiedenen Betriebssystemen zu arbeiten, bietet. Ein weiteres Tool der dritten Generation ist P4wnP1, das auf Raspberry Pi basiert und, abgesehen von einigen zusätzlichen Features, Bash Bunny sehr ähnlich ist.

Und natürlich sind sowohl WHID Injector als auch Bash Bunny klein genug, um in eine Tastatur oder Maus eingebettet zu werden. Das folgende Video zeigt einen Laptop, der mit einer trojanisierten Tastatur verbunden ist, die es einem Remote-Angreifer erlaubt, beliebige Befehle und Apps auszuführen.

 Eingebettetes Video

☎️Luca Bongiorni☎️@LucaBongiorni   117

 Kleine USB-Geräte wie die oben genannten können sogar so programmiert werden, dass sie wie ein bestimmtes HID-Modell wirken, um so spezifische Sicherheitsmaßnahmen von Unternehmen zu umgehen, die ausschließlich Mäuse und Tastaturen bestimmter Hersteller akzeptieren. Tools wie WHID Injector können zudem mit einem Mikrofon ausgestattet werden, um Personen einer bestimmten Einrichtung auszuspionieren. Und was noch viel schlimmer ist: ein einziges dieser Geräte reicht aus, um das gesamte Netzwerk zu gefährden, wenn dieses nicht angemessen segmentiert ist.

So schützen Sie Systeme vor schädlichen USB-Geräten

Trojanisierte Mäuse und Tastaturen, ebenso wie manipulierte Kabel, sind ernstzunehmende Bedrohungen, mit denen selbst Air-Gap-Systeme gefährdet werden können. Heutzutage können die erforderlichen Tools für derartige Angriffe kostengünstig erworben und programmiert werden, ohne die Notwendigkeit über ausgereifte Programmierkenntnisse zu verfügen; behalten Sie solche Bedrohungen also immer im Hinterkopf.

 

Um kritische Infrastrukturen vor derartigen Bedrohungen zu schützen, ist der Einsatz eines mehrschichtigen Ansatzes empfehlenswert:

  • Gewährleisten Sie zunächst die physische Sicherheit Ihres Unternehmens, sodass unautorisiertes Personal keine Chance hat, dubiose USB-Geräte an industrielle Steuerungssysteme anschließen kann. Blockieren Sie zudem ungenutzte USB-Anschlüsse auf solchen Systemen und verhindern Sie, dass bereits installierte HIDs entfernt werden.
  • Schulen Sie Ihre Mitarbeiter angemessen, damit sie sich den verschiedenen Arten von Bedrohungen bewusst sind; dazu gehören auch als Waffen eingesetzte USB-Geräte.
  • Segmentieren Sie Netzwerke ordnungsgemäß und verwalten Sie Zugriffsrechte, um zu verhindern, dass Angreifer auf Systeme zugreifen können, die zur Steuerung kritischer Infrastrukturen verwendet werden.
  • Schützen Sie jedes System mit Sicherheitslösungen, die dazu in der Lage sind jegliche Bedrohugsarten zu erkennen. Die Technologie unserer Lösung Kaspersky Endpoint Securityautorisiert keine HIDs, es sei denn, der Nutzer gibt über ein bereits aurotisiertes HID einen spezifischen Code ein.

Quelle: Kaspersky Blog https://www.kaspersky.de/blog/weaponized-usb-devices/19067/
Author: Alex Perekalin

Bewerten Sie diesen Beitrag:
[Gesamt: 1 Durchschnitt: 5]
Advertisement

Share:

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
Print

Das könnte Sie auch interessieren:

Kaspersky Labs

Kaspersky Endpoint Security 11.9 veröffentlicht

Die neue Kaspersky Endpoint Security 11.9 wurde bereits im April veröffentlicht. In der aktuellen Version sind ein paar Verbesserungen und Änderungen der Software vorgenommen worden. Hier ein kleiner Überblick über die neuen Funtkionen: Kaspersky Endpoint Security 11.9 Kaspersky Endpoint Security 11.9.0 für Windows bietet folgende Funktionen und Verbesserungen: Jetzt können Sie ein Dienstkonto für den Authentifizierungsagenten erstellen, wenn Sie die Kaspersky-Festplattenverschlüsselung verwenden. Das Dienstkonto wird beispielsweise benötigt, um Zugriff auf den Computer zu erhalten, wenn der Benutzer das Kennwort vergisst. Sie können das Dienstkonto auch als Reservekonto verwenden. Das Verteilungspaket für Kaspersky Endpoint Agent ist nicht mehr Teil des Verteilungskits der Anwendung. Zur Unterstützung der „Detection and Response“-Lösungen können Sie den integrierten Agenten von Kaspersky Endpoint Security verwenden. Falls erforderlich, können Sie das Verteilungspaket für Kaspersky Endpoint Agent aus dem Verteilungskit für „Kaspersky Anti Targeted Attack Platform“ herunterladen. Die Schnittstelle für Erkennungsdetails in „Kaspersky Endpoint Detection and Response Optimum“ (EDR Optimum) wurde verbessert. Die Funktionen der Bedrohungsreaktion haben jetzt Tooltips. Eine schrittweise Anleitung zur Gewährleistung der Sicherheit einer Unternehmensinfrastruktur wird auch dann angezeigt, wenn Kompromittierungsindikatoren erkannt wurden. Jetzt können Sie Kaspersky Endpoint Security für Windows mithilfe eines Lizenzschlüssels für Kaspersky Hybrid Cloud Security aktivieren. Neue Ereignisse über das Herstellen einer Verbindung mit Domänen, die nicht vertrauenswürdige Zertifikate haben, und über Fehler bei der Untersuchung verschlüsselter Verbindungen wurden hinzugefügt. Derzeit sind uns keine großen Probleme oder Bugs mit der aktuellen Version bekannt. Der Download steht Ihnen im Kaspersky Security Center oder auf der Webseite von Kaspersky zur Verfügung. Limitationen der neuen Endpoint Security 11.9 finden Sie hier. Zusätzlich finden Sie hier die Liste der Private Patches welche in die Version inkludiert wurden. Gerne stellen wir Ihnen die Produkte von Kaspersky in einem Webinar vor. Sprechen Sie uns an! Gerne stellen wir Ihnen auch unsere anderen Lösungen persönlich vor. Wir können Ihnen in allen Bereichen der IT-Security Hersteller und Software empfehlen die wir selbst ebenfalls einsetzen. Wir freuen uns auf Ihr Interesse. Suchen Sie beispielsweise ein vollwertiges Endpoint Management? Dann haben wir hier genau das richtige für Sie. Bewerten Sie diesen Beitrag: [Gesamt: 3 Durchschnitt: 5] iKomm Technik Channel beitreten

Weiterlesen »
Kaspersky Endpoint Security 11.8.0
Kaspersky Labs

Kaspersky Endpoint Security 11.8.0 veröffentlicht

Kaspersky Endpoint Security 11.8 veröffentlicht – Kaspersky hat die neue Endpoint Security Version 11.8.0.384 veröffentlicht. Einige Neuerungen wurden in der aktuellen Version vorgenommen, vor allem die Beschränkungen für Server-Plattformen. Anbei die Änderungen bzw. Neuerungen der Version 11.8.0. Kaspersky Endpoint Security 11.8.0 veröffentlicht Hier finden Sie die Neuerungen der aktuellen Kaspersky Endpoint Security Version: Update 11.8.0 Kaspersky Endpoint Security 11.8.0 für Windows bietet folgende Funktionen und Verbesserungen: Sie können jetzt Kaspersky Security for Windows Server auf Kaspersky Endpoint Security for Windows upgraden. Jetzt können Sie auf den Servern und Clustern Ihres Unternehmens das Programm „Kaspersky Endpoint Security für Windows“ anstelle von „Kaspersky Security für Windows Server“ verwenden. Um dies zu ermöglichen, hat Kaspersky Endpoint Security eine neue Funktionalität: Für die Komponenten „Schutz vor Web-Bedrohungen“, „Schutz vor E-Mail-Bedrohungen“, „Web-Kontrolle“ und „Gerätekontrolle“ wurde die Unterstützung für Computer mit Windows für Server hinzugefügt. Jetzt können Sie beim Programm-Upgrade die Komponentenauswahl von Kaspersky Security für Windows Server nach Kaspersky Endpoint Security für Windows migrieren. Kaspersky Endpoint Security (KES) überprüft vor der Installation, ob andere Kaspersky-Programme auf dem Computer vorhanden sind. Wenn „Kaspersky Security für Windows Server“ auf dem Computer installiert ist, erkennt KES die installierten KSWS-Komponenten und wählt die entsprechenden Komponenten zur Installation aus. Die Benutzeroberfläche des Netzwerkmonitors wurde verbessert. Der „Netzwerkmonitor“ zeigt jetzt zusätzlich zu TCP auch das UDP-Protokoll an. Die Aufgabe Virensuche wurde verbessert. Wenn Sie den Computer während der Untersuchung neu gestartet haben, führt Kaspersky Endpoint Security die Aufgabe automatisch aus und setzt die Untersuchung an der Stelle fort, an der sie unterbrochen wurde. Jetzt können Sie die Ausführungsdauer von Aufgaben zeitlich beschränken. Sie können die Ausführungsdauer für die Aufgaben Untersuchung auf Viren und IOC-Untersuchung begrenzen. Nach Ablauf des festgelegten Zeitraums bricht Kaspersky Endpoint Security die Aufgabe ab. Um die Ausführungsdauer einer Aufgabe zu reduzieren, können Sie z. B. den Untersuchungsbereich anpassen oder die Untersuchung optimieren. Die Beschränkungen für Server-Plattformen wurden aufgehoben. Diese galten für die Programm-Installation auf dem multisessionfähigen Windows 10 Enterprise. Kaspersky Endpoint Security betrachtet das multisessionfähige Windows 10 Enterprise jetzt als Workstation-Betriebssystem, nicht als Server-Betriebssystem. Ebenso gelten Beschränkungen für Server-Plattformen nicht mehr, wenn das Programm auf dem multisessionfähigen Windows 10 Enterprise installiert wird. Außerdem verwendet das Programm für die Aktivierung einen Workstation-Lizenzschlüssel anstatt eines Server-Lizenzschlüssels. Weitere Informationen zur Endpoint Security erhalten Sie auch in der Kaspersky Online-Hilfe.Sichern Sie jetzt mit Kaspersky Endpoint Detection & Response Ihr Unternehmen ab und steigern Sie die Effizienz Ihrer Sicherheitsstruktur. Bewerten Sie diesen Beitrag: [Gesamt: 3 Durchschnitt: 5] iKomm Technik Channel beitreten

Weiterlesen »
Microsoft Defender macht es leicht
Bedrohung

Microsoft Defender macht es leicht

Microsoft Defender macht es leicht – Der Virenschutz von Microsoft erleichtert das Einnisten von Schädlingen. Durch eine kleine Schwachstelle bei Zugriffsrechten des Microsoft Defender können Angreifer unter Windows 10 Malware vor den Scans verstecken. Eine laxe Rechtevergabe macht es Eindringlingen unnötig einfach. Es ist möglich die Schadsoftware vor den Scans zu verstecken und so der Entdeckung zu entgehen. Microsoft Defender macht es leicht Die Ursache für die Schwachstelle ist eine laxe Rechtvergabe bei Defender. Jeder angemeldete Benutzer kann mit einem einfachen Befehl die Liste der Scan-Ausnahmen auslesen. Hier besteht also das Problem. Ein Einbrecher kann die Verzeichnisse einfach auslesen welche nicht gescannt werden. Genau dort platziert er dann seine Schadsoftware. Durch die Ausnahme wird die Schadsoftware auch bei zukünftigen Scans nicht erkannt. Ob Cyberkriminelle diese Lücke bereits ausgenutzt haben ist derzeit nicht bekannt. Erst kürzlich wurde die Lücke vom IT-Sicherheitsforscher Antonio Cocomazzi auf Twitter gepostet. Laut dem Forscher ist es nicht nur lokal möglich, also bei lokal erstellten Ausnahmen, sondern auch bei Windows-Domänen mit Gruppenrichtlinien. Weitere Forscher haben sich der Sache angenommen und bestätigen diese Lücke. Auftreten soll demnach die Lücke bei Windows 10 Build 21H1 und 21H2. Bei Windows 11 weise nichts darauf hin sagen die Forscher. Nicht ganz neu Ganz neu ist die Lücke jedoch nicht. Bereits im Mai vergangenen Jahres ist bereits der Forscher Paul Bolten schon einmal darüber gestolpert. Die Leserechte auf für unprivilegierte Benutzer, stellt eine unnötige Vereinfachung für Angriffe dar. Professionellere Angreifer sind allerdings auf diese Lücken nicht angewiesen. Sie verstecken ihre Malware auch vor Lösungen der anderen Hersteller ohne Scan-Ausnahmen zu verwenden. Aber dadurch erhöht sich der Aufwand für Angreifer und es stellt eine weitere Sicherheitshürde dar. Rechteprüfung Ob Microsoft mit einem Update dieses Problem beheben wird ist derzeit nicht bekannt. Man kann sich aber Abhilfe schaffen in dem man mit dem Registrierungseditor (regedit) die Werte überprüft bzw. anpasst. Erfahrene Benutzer oder Administratoren können das unter diesem Key einsehen: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions Quelle: https://www.heise.de/news/Virenschutz-Microsoft-Defender-erleichtert-Einnisten-von-Schaedlingen-6329300.html Gerne stellen wir Ihnen alternativen zu Microsoft Defender vor. Auf unserer Webseite finden Sie zahlreiche Informationen zu Antiviren-Lösungen welche bereits seit Jahren etabliert sind und Ihnen und Ihrer Umgebung eine erhöhte Sicherheit bieten können. Mit weiteren Sicherheitsmechanismen wie der Endpoint Detection and Response Lösungen können Sie noch weitere Sicherheitsmechanismen einführen. Bewerten Sie diesen Beitrag: [Gesamt: 3 Durchschnitt: 5] iKomm Technik Channel beitreten

Weiterlesen »
Nach oben scrollen