![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo,
ich bin neu hier und habe mich hier bei Hackerboard.de in der Hoffnung angemeldet, dass hier jemand etwas zum Thema "BadUSB" sagen kann. Beim Lesen diverser Berichte bin ich über die folgende Aussage in einem Blog-Kommentar gestolpert, die ich nicht verstehe:
Ich hatte das mit dem BadUSB so verstanden, dass die Firmware vom Stick umprogrammiert wird und sich das Gerät anschließend als Tastatur ausgibt, dann via Tastatur eine Shell oder ähnliches öffnet und dann "irgendwie" die Schadsoftware herunterläd. In dem Kommentar hört es sich eher so an, als ob da eine Art DMA-Transfer-Angriff oder so zum Einsatz kommt.
Genau dieses "irgendwie" interessiert mich also im Zusammenhang mit der Aussage im Kommentar, dass der Virenscanner trotz bekannter Signaturen keine Chance hat, den Angriff zu bemerken! Kann sich hier jemand einen Reim darauf machen und erklären, wie genau da Schadcode am stets aktiven "Wächter" des Virenscanners vorbeigeschleust werden kann? Ich möchte jetzt nicht debattieren, wie wirkungsvoll AV-Software im Allgemeinen ist, sondern interessiere mich lediglich für die angeblich stattfindende Infektion TROTZ bekannter Signatur!
Dann fände ich es sehr interessant zu erfahren, wie viel man "draufhaben" muss, um so einen Angriff auf handelsübliche USB-Sticks durchzuführen?
In den Berichten ist von 3 großen Controller-Typen die Rede, die man auf heutigen USB-Sticks überwiegend findet. Dann sollte man neben Windows-Programmierung(WinAPI, .NET, wasauchimmer) vermutlich viel Erfahrung mit µC-Programmierung und Hardware haben und auch einiges über Re-Engeneering wissen(also Assembler bzw. Maschinencode verstehen). Das USB-Protokoll sollte wohl auch gut bekannt sein(Enumeration, Geräte-Klassen, Transfers, etc.). Mir scheint, dass die Hürde hier (zum Glück) erstmal recht hoch liegt und sogar erfahrene IT-Spezialisten nur mit enorm viel Aufwand einen Stick umprogrammieren können, aber gibt es (eventuell gegen Geld) Construction-Kits, die einem IT-technisch versierten Menschen erlauben, ohne tiefergehende Hacker-Kentnisse solch einen Angriff für bestimmte bzw. alle 3 Controller-Typen durchzuführen?
Es grüßt...
Franz
ich bin neu hier und habe mich hier bei Hackerboard.de in der Hoffnung angemeldet, dass hier jemand etwas zum Thema "BadUSB" sagen kann. Beim Lesen diverser Berichte bin ich über die folgende Aussage in einem Blog-Kommentar gestolpert, die ich nicht verstehe:
?Hacker? im Fernsehen ? ? Die Katastrophe ist eine ganz andere - Alvars BlogHier liegt der Hasenkorn im Pfeffer begraben, oder so. Email, Browser usw. führen Software (modulo code-execution-Lücken, die aber dank Sandboxes und ALSR usw. immer rarer werden) nur mit dem Umweg über einen Festwertspeicher aus. Das nutzen Virenscanner, um sich da dazwischen zu setzen und Signaturen zu vergleichen. Der Trick mit der Tastatur macht quasi eine neue code-execution-Lücke auf die nicht von einer Sandbox oder anderen Countermeasures betroffen ist, und auch nicht wirklich einfach gefixt werden kann. Unsere Demo hat Code ausgeführt der vorher nie auf irgendeinem Speicher lag. Der Virenscanner hat den Code nie gesehen. Sonst wäre er nämlich eingeschritten (die Meterpreter-Binaries sind in quasi allen Signaturdatenbanken).
Um generisch dagegen vorzugehen müsste der Virenscanner anfangen, Prozessabbilder im Speicher zu scannen und/oder weitere Verhaltenscharacteristiken (Kamera einschalten etwa) auszuwerten. Das frisst dann a) die letzten 10 und nächsten 10 Jahre Prozessor-Performance-Steigerungen auf und hagelt b) Fehlalarme reihenweise bei irgendwelchen Kopierschützen/DRM-Mechanismen, etc. (Schönstes Beispiel: Skype – Ist selbstmodifizierend, mit verschlüsseltem Codesegment *und* greift auf die Kamera zu
Ich hatte das mit dem BadUSB so verstanden, dass die Firmware vom Stick umprogrammiert wird und sich das Gerät anschließend als Tastatur ausgibt, dann via Tastatur eine Shell oder ähnliches öffnet und dann "irgendwie" die Schadsoftware herunterläd. In dem Kommentar hört es sich eher so an, als ob da eine Art DMA-Transfer-Angriff oder so zum Einsatz kommt.
Genau dieses "irgendwie" interessiert mich also im Zusammenhang mit der Aussage im Kommentar, dass der Virenscanner trotz bekannter Signaturen keine Chance hat, den Angriff zu bemerken! Kann sich hier jemand einen Reim darauf machen und erklären, wie genau da Schadcode am stets aktiven "Wächter" des Virenscanners vorbeigeschleust werden kann? Ich möchte jetzt nicht debattieren, wie wirkungsvoll AV-Software im Allgemeinen ist, sondern interessiere mich lediglich für die angeblich stattfindende Infektion TROTZ bekannter Signatur!
Dann fände ich es sehr interessant zu erfahren, wie viel man "draufhaben" muss, um so einen Angriff auf handelsübliche USB-Sticks durchzuführen?
In den Berichten ist von 3 großen Controller-Typen die Rede, die man auf heutigen USB-Sticks überwiegend findet. Dann sollte man neben Windows-Programmierung(WinAPI, .NET, wasauchimmer) vermutlich viel Erfahrung mit µC-Programmierung und Hardware haben und auch einiges über Re-Engeneering wissen(also Assembler bzw. Maschinencode verstehen). Das USB-Protokoll sollte wohl auch gut bekannt sein(Enumeration, Geräte-Klassen, Transfers, etc.). Mir scheint, dass die Hürde hier (zum Glück) erstmal recht hoch liegt und sogar erfahrene IT-Spezialisten nur mit enorm viel Aufwand einen Stick umprogrammieren können, aber gibt es (eventuell gegen Geld) Construction-Kits, die einem IT-technisch versierten Menschen erlauben, ohne tiefergehende Hacker-Kentnisse solch einen Angriff für bestimmte bzw. alle 3 Controller-Typen durchzuführen?
Es grüßt...
Franz
