BadUSB. Co to jest i jak działa? Przykłady zastosowania

Istnieją sprawdzone narzędzia sprzętowe, które już od lat wykorzystuje się do szukania i wykorzystywania słabości w zabezpieczeniach systemów informatycznych czy sieci komputerowych. Korzystają z nich nie tylko Ci etyczni hakerzy, red teamowcy i eksperci cyberbezpieczeństwa w czasie testów, oceniających czy i w jaki sposób infrastruktura klienta jest w stanie się obronić przed ewentualnym atakiem. Używają ich przede wszystkim intruzi, którzy mogą stanowić dla wielu firm realne zagrożenie.  Jednym z takich narzędzi jest BadUSB. Co robi ten gadżet i jaką szkodę może wyrządzić po podłączeniu do komputera? Na te i inne pytania, poznasz odpowiedzi w tym wpisie. 

Jak wygląda i jak działa BadUSB?

BadUSB do złudzenia przypomina zwykły pendrive, jednak po podłączeniu do portu USB jest w stanie poważnie “narozrabiać”. System operacyjny wykrywa go bowiem jako Human Interface Device czyli w skrócie urządzenie HID. Komputer będzie traktował BadUSB jako klawiaturę. Ta wirtualna klawiatura jest w stanie automatycznie “wcisnąć” zaprogramowaną uprzednio sekwencję poszczególnych klawiszy, aby wykonać określone czynności na komputerze.

Gdy BadUSB jest podłączone, zaczyna wysyłać polecenia, określone skróty klawiaturowe i zaprogramowane wcześniej ciągi znaków. Podłączenie BadUSB do komputera można porównać więc do przekazania komuś nieumyślnie swojej klawiatury i pozwolenia mu na całkowite przejęcie kontroli nad systemem. Urządzenie wysyła do komputera polecenia, odpowiednie skróty klawiszowe i zaprogramowane wcześniej ciągi znaków. 

BadUSB – przykłady

Jednym z przykładów BadUSB jest produkt Malduino firmy Maltronics, który wykonuje skrypty z prędkością ponad 9000 znaków na minutę. Dużą popularnością cieszy się też BadUSB Rubber Ducky. Ta zła ”gumowa kaczuszka” jest jednak dwa razy droższa od urządzeń Malduino. A tańszą i równie dobrą alternatywą, w której BadUSB scripts mogą być uruchamiane zdalnie lub na komendę jest urządzenie Malduino W. Dzięki niemu, za pomocą prostego interfejsu internetowego można: 

• uruchamiać,
• edytować,
• kasować,
• i pobierać różne skrypty z GitHuba.

Programowanie czyli BadUSB scripts

W jaki sposób odbywa się programowanie w przypadku BadUSB? Na umieszczoną w urządzeniu kartę pamięci wgrywa się odpowiedni skrypt. BadUSB scripts zostają przekompilowane na postać binarną (wbudowany kontroler). 

Flipper Zero jest tutaj wyjątkiem, ponieważ na nim nie trzeba kompilować skryptu na postać binarną. Wystarczy wrzucić od razu plik txt.

Jak może prezentować się przykładowy skrypt BadUSB? Na przykład następująco:

DELAY 1000

ALT F2

DELAY 1000

STRING gedit

DELAY 1000

STRING Zostałeś 

DELAY 1000

STRING zhakowany

ENTER

DELAY 1000

STRING pozdrawiamy

DELAY 1000

STRING Sapsan 

DELAY 1000

STRING !!! :) 

Gdyby podłączyło się więc do komputera urządzenie badUSB z wgranym powyższym skryptem*, spowodowałoby to uruchomienie edytora tekstu oraz wpisanie w nim wcześniej ustalonej treści:

Zostałeś zhakowany

 pozdrawiamy Sapsan !!! :)

*Powyższy skrypt przeznaczony jest dla systemu Linux (środowisko Gnome). Parametr DELAY to czas, który ma upłynąć (w milisekundach) przed wprowadzeniem następnych poleceń. Może to sprawiać wrażenie, że ten tekst właśnie wpisuje jakiś człowiek. 

@krystian.hutyra Wspieranie ducky script 🦆 to piękna rzecz. #flipperzero #rickroll #informatyka #hacking #badusb ♬ Never Gonna Give You Up - Rick Astley

Przykłady zastosowania BadUSB czyli co złego może się stać?

Oczywiście taka próbka z wpisywaniem tekstu na ekranie komputera może być tylko niewinnym przykładem w celach reprezentacyjnych. Intruzi mogą wykorzystać całą masę niebezpiecznych skryptów, które są odpowiednio przystosowane na różne platformy systemowe. Są one w stanie ściągnąć wirusa czy wyciągnąć wszystkie dane z katalogów. Np. zawartość folderów za pomocą usługi SimpleHTTPServer może zostać udostępniona w formie serwisu www na domyślnym porcie 8000. A wtedy już użytkownik z odpowiednimi uprawnieniami ma do nich całkowity dostęp. 

Trzeba zdawać sobie sprawę, że obudowę BadUSB często bardzo łatwo jest zdemontować i przykładowo umieścić w innym, niewinnie wyglądającym gadżecie USB. Nieumyślne podłączenie takiego urządzenia do odblokowanego komputera na koncie z uprawnieniami administratora może wyrządzić naprawdę wiele złego. Takie zdarzenia mają jednak miejsce znacznie rzadziej, niż chociażby włamania na konta w różnych serwisach internetowych. Na pewno więc warto skonfigurować sobie odpowiedni klucz do uwierzytelniania.