RUB » Stabsstellen » Stabsstelle für Informationssicherheit

Bild1 Bild2 Bild4 Bild3

BadUSB

BadUSB ist ein Begriff, der von dem deutschen Forscher Team (Nohl, Krißler und Lell, SRLabs) geprägt wurde und bezeichnet USB-Geräte, deren Firmware verändert wurde, um einen Schadcode (Virus, Trojaner etc.) zu injizieren. Veröffentlicht und der (Forschungs-) Gemeinde zugänglich gemacht wurde diese Art von Angriff 2014 auf einem der größten Hacker-Kongresse, der BlackHat.
SRLabs demonstrierte zunächst nur die erfolgreiche Ausführung dieses Angriffs und dessen mögliche Folgen und Schäden, ohne den eigentlichen Code zu veröffentlichen. Später wurde dies allerdings von einem anderen Forscher-Team (Caudill & Wilson) nachgeholt. Somit sind die Codes jedem Interessierten zugänglich.

Warum ist dieser Angriff möglich?

Ermöglicht wird dieser Angriff hauptsächlich durch die Tatsache, dass der vermeintlich nur einmalig beschreibbare Firmware-Speicherbereich von USB-Geräten neu beschrieben und in dem freien Speicherbereich zusätzlicher Code hinzugefügt werden kann. Somit ist es möglich, das Verhalten des USB-Gerätes zu verändern und zu erweitern. Es wäre z.B. möglich, dass nach Einstecken des Gerätes ein KeyLogger installiert wird, der jeglichen Tastenanschlag aufzeichnet und einem Angreifer übermittelt.

Was sind mögliche Folgen?

Mögliche Angriffe, welche bis jetzt demonstriert wurde, sind

  • USB-Gerät öffnet nach Einstecken in den PC eine RemoteShell (LINK) und gibt so dem Angreifer in der Ferne die völlige Kontrolle über den Client-PC.
  • Bereits infizierte Geräte, sowohl USB-Geräte als auch PCs, infizieren weitere Geräte mit denen sie in Kontakt kommen (ähnlich einer ansteckenden Krankheit)
  • USB-Gerät kann durch Installation eines neuen Netzwerk-Interfaces den Internet-Datenverkehr umlenken. Dadurch wird Phishing erleichtert. Das Opfer kann z.B. auf eine gefälschte Seite eines Bankunternehmens weitergeleitet werden, wo dann die Konto-/Login-Daten gestohlen werden können.

Dies sind nur einige Beispiele für Anwendungsszenarien, viel mehr Möglichkeiten sind denkbar und auch realisierbar.

Welche Geräte, Modelle, Klassen sind betroffen?

Prinzipiell sind alle USB-Geräte verdächtigt. Die Palette reicht von USB-Massenspeicher (USB-Sticks) zu USB-Tastatur, Webcam und sogar Smartphones. Alle Geräte, die eine USB-Schnittstelle zur Verfügung stellen, können infiziert werden.
In den bisher veröffentlichten Dokumenten und Angriffen wurden speziell die Controller eines Herstellers herausgegriffen und manipuliert. USB-Massenspeicher, welche einen Phison USB2/USB3 Controller besitzen, wurden in der Vergangenheit erfolgreich infiziert. Dies betrifft allerdings nur eine Generation. Eine Auflistung der Geräte findet man in einer von SRLabs zur Verfügung gestellten Liste hierexterner Link.

Wie ist ein Schutz möglich?

Da sich der Schadcode in einem für das Betriebssystem unzugänglichen Bereich befindet, der auch von Anti-Viren Programmen bislang nicht überprüft wird, ist ein vollständiger Schutz nicht möglich. Grundsätzlich kann man die Infektion nur erkennen und danach darauf reagieren. Es ist deshalb wichtig, achtsam bei Benutzung fremder USB-Geräte und PCs zu sein und zu überprüfen, ob ein ungewöhnliches Verhalten auftritt (z.B. Installation einer neuen Netzwerkschnittstelle nach Einstecken eines USB-Sticks). Sollte dies der Fall sein, muss das verdächtige USB-Gerät sofort entfernt und nach Möglichkeit nicht mehr benutzt werden. Eine automatische Bereinigung des USB-Gerätes ist bis dato nicht möglich, da dafür spezielle Kenntnisse über die Geräteklasse, Typ und Hersteller sowie deren Interna nötig sind. Somit ist eine Bereinigung eine höchst individuelle Angelegenheit.

In jedem Falle sollte ein vollständiger Viren-Scan erfolgen, z.B. durch Sophos AV.

Was sollte man fortan beachten?

Fremde USB-Geräte und PCs sollten mit Vorsicht benutzt werden. Bei Verdacht auf andere Medien umsteigen, z.B. E-Mail Versand für Daten statt Kopie über USB-Massenspeicher. Nach Möglichkeit Benutzung fremder, verdächtiger Geräte vermeiden. Dazu zählt unter anderem auch das Aufladen von Smartphones. Auch Smartphones sind sehr gut als Träger von Schadsoftware und deren Verbreitung geeignet. Also Vorsicht bei der nächsten Anfrage, ob man mal kurz eben sein Handy am PC aufladen könne!

Wie akut ist diese Bedrohung?

Zum gegebenen Zeitpunkt sind erfolgreiche Angriffe vermerkt worden. Diese sind zurzeit auf eine Teilgruppe aller USB-Geräte beschränkt. Dies liegt unter anderem daran, dass eine Schadsoftware-Injektion für alle Klassen, Typen und Modelle von USB-Geräten individuell zu entwickeln ist. Diese Entwicklung bedarf einiger tiefgreifender Fachkenntnisse und Zeit. Die Verzeichnung solcher Angriffe ist bis dato gering. Allerdings ist wie eingangs erwähnt die Detektion solcher Schadsoftware nicht ganz einfach, weshalb man von einer nicht bekannten Dunkelziffer an infizierten und nicht bemerkten Fällen ausgehen muss. Laut der Forscher-Community war eine solche Schwachstelle Geheimdiensten weit vor deren wissenschaftlicher Veröffentlichung bekannt, dadurch liegt die Annahme nahe, dass diese infizierten Geräte bereits im Umlauf sind.

Artikel über dieses Thema erschienen in der Fachpresse unter anderem bei Heise Onlineexterner Link.

Autor: Enis Akcabelen