Urządzenia BadUSB w pentestingu: praktyczny przewodnik
Termin BadUSB w ścisłym sensie oznacza przeprogramowanie firmware kontrolera USB tak, by urządzenie emulowało klawiaturę HID i wstrzykiwało polecenia do systemu bez żadnej autoryzacji (koncepcję pokazali Karsten Nohl i Jakob Lell na BlackHat 2014). W praktyce pentesterskiej pod tym hasłem mieści się cała klasa narzędzi keystroke injection - od mikrokontrolera za 28 zł po kabel z własnym panelem C2 przez Wi-Fi. To nie jest akademicka ciekawostka: w styczniu 2022 FBI wydało alert FLASH o grupie FIN7, która rozsyłała pocztą spreparowane urządzenia USB (sprzęt LilyGO) udające prezenty od Amazona i amerykańskiego resortu zdrowia, z ransomware BlackMatter/REvil na końcu łańcucha.
Spis treści
Kluczowe wnioski
| Punkt | Szczegóły |
|---|---|
| Emulacja HID jako fundament ataku | Każde urządzenie BadUSB działa jako klawiatura wirtualna, co pozwala ominąć większość zabezpieczeń. |
| Wybór urządzenia zależy od scenariusza | Bash Bunny sprawdzi się w zaawansowanych audytach, Digispark w edukacji i budżetowych testach. |
| Sam antywirus to za mało | Sygnaturowy AV nie widzi bezplikowej injekcji, ale behawioralny EDR łapie łańcuch po wstrzyknięciu, a pobrany drugi stopień to już plik do przeskanowania. |
| Obrona wymaga warstw zabezpieczeń | Skuteczna polityka USB łączy whitelisting VID/PID, USBGuard i fizyczne blokady portów. |
| Dokumentacja jest obowiązkowa | Każde użycie urządzenia BadUSB w audycie musi być osadzone w pisemnym zakresie zlecenia. |
1. Kryteria oceny i wyboru urządzeń BadUSB do pentestingu
Wybór urządzenia BadUSB do konkretnego zlecenia zaczyna się od analizy kilku kluczowych parametrów. Brak tej analizy prowadzi do sytuacji, gdzie drogi sprzęt nie wnosi nic ponad to, co zrobiłby tańszy odpowiednik.
Funkcjonalność emulacji urządzeń to kryterium pierwsze. Część urządzeń emuluje wyłącznie klawiaturę HID. Inne potrafią jednocześnie udawać kartę sieciową, pamięć masową i klawiaturę, co otwiera zupełnie inne wektory ataku.
Możliwości konfiguracyjne i programowe determinują elastyczność w terenie. Urządzenia z własnym językiem skryptowym (Ducky Script, Bunny Script) umożliwiają szybkie dostosowanie payloadów do konkretnego środowiska testowanego.
Cena a możliwości sprzętu to aspekt praktyczny. Rozpiętość cen jest duża. Klon Digisparka kosztuje kilka dolarów (u nas 28 zł), USB Rubber Ducky to ok. 60-90 USD (675 zł), a Bash Bunny Mark II ok. 210 USD (1458 zł). Budżet zlecenia powinien wprost przekładać się na wybór sprzętu - droższe urządzenie ma sens tylko wtedy, gdy zakres audytu wykorzysta jego dodatkowe tryby.
Łatwość użycia i integracja decydują o czasie potrzebnym na wdrożenie urządzenia w środowisku testowym. Dla pentesterów pracujących w fieldzie liczy się czas od podłączenia do wykonania payloadu.
Aspekty prawne i etyczne są niezbywalne. Każde użycie urządzenia BadUSB musi być objęte pisemnym zakresem zlecenia i zgodą właściciela systemu. Posiadanie sprzętu jest legalne, użycie bez zgody nie jest.
Bezpieczeństwo firmware to kwestia pomijana przez wielu. Urządzenia z oprogramowaniem open source pozwalają na audyt kodu. Tanie klony z nieznanych źródeł mogą zawierać własne backdoory.
Porada profesjonalisty: Zawsze testuj nowe urządzenie BadUSB najpierw w izolowanym środowisku wirtualnym, zanim użyjesz go w środowisku klienta. Błąd w payloadzie na maszynie produkcyjnej może zakończyć zlecenie szybciej niż system ochrony.
2. Przegląd najpopularniejszych urządzeń BadUSB do pentestingu
Rynek urządzeń do pentestingu USB jest bardziej zróżnicowany niż sugeruje to większość list “top 5”. Poniżej omówiono modele, które rzeczywiście trafiają do rąk pentesterów.
USB Rubber Ducky
USB Rubber Ducky to urządzenie uznawane za standard w testach wstrzykiwania poleceń HID. Payloady pisze się w języku DuckyScript - prosty przykład, który otwiera Notatnik i wpisuje tekst, demonstruje kluczową cechę ataku: polecenia trafiają do systemu z prędkością interfejsu, nie człowieka.
REM Demonstracja szybkosci wstrzykiwania - otwiera Notatnik
DELAY 1000
GUI r
DELAY 500
STRINGLN notepad
DELAY 1000
STRINGLN Ten tekst wpisalo urzadzenie HID w ulamku sekundy.
Każda komenda jest dosłowna: GUI r to skrót Windows+R, STRINGLN wpisuje tekst i zatwierdza Enterem, a DELAY czeka podaną liczbę milisekund. W realnym payloadzie trzeba uwzględnić układ klawiatury celu - urządzenie wysyła kody klawiszy, nie znaki, więc payload pod US-QWERTY wpisze bałagan na klawiaturze z innym layoutem. Sam Ducky V2 nie jest już “tylko klawiaturą”: DuckyScript 3.0 dodaje tryb pamięci masowej, klonowanie VID/PID i exfiltrację danych techniką Keystroke Reflection. Czego nie ma, to emulacji karty sieciowej - i to odróżnia go od Bash Bunny.
-
Emulacja: HID (klawiatura) + tryb pamięci masowej
-
Język skryptowy: DuckyScript 3.0
-
Cena w SAPSAN: 675 zł (ok. 60-90 USD)
-
Zastosowanie: szybkie wstrzykiwanie komend, testy social engineering, exfiltracja przez Keystroke Reflection
Hak5 Bash Bunny
Bash Bunny Mark II to urządzenie wyższej klasy, zdolne do jednoczesnej emulacji klawiatury, karty sieciowej Ethernet i pamięci masowej. Tryby deklaruje się jedną linią, np. ATTACKMODE HID RNDIS_ETHERNET STORAGE. Pozwala to na złożone sekwencje: w ataku QuickCreds urządzenie najpierw udaje kartę sieciową, by zmusić zablokowaną stację do uwierzytelnienia i przechwycić skrót NTLMv2 (Responder), a potem przełącza się w tryb klawiatury, by uruchomić payload. Przełączanie trybów trwa sekundy.
-
Emulacja: HID, Ethernet (RNDIS/ECM), pamięć masowa, port szeregowy
-
Język skryptowy: Bash, Python, DuckyScript
-
Cena w SAPSAN: 1458 zł (ok. 210 USD)
-
Zastosowanie: zaawansowane audyty sieci i Active Directory
OMG Cable
O.MG Cable wygląda identycznie jak zwykły kabel USB, ale w obudowie ma mikrokontroler z Wi-Fi i własny panel C2 sterowany z przeglądarki. To nie jest “HID przez Wi-Fi”, a kompletny implant: wstrzykuje klawiaturę i mysz, wersja Elite ma sprzętowy keylogger zapisujący ok. 650 000 znaków, obsługuje geofencing (payload odpala się tylko w zadanej lokalizacji) i self-destruct, który czyni kabel bezużytecznym po wyjściu poza zakres. Pentester może sterować atakiem z sąsiedniego pomieszczenia.
-
Emulacja: HID (klawiatura + mysz) sterowany przez Wi-Fi
-
Funkcje: panel C2 w przeglądarce, keylogger (Elite), geofencing, self-destruct
-
Cena w SAPSAN: 968-1298 zł (zależnie od wersji)
-
Zastosowanie: testy z zachowaniem fizycznej odległości, ukryta forma
Digispark
Digispark to miniaturowy mikrokontroler oparty o ATtiny85, najtańszy i najbardziej dostępny ze wszystkich omawianych rozwiązań. Programuje się go w środowisku Arduino, ma ograniczoną pamięć (ok. 6 KB na payload) i emuluje wyłącznie klawiaturę. Brak zaawansowanych funkcji, ale jako platforma edukacyjna i narzędzie do podstawowych testów wstrzykiwania poleceń sprawdza się dobrze - zwłaszcza przy wąskim zakresie, gdzie droższy sprzęt nic nie wnosi.
-
Emulacja: HID (klawiatura)
-
Programowanie: Arduino IDE
-
Cena w SAPSAN: 28 zł (klony od kilku USD)
-
Zastosowanie: edukacja, budżetowe środowiska testowe
WHID Injector i Packet Squirrel
WHID Injector (Cactus WHID) łączy wstrzykiwanie HID z modułem Wi-Fi w formie pendrive’a - tańsza, otwartoźródłowa alternatywa dla zdalnego sterowania payloadem, oparta na układzie ESP8266 (169 zł). To wciąż urządzenie z klasy keystroke injection.
Innej klasy jest Packet Squirrel Mark II - to implant sieciowy, nie urządzenie BadUSB. Nie wstrzykuje klawiatury; wpina się w kabel Ethernet między stacją a siecią i działa jako device-in-the-middle: przechwytuje ruch (PCAP), robi DNS spoofing, stawia VPN/SSH i daje zdalny dostęp do sieci celu. Jest następcą wysłużonego LAN Turtle, który od dawna jest niedostępny i nie doczekał się nowej wersji. Warto rozumieć tę różnicę: Rubber Ducky czy O.MG atakują przez port USB jako klawiatura, Packet Squirrel siedzi na kablu sieciowym.
3. Porównanie urządzeń BadUSB: tabela dla pentesterów
Poniższe zestawienie zbiera najważniejsze parametry urządzeń w jednym miejscu, żeby ułatwić decyzję zakupową i operacyjną.
| Model | Klasa | Emulacja / funkcja | Programowanie | Cena w SAPSAN |
|---|---|---|---|---|
| USB Rubber Ducky V2 | Injekcja HID | HID + tryb pamięci masowej | DuckyScript 3.0 | 675 zł |
| Bash Bunny Mark II | HID + sieć | HID, Ethernet (RNDIS/ECM), storage, serial | Bash / Python / DuckyScript | 1458 zł |
| O.MG Cable | Injekcja HID (Wi-Fi C2) | HID klawiatura+mysz, keylogger, geofencing | DuckyScript + panel web | 968-1298 zł |
| Digispark | Injekcja HID (budżet) | HID (klawiatura) | Arduino IDE | 28 zł |
| WHID Injector | Injekcja HID (Wi-Fi) | HID + zdalne Wi-Fi | Panel web / Arduino | 169 zł |
| Packet Squirrel Mark II | Implant sieciowy | Ethernet MITM, PCAP, VPN/SSH (nie HID) | Bash / Python / DuckyScript | 780 |
Wskazówki dopasowania do scenariusza:
Jeżeli audyt dotyczy reakcji pracowników na porzucone urządzenia USB, wystarczy USB Rubber Ducky lub Digispark. Jeśli zakres obejmuje przejęcie sesji domenowej lub ekstrakcję poświadczeń z Active Directory, właściwym narzędziem jest Bash Bunny. O.MG Cable sprawdza się, gdy pentester musi zachować fizyczną odległość od atakowanej stacji. A gdy test dotyczy sieci przewodowej i przechwytywania ruchu, sięga się nie po klawiaturowe BadUSB, lecz po implant sieciowy - Packet Squirrel Mark II.
Porada profesjonalisty: Przy zakupie urządzenia BadUSB sprawdź, czy producent udostępnia aktywną społeczność i repozytorium payloadów. Sprzęt bez aktualnych zasobów szybko traci użyteczność w zmieniających się środowiskach testowych.
4. Wyzwania i techniki obrony przed atakami BadUSB
Znajomość metod obronnych jest dla pentestera tak samo ważna jak znajomość technik ataku. Przeprowadzając testy bezpieczeństwa USB, musisz wiedzieć, co działa po stronie obrońcy, a co tylko wygląda na skuteczne zabezpieczenie.
-
Kontrola urządzeń USB i whitelisting VID/PID. Filtrowanie po identyfikatorach producenta (VID) i produktu (PID) to najczęściej wdrażany mechanizm. Problem w tym, że te identyfikatory są wartościami z firmware, w pełni kontrolowanymi przez atakującego - urządzenie można skonfigurować tak, by podszyło się pod VID/PID dozwolonej klawiatury (Rubber Ducky czy WHID potrafią sklonować deskryptory legalnego urządzenia). Whitelisting VID/PID to więc środek utrudniający, a nie blokujący atak; mocniejsze wiązanie używa numeru seryjnego i skrótu deskryptora, ale i te da się sfałszować.
-
Fizyczne blokady portów USB. Blokady mechaniczne portów USB lub ich wyłączenie w BIOS/UEFI to metoda, którą obrońcy stosują jako uzupełnienie polityk softwarowych. Skuteczna w środowiskach o wysokim ryzyku. Wadą jest znaczne ograniczenie ergonomii pracy użytkowników.
-
USBGuard i Endpoint Protector. USBGuard na Linuxie pozwala tworzyć polityki dopuszczające tylko wcześniej zdefiniowane urządzenia. Endpoint Protector działa na Windows i macOS, oferując centralnie zarządzane polityki USB. Oba narzędzia wymagają właściwej konfiguracji, bo domyślne ustawienia często nie blokują nowych urządzeń HID.
-
Ograniczenia sygnaturowych antywirusów. Sama injekcja jest bezplikowa - klawisze z wirtualnej klawiatury nie trafiają na dysk, więc skaner sygnaturowy nie ma czego analizować. Ale to nie znaczy, że obrońca jest bezradny: behawioralny EDR wykrywa łańcuch po wstrzyknięciu (np. explorer.exe uruchamiający PowerShell sekundy po podłączeniu USB), nadludzkie i równe tempo “pisania” zdradza automat, a każdy pobrany drugi stopień ataku to już plik do przeskanowania. To rozróżnienie - sygnatury ślepe, behawiorystyka nie - pentester powinien jasno opisać w raporcie.
-
Edukacja użytkowników. Najtrudniejszym aspektem obrony przed BadUSB jest to, że ataki polegają na emulacji klawiatury, czyli urządzenia niezbędnego do normalnej pracy. Użytkownicy nie mają prostego sposobu na odróżnienie atakującego urządzenia od prawdziwej klawiatury bez dodatkowych narzędzi.
-
Monitorowanie zdarzeń i detekcja behawioralna. Podłączenie nowej “klawiatury” generuje w Windows zdarzenie 6416 (rozpoznanie nowego urządzenia zewnętrznego) - szczególnie podejrzane, gdy druga klawiatura rejestruje się na stacji, która już jedną ma. SIEM może też korelować anomalne tworzenie procesów (PowerShell odpalony sekundy po podłączeniu USB) z tempem klawiszy. Istnieją gotowe narzędzia: DuckHunt i Beamgun monitorują kadencję pisania oraz podłączenia USB i potrafią zablokować stację po wykryciu injekcji. To detekcja, nie prewencja - spowolniony, “drgający” payload potrafi ją ominąć, a szybkie wklejanie ze schowka generuje false-positive.
-
Skuteczna polityka bezpieczeństwa USB wymaga połączenia kontroli urządzeń, edukacji użytkowników i fizycznych zabezpieczeń portów. Żaden z tych elementów osobno nie wystarczy.
5. Moje doświadczenia z urządzeniami BadUSB w pentestach
Pracuję z urządzeniami BadUSB wystarczająco długo, żeby mieć kilka obserwacji, których nie znajdziesz w dokumentacji producenta.
Po pierwsze: skuteczność tych narzędzi w realnych audytach jest znacznie wyższa niż większość klientów zakłada przed testem. Polecenia wstrzykiwane przez HID trafiają do systemu z prędkością odpytywania interfejsu, a nie prędkością człowieka piszącego na klawiaturze. W praktyce payload uruchamia się w ciągu kilku sekund od podłączenia urządzenia.
Po drugie: najczęstszy błąd pentesterów to brak testów payloadu na identycznej wersji systemu operacyjnego jak u klienta. Payload napisany pod Windows 10 może zachować się inaczej na Windows 11, szczególnie gdy uruchamia polecenia PowerShell z flagami bezpieczeństwa zmienionymi przez Microsoftu.
Po trzecie: Bash Bunny w rękach pentestera ze słabym rozeznaniem w protokołach sieciowych to urządzenie, które robi mniej niż kosztuje. Zaawansowany sprzęt wymaga zaawansowanej wiedzy, żeby go sensownie użyć. Widziałem zlecenia, gdzie Digispark za 15 USD osiągał taki sam efekt jak Bash Bunny za 120 USD, bo zakres audytu był wąski.
Co naprawdę działa: kombinacja USB Rubber Ducky do fizycznych testów social engineeringu i Bash Bunny do audytów Active Directory. O.MG Cable dokładam tylko wtedy, gdy audyt wymaga obecności urządzenia przy stacji przez dłuższy czas i zdalnego sterowania. Dokumentowanie każdego użycia jest równie ważne jak sam atak - raport bez precyzyjnych kroków reprodukcji jest dla działu IT klienta bezużyteczny.
Sprzęt BadUSB dla pentesterów w ofercie Sapsan-sklep
Sapsan-sklep jako europejski dystrybutor sprzętu cyberbezpieczeństwa oferuje urządzenia BadUSB omówione w tym artykule z dostawą do całej Unii Europejskiej i do USA.
W ofercie znajdziesz pełną klasę keystroke injection: USB Rubber Ducky (675 zł), Bash Bunny Mark II (1458 zł), O.MG Cable (od 968 zł), budżetowy Digispark (28 zł) i WHID Injector (169 zł). Do testów sieci przewodowej dostępny jest implant Packet Squirrel Mark II (780 zł). Wszystkie urządzenia przeznaczone są wyłącznie do legalnych testów bezpieczeństwa z pisemną zgodą właściciela systemu. Pełna oferta: sapsan-sklep.pl.
FAQ
Czym różni się BadUSB od zwykłego pendrive?
BadUSB to urządzenie z przeprogramowanym firmware, które emuluje klawiaturę HID i wstrzykuje polecenia do systemu. Zwykły pendrive przechowuje tylko dane i nie wykonuje żadnych akcji po podłączeniu.
Które urządzenie BadUSB wybrać na pierwszy audyt USB?
USB Rubber Ducky to najczęściej rekomendowany wybór dla pentesterów zaczynających testy bezpieczeństwa USB. Prosty język skryptowy i duża baza gotowych payloadów skracają czas wejścia do minimum.
Czy antywirus wykryje atak BadUSB?
Sygnaturowy antywirus nie wykryje samej injekcji - polecenia z wirtualnej klawiatury system traktuje jak normalne wejście, a atak jest bezplikowy. Wykrywa go natomiast behawioralny EDR, po skutkach: nietypowym łańcuchu procesów i pobranym drugim stopniu ataku, który jest już zwykłym plikiem.
Jak legalnie używać urządzeń BadUSB?
Każde użycie urządzenia BadUSB wymaga pisemnej zgody właściciela testowanego systemu i musi być objęte zakresem zlecenia pentestingu. Użycie bez zgody jest nielegalne niezależnie od intencji.
Czy Digispark nadaje się do profesjonalnych audytów?
Digispark sprawdza się przy prostych testach wstrzykiwania HID i w środowiskach edukacyjnych. Do profesjonalnych audytów obejmujących emulację sieciową lub złożone payloady konieczne jest urządzenie klasy Bash Bunny.