Die gefährlichste Ente in der IT Security

Die Rubber Ducky ist die gefährlichste Ente, die es in der Informationstechnologie gibt. Hackers Traum und USB-Admins Alptraum. Der USB Rubber Ducky ist einer der ersten kommerziellen Produkte gewesen, die einen bösartigen USB-Stick implementierten. Im Englischen ist eine „Rubber Duck“ eine quietschgelbe Gummi-Ente für die Badewanne, wie im berühmten Loriot-Sketch. Und diese ist nun als Markenzeichen eine „EVIL Rubber Ducky“, die böseste Ente in der IT. Dabei besteht der USB-Stick aus zwei Teilen. Zum einen stellt er einen Hardware-Stick, der vom PC als Tastatur erkannt wird. Dabei sendet der USB-Stuck eine sogenannte Hardware-ID HID, die der PC (oder der Laptop) als Tastatur erkennt und aufschaltet. Dieser Mechanismus ist so grundlegend, das er kaum blockiert werden kann. Jeder PC braucht eine (USB-) Tastatur, und ein Laptop muss mindestens zwei akzeptieren können, nämlich seine eigene und die von einer Docking-Station. Dadurch kann der USB-Stick nun beliebig gedrückte Tasten senden. Dies wird vom zweiten,. versteckten Teil des Rubber Ducky ausgeführt. Mittels einer Skriptsprache, die auf einen Flashcard-Speicher kopiert wurde, kann dieser nun die Tastenkombinationen senden. Sollte der PC oder Laptop so konfiguriert sein, dass er nur bestimmte Tastaturen eines bestimmten Herstellers akzeptiert, kann die HID dieses Herstellers hier beliebig eingestellt werden. Ich habe bei mehreren Pen Test bei großen Unternehmen diesen Rubber Ducky ausprobiert. Obwohl alle Unternehmen die Laptops ihrer Mitarbeiter mit USB-Sperrung und Kontrolle versehen hatten, wurde der „Evil Stick“ von allen angenommen, ohne auch nur einen Alert zu produzieren. Selbst die Hersteller von USB-Schutzmechanismen, die die Windows Event-Kontrolle überwachen, konnten den Rubber Ducky nicht identifizieren und blockieren. Ein einfaches Skript sieht wie folgt aus: script Nun muss es nur noch auf den Rubber Ducky kommen. Erst einmal muss das Skript in eine Binärdatei umgewandelt werden Eine Ausführliche Dokumentation und das Konvertierungswerkzeug ist auf dieser Seite zu finden: https://ducktoolkit.com/ enc Anschließend das Skript kopieren und Generieren lassen: gen Erst die Datei INJECT.BIN herunterladen. down Danach wird die Flash-Karte in einem Laptop oder Desktop dann mit der Datei INJECT.BIN beschrieben. Flash-Karte wieder in den Rubber Ducky und nun kann man mit dem Stick zu den Kollegen an den Arbeitsplatz gehen. Wer sich gerade nicht abgemeldet hat, kann nun umgehend gehackt werden. Es gibt natürlich nicht nur das „Hallo Welt“ Skript, das mit dem Stick ausgeliefert wird. Auf der Webseite mit dem Toolkit sind auch über 50 Skripts, von lustig bis ziemlich dunkel. Vor allem die Skripts, die einen Laptop oder Desktop mit dem WLAN verbinden oder einem fremden Server mit Malware, sind für Pen Tests extrem nützlich. Und auch binäre Payload kann erzeugt werden. Jede Binärdatei kann als ASCII-Äquivalent in eine Textdatei geschrieben werden und dann binär (z.B. als .exe) abgespeichert werden. So können auch Malware und Trojaner über eine Keyboard-Emulation in ein System eingeschleust werden.    

Zu beziehen über www.hak5shop