Bad USB

abc-der-IT 23. Nov. 2018

Bei einem Bad USB handelt es sich im Gegensatz zu einem Rubber USB-Stick, welcher mit spezieller Hardware arbeitet, um ein modifiziertes USB Gerät.
In diesem Fall muss es nicht einmal ein USB-Stick sein, es kann sich genauso gut um Festplatten aber auch Handys handeln.
Beim Bad USB Szenario wird die Firmware des USB Gerätes durch eine modifizierte Version ausgetauscht. So ist es möglich, dem betreffenden Computer statt eines Smartphones eine Tastatur oder eine Netzwerkkarte vorzutäuschen.
Mögliche Szenarien einer solchen Bad USB Attacke wären zum Beispiel: ⁣
           - USB Geräte öffnen auf dem infizierten Rechner eine Remote Shell
           - Der infizierte Computer, infiziert weitere Computer oder USB Geräte
           - Der Datenverkehr kann durch Vortäuschen einer Netzwerkkarte umgeleitet werden
Der große Vorteil dieser Attacke bezieht sich auf die Vielfalt der USB Geräte, denn es können prinzipiell jede Art von USB Geräten betroffen sein. Die fehlenden Signaturen der Hersteller für Firmware Updates sorgen zum Beispiel dafür, dass das BIOS eines USB Gerätes nicht validiert werden kann. Auch der oftmals freie Speicherbereich der Firmware kann verändert werden.
Um sich gegen solche Angriffe zu schützen gibt es verschiedene Wege:
Einer ist es, vor allem in Firmenumgebungen, die USB Schnittstelle für den Benutzer zu deaktivieren. Oder sofern nötig nur für bestimmte Geräte zu aktivieren. Eine grundsätzliche Deaktivierung von USB-Ports beugt einer Infektion des Computers vor. Viele Virenschutzprogramme tappen auch hier im Dunkeln, da man nicht prinzipiell unterscheiden kann, welches Gerät nun schädlich ist und welches nicht. Trotzdem gibt es Software, die Abhilfe schaffen kann. G DATA bietet beispielsweise ein kostenloses Tool an, das den Nutzer vor Verwendung des USB Gerätes fragt, ob er dieses Gerät auch wirklich nutzen will. Es wird eine Whitelist angelegt, die die akzeptierten Geräte bei erneuerter Verwendung ohne Nachfrage zulässt. Die ID des gespeicherten Gerätes kann theoretisch auch von einem Angreifer kopiert und somit ausgenutzt werden.
Nicht zuletzt gilt es Anwender zu schulen und über die Gefahren fremder USB Geräte, in erster Linie USB-Sticks zu aufzuklären.
Einen USB-Stick als Erstes in einer sicheren Umgebung zu testen, beziehungsweise anzuschließen ermöglicht es einem auch das Gerät zuallererst genau zu untersuchen.

Tags