BadUSB-Geräte im Pentesting: ein praktischer Leitfaden
Im engeren Sinne bedeutet BadUSB, die Firmware eines USB-Controllers so umzuprogrammieren, dass das Gerät eine HID-Tastatur emuliert und Befehle einschleust - ohne jegliche Autorisierung in das System (das Konzept zeigten Karsten Nohl und Jakob Lell auf der BlackHat 2014). In der Pentesting-Praxis umfasst der Begriff eine ganze Klasse von Keystroke-Injection-Werkzeugen - vom Mikrocontroller für ein paar Dollar bis zum Kabel mit eigenem Wi-Fi-C2-Panel. Das ist keine akademische Kuriosität: Im Januar 2022 gab das FBI eine FLASH-Warnung über die Gruppe FIN7 heraus, die per Post manipulierte USB-Geräte (LilyGO-Hardware) verschickte, die als Geschenke von Amazon und dem US-Gesundheitsministerium getarnt waren, mit der Ransomware BlackMatter/REvil am Ende der Kette.
Inhaltsverzeichnis
-
1. Kriterien zur Bewertung und Auswahl von BadUSB-Geräten für Pentesting
-
2. Überblick über die beliebtesten BadUSB-Geräte für Pentesting
-
4. Herausforderungen und Abwehrtechniken gegen BadUSB-Angriffe
-
BadUSB-Equipment für Pentester im Sortiment von Sapsan-sklep
Wichtigste Erkenntnisse
| Punkt | Details |
|---|---|
| HID-Emulation als Grundlage des Angriffs | Jedes BadUSB-Gerät agiert als virtuelle Tastatur, wodurch sich die meisten Schutzmechanismen umgehen lassen. |
| Die Wahl des Geräts hängt vom Szenario ab | Bash Bunny eignet sich für fortgeschrittene Audits, Digispark für Schulung und Budget-Tests. |
| Antivirus allein reicht nicht | Signaturbasiertes AV erkennt die dateilose Injektion nicht, aber verhaltensbasiertes EDR fängt die Kette nach der Injektion ab, und die heruntergeladene zweite Stufe ist bereits eine Datei zum Scannen. |
| Verteidigung erfordert Sicherheitsebenen | Eine wirksame USB-Richtlinie kombiniert VID/PID-Whitelisting, USBGuard und physische Portsperren. |
| Dokumentation ist Pflicht | Jeder Einsatz eines BadUSB-Geräts im Audit muss in einem schriftlichen Auftragsumfang verankert sein. |
1. Kriterien zur Bewertung und Auswahl von BadUSB-Geräten für Pentesting
Die Wahl eines BadUSB-Geräts für einen konkreten Auftrag beginnt mit der Analyse einiger Schlüsselparameter. Fehlt diese Analyse, entstehen Situationen, in denen teure Hardware nichts bietet, was ein günstigeres Pendant nicht auch leisten würde.
Die Emulationsfähigkeit des Geräts ist das erste Kriterium. Manche Geräte emulieren nur eine HID-Tastatur. Andere können gleichzeitig eine Netzwerkkarte, einen Massenspeicher und eine Tastatur vortäuschen, was völlig andere Angriffsvektoren eröffnet.
Konfigurations- und Programmiermöglichkeiten bestimmen die Flexibilität im Feld. Geräte mit eigener Skriptsprache (Ducky Script, Bunny Script) ermöglichen es, Payloads schnell an die konkrete Testumgebung anzupassen.
Preis versus Leistung ist der praktische Aspekt. Die Preisspanne ist groß. Ein Digispark-Klon kostet ein paar Dollar (bei uns 28 zł), der USB Rubber Ducky etwa 60-90 USD (675 zł) und der Bash Bunny Mark II etwa 210 USD (1458 zł). Das Auftragsbudget sollte sich direkt auf die Wahl der Hardware auswirken - ein teureres Gerät ist nur dann sinnvoll, wenn der Audit-Umfang seine zusätzlichen Modi nutzt.
Benutzerfreundlichkeit und Integration entscheiden darüber, wie viel Zeit der Einsatz des Geräts in einer Testumgebung kostet. Für Pentester, die im Feld arbeiten, zählt die Zeit vom Einstecken bis zur Ausführung des Payloads.
Rechtliche und ethische Aspekte sind unverzichtbar. Jeder Einsatz eines BadUSB-Geräts muss durch einen schriftlichen Auftragsumfang und die Zustimmung des Systembesitzers gedeckt sein. Der Besitz der Hardware ist legal, ihr Einsatz ohne Zustimmung nicht.
Firmware-Sicherheit ist ein Punkt, den viele übersehen. Geräte mit Open-Source-Software erlauben ein Audit des Codes. Billige Klone aus unbekannten Quellen können eigene Backdoors enthalten.
Profi-Tipp: Teste ein neues BadUSB-Gerät immer zuerst in einer isolierten virtuellen Umgebung, bevor du es in der Umgebung des Kunden einsetzt. Ein Fehler im Payload auf einer Produktivmaschine kann den Auftrag schneller beenden als jedes Schutzsystem.
2. Überblick über die beliebtesten BadUSB-Geräte für Pentesting
Der Markt für USB-Pentesting-Geräte ist vielfältiger, als die meisten "Top 5"-Listen vermuten lassen. Im Folgenden werden die Modelle besprochen, die tatsächlich in die Hände von Pentestern gelangen.
USB Rubber Ducky
USB Rubber Ducky gilt als Standard bei Tests zur HID-Befehlsinjektion. Payloads werden in der Sprache DuckyScript geschrieben - ein einfaches Beispiel, das den Editor öffnet und Text eintippt, zeigt das Schlüsselmerkmal des Angriffs: Befehle erreichen das System mit Schnittstellengeschwindigkeit, nicht mit menschlicher.
REM Demonstracja szybkosci wstrzykiwania - otwiera Notatnik
DELAY 1000
GUI r
DELAY 500
STRINGLN notepad
DELAY 1000
STRINGLN Ten tekst wpisalo urzadzenie HID w ulamku sekundy.
Jeder Befehl ist wörtlich: GUI r ist das Kürzel Windows+R, STRINGLN tippt Text und bestätigt mit Enter, und DELAY wartet die angegebene Anzahl Millisekunden. In einem echten Payload muss man das Tastaturlayout des Ziels berücksichtigen - das Gerät sendet Tastencodes, keine Zeichen, also tippt ein für US-QWERTY geschriebener Payload auf einer Tastatur mit anderem Layout Kauderwelsch. Der Ducky V2 selbst ist nicht mehr "nur eine Tastatur": DuckyScript 3.0 ergänzt einen Massenspeichermodus, VID/PID-Klonen und Datenexfiltration per Keystroke Reflection. Was ihm fehlt, ist die Emulation einer Netzwerkkarte - und das unterscheidet ihn vom Bash Bunny.
-
Emulation: HID (Tastatur) + Massenspeichermodus
-
Skriptsprache: DuckyScript 3.0
-
Preis bei SAPSAN: 675 zł (ca. 60-90 USD)
-
Einsatz: schnelle Befehlsinjektion, Social-Engineering-Tests, Exfiltration per Keystroke Reflection
Hak5 Bash Bunny
Bash Bunny Mark II ist ein Gerät der höheren Klasse, das gleichzeitig eine Tastatur, eine Ethernet-Netzwerkkarte und einen Massenspeicher emulieren kann. Die Modi werden in einer Zeile deklariert, z. B. ATTACKMODE HID RNDIS_ETHERNET STORAGE. Das ermöglicht komplexe Sequenzen: Beim QuickCreds-Angriff täuscht das Gerät zunächst eine Netzwerkkarte vor, um eine gesperrte Workstation zur Authentifizierung zu zwingen und den NTLMv2-Hash abzufangen (Responder), und wechselt dann in den Tastaturmodus, um den Payload auszuführen. Der Wechsel zwischen den Modi dauert Sekunden.
-
Emulation: HID, Ethernet (RNDIS/ECM), Massenspeicher, serielle Schnittstelle
-
Skriptsprache: Bash, Python, DuckyScript
-
Preis bei SAPSAN: 1458 zł (ca. 210 USD)
-
Einsatz: fortgeschrittene Netzwerk- und Active-Directory-Audits
OMG Cable
O.MG Cable sieht aus wie ein gewöhnliches USB-Kabel, hat aber im Gehäuse einen Mikrocontroller mit Wi-Fi und ein eigenes, per Browser gesteuertes C2-Panel. Das ist kein "HID über Wi-Fi", sondern ein vollständiges Implantat: Es injiziert Tastatur und Maus, die Elite-Version hat einen Hardware-Keylogger, der etwa 650.000 Zeichen speichert, unterstützt Geofencing (der Payload startet nur an einem festgelegten Ort) und Selbstzerstörung, die das Kabel beim Verlassen des definierten Bereichs unbrauchbar macht. Ein Pentester kann den Angriff aus dem Nebenraum steuern.
-
Emulation: HID (Tastatur + Maus), über Wi-Fi gesteuert
-
Funktionen: C2-Panel im Browser, Keylogger (Elite), Geofencing, Selbstzerstörung
-
Preis bei SAPSAN: 968-1298 zł (je nach Version)
-
Einsatz: Tests unter Wahrung physischer Distanz, getarnte Form
Digispark
Digispark ist ein winziger Mikrocontroller auf Basis des ATtiny85, der günstigste und am leichtesten verfügbare aller besprochenen Lösungen. Er wird in der Arduino-Umgebung programmiert, hat begrenzten Speicher (ca. 6 KB pro Payload) und emuliert ausschließlich eine Tastatur. Ihm fehlen fortgeschrittene Funktionen, aber als Lernplattform und Werkzeug für grundlegende Befehlsinjektionstests eignet er sich gut - besonders bei engem Umfang, wo teurere Hardware nichts beiträgt.
-
Emulation: HID (Tastatur)
-
Programmierung: Arduino IDE
-
Preis bei SAPSAN: 28 zł (Klone ab ein paar USD)
-
Einsatz: Schulung, Budget-Testumgebungen
WHID Injector und Packet Squirrel
WHID Injector (Cactus WHID) verbindet HID-Injektion mit einem Wi-Fi-Modul in Form eines USB-Sticks - eine günstigere, quelloffene Alternative zur Fernsteuerung des Payloads, basierend auf dem ESP8266-Chip (169 zł). Es ist weiterhin ein Gerät der Keystroke-Injection-Klasse.
Einer anderen Klasse gehört der Packet Squirrel Mark II an - es ist ein Netzwerk-Implantat, kein BadUSB-Gerät. Es injiziert keine Tastatur; es wird in das Ethernet-Kabel zwischen Workstation und Netzwerk eingeschleift und arbeitet als Device-in-the-Middle: Es fängt Datenverkehr ab (PCAP), betreibt DNS-Spoofing, baut ein VPN/SSH auf und gewährt Fernzugriff auf das Zielnetzwerk. Es ist der Nachfolger des betagten LAN Turtle, der seit Langem nicht verfügbar ist und keine neue Version erhielt. Diesen Unterschied sollte man verstehen: Rubber Ducky oder O.MG greifen über den USB-Port als Tastatur an, während der Packet Squirrel am Netzwerkkabel sitzt.
3. BadUSB-Geräte im Vergleich: eine Tabelle für Pentester
Die folgende Übersicht fasst die wichtigsten Geräteparameter an einem Ort zusammen, um die Kauf- und Einsatzentscheidung zu erleichtern.
| Modell | Klasse | Emulation / Funktion | Programmierung | Preis bei SAPSAN |
|---|---|---|---|---|
| USB Rubber Ducky V2 | HID-Injektion | HID + Massenspeichermodus | DuckyScript 3.0 | 675 zł |
| Bash Bunny Mark II | HID + Netzwerk | HID, Ethernet (RNDIS/ECM), storage, serial | Bash / Python / DuckyScript | 1458 zł |
| O.MG Cable | HID-Injektion (Wi-Fi C2) | HID Tastatur+Maus, Keylogger, Geofencing | DuckyScript + Web-Panel | 968-1298 zł |
| Digispark | HID-Injektion (Budget) | HID (Tastatur) | Arduino IDE | 28 zł |
| WHID Injector | HID-Injektion (Wi-Fi) | HID + Fern-Wi-Fi | Web-Panel / Arduino | 169 zł |
| Packet Squirrel Mark II | Netzwerk-Implantat | Ethernet MITM, PCAP, VPN/SSH (kein HID) | Bash / Python / DuckyScript | 780 |
Tipps zur Zuordnung des Geräts zum Szenario:
Geht es im Audit um die Reaktion von Mitarbeitern auf liegengelassene USB-Geräte, reicht ein USB Rubber Ducky oder Digispark. Umfasst der Umfang die Übernahme einer Domänensitzung oder die Extraktion von Anmeldedaten aus Active Directory, ist der Bash Bunny das richtige Werkzeug. Das O.MG Cable eignet sich, wenn der Pentester physische Distanz zur angegriffenen Workstation wahren muss. Und wenn der Test ein kabelgebundenes Netzwerk und das Mitschneiden von Datenverkehr betrifft, greift man nicht zum tastaturbasierten BadUSB, sondern zum Netzwerk-Implantat - dem Packet Squirrel Mark II.
Profi-Tipp: Prüfe beim Kauf eines BadUSB-Geräts, ob der Hersteller eine aktive Community und ein Payload-Repository pflegt. Hardware ohne aktuelle Ressourcen verliert in sich wandelnden Testumgebungen schnell an Nutzen.
4. Herausforderungen und Abwehrtechniken gegen BadUSB-Angriffe
Die Kenntnis von Abwehrmethoden ist für einen Pentester ebenso wichtig wie die Kenntnis der Angriffstechniken. Bei der Durchführung von USB-Sicherheitstests musst du wissen, was auf der Seite des Verteidigers funktioniert und was nur nach einem wirksamen Schutz aussieht.
-
USB-Gerätekontrolle und VID/PID-Whitelisting. Das Filtern nach Hersteller- (VID) und Produkt-IDs (PID) ist der am häufigsten eingesetzte Mechanismus. Das Problem ist, dass diese IDs Firmware-Werte sind, die der Angreifer vollständig kontrolliert - ein Gerät lässt sich so konfigurieren, dass es die VID/PID einer erlaubten Tastatur vortäuscht (ein Rubber Ducky oder WHID kann die Deskriptoren eines legitimen Geräts klonen). VID/PID-Whitelisting ist daher eine Maßnahme, die die Hürde erhöht, den Angriff aber nicht blockiert; eine stärkere Bindung nutzt die Seriennummer und einen Deskriptor-Hash, doch auch die lassen sich fälschen.
-
Physische USB-Portsperren. Mechanische Portsperren oder deren Deaktivierung im BIOS/UEFI sind Methoden, die Verteidiger einsetzen als Ergänzung zu Software-Richtlinien. Wirksam in Hochrisikoumgebungen. Der Nachteil ist eine erhebliche Einschränkung der Arbeitsergonomie der Nutzer.
-
USBGuard und Endpoint Protector. USBGuard unter Linux erlaubt es, Richtlinien zu erstellen, die nur zuvor definierte Geräte zulassen. Endpoint Protector läuft unter Windows und macOS und bietet zentral verwaltete USB-Richtlinien. Beide Werkzeuge erfordern eine korrekte Konfiguration, denn die Standardeinstellungen blockieren neue HID-Geräte oft nicht.
-
Grenzen signaturbasierter Antiviren. Die Injektion selbst ist dateilos - Tastenanschläge der virtuellen Tastatur landen nie auf der Festplatte, also hat ein Signatur-Scanner nichts zu analysieren. Das heißt aber nicht, dass der Verteidiger hilflos ist: Verhaltensbasiertes EDR erkennt die Kette nach der Injektion (z. B. explorer.exe, das Sekunden nach dem Einstecken eines USB PowerShell startet), das übermenschliche und gleichmäßige "Tipp"-Tempo verrät den Automaten, und jede heruntergeladene zweite Stufe des Angriffs ist bereits eine Datei zum Scannen. Diese Unterscheidung - Signaturen blind, Verhaltensanalyse nicht - sollte der Pentester im Bericht klar beschreiben.
-
Schulung der Nutzer. Der schwierigste Aspekt der Abwehr von BadUSB ist, dass die Angriffe auf der Emulation einer Tastatur beruhen, also eines für die normale Arbeit unverzichtbaren Geräts. Nutzer haben keine einfache Möglichkeit, ein angreifendes Gerät ohne zusätzliche Werkzeuge von einer echten Tastatur zu unterscheiden.
-
Ereignisüberwachung und verhaltensbasierte Erkennung. Das Einstecken einer neuen "Tastatur" erzeugt unter Windows das Ereignis 6416 (Erkennung eines neuen externen Geräts) - besonders verdächtig, wenn sich eine zweite Tastatur an einer Station registriert, die bereits eine hat. Ein SIEM kann zudem anomale Prozesserstellung (PowerShell, das Sekunden nach dem Einstecken eines USB startet) mit dem Tastentempo korrelieren. Es gibt fertige Werkzeuge: DuckHunt und Beamgun überwachen die Tippkadenz und USB-Verbindungen und können die Station nach erkannter Injektion sperren. Das ist Erkennung, keine Prävention - ein verlangsamter, "zitternder" Payload kann sie umgehen, und schnelles Einfügen aus der Zwischenablage erzeugt False-Positives.
-
Eine wirksame USB-Sicherheitsrichtlinie erfordert die Kombination aus Gerätekontrolle, Schulung der Nutzer und physischem Portschutz. Keines dieser Elemente reicht für sich allein.
5. Meine Erfahrungen mit BadUSB-Geräten bei Pentests
Ich arbeite lange genug mit BadUSB-Geräten, um einige Beobachtungen zu haben, die du in der Herstellerdokumentation nicht findest.
Erstens: Die Wirksamkeit dieser Werkzeuge in realen Audits ist deutlich höher, als die meisten Kunden vor dem Test annehmen. Über HID eingeschleuste Befehle erreichen das System mit der Abfragegeschwindigkeit der Schnittstelle, nicht mit der Geschwindigkeit eines Menschen, der auf einer Tastatur tippt. In der Praxis läuft der Payload innerhalb weniger Sekunden nach dem Einstecken des Geräts an.
Zweitens: Der häufigste Fehler von Pentestern ist, den Payload nicht auf genau derselben Betriebssystemversion wie beim Kunden zu testen. Ein für Windows 10 geschriebener Payload kann sich unter Windows 11 anders verhalten, besonders wenn er PowerShell-Befehle mit von Microsoft geänderten Sicherheits-Flags ausführt.
Drittens: Ein Bash Bunny in den Händen eines Pentesters mit schwacher Kenntnis von Netzwerkprotokollen ist ein Gerät, das weniger leistet, als es kostet. Fortgeschrittene Hardware erfordert fortgeschrittenes Wissen, um sinnvoll genutzt zu werden. Ich habe Aufträge gesehen, bei denen ein Digispark für 15 USD denselben Effekt erzielte wie ein Bash Bunny für 120 USD, weil der Audit-Umfang eng war.
Was wirklich funktioniert: die Kombination aus USB Rubber Ducky für physische Social-Engineering-Tests und Bash Bunny für Active-Directory-Audits. Das O.MG Cable füge ich nur hinzu, wenn das Audit die Anwesenheit des Geräts an der Station über längere Zeit und eine Fernsteuerung erfordert. Die Dokumentation jedes Einsatzes ist ebenso wichtig wie der Angriff selbst - ein Bericht ohne präzise Reproduktionsschritte ist für die IT-Abteilung des Kunden nutzlos.
BadUSB-Equipment für Pentester im Sortiment von Sapsan-sklep
Sapsan-sklep bietet als europäischer Distributor von Cybersecurity-Hardware die in diesem Artikel besprochenen BadUSB-Geräte mit Lieferung in die gesamte Europäische Union und in die USA an.
In unserem Sortiment findest du die gesamte Keystroke-Injection-Klasse: USB Rubber Ducky (675 zł), Bash Bunny Mark II (1458 zł), O.MG Cable (ab 968 zł), den günstigen Digispark (28 zł) und den WHID Injector (169 zł). Für Tests kabelgebundener Netzwerke ist das Implantat Packet Squirrel Mark II (780 zł) erhältlich. Alle Geräte sind ausschließlich für legale Sicherheitstests mit schriftlicher Zustimmung des Systembesitzers bestimmt. Vollständiges Sortiment: sapsan-sklep.pl.
FAQ
Wie unterscheidet sich BadUSB von einem normalen USB-Stick?
BadUSB ist ein Gerät mit umprogrammierter Firmware, das eine HID-Tastatur emuliert und Befehle in das System einschleust. Ein normaler USB-Stick speichert nur Daten und führt beim Einstecken keine Aktionen aus.
Welches BadUSB-Gerät sollte man für ein erstes USB-Audit wählen?
Der USB Rubber Ducky ist die am häufigsten empfohlene Wahl für Pentester, die mit USB-Sicherheitstests beginnen. Die einfache Skriptsprache und die große Basis fertiger Payloads verkürzen die Einstiegszeit auf ein Minimum.
Erkennt ein Antivirus einen BadUSB-Angriff?
Ein signaturbasierter Antivirus erkennt die Injektion selbst nicht - Befehle der virtuellen Tastatur behandelt das System als normale Eingabe, und der Angriff ist dateilos. Erkannt wird er jedoch von verhaltensbasiertem EDR, an den Folgen: einer ungewöhnlichen Prozesskette und einer heruntergeladenen zweiten Angriffsstufe, die bereits eine gewöhnliche Datei ist.
Wie verwendet man BadUSB-Geräte legal?
Jeder Einsatz eines BadUSB-Geräts erfordert die schriftliche Zustimmung des Besitzers des getesteten Systems und muss vom Umfang des Pentesting-Auftrags gedeckt sein. Der Einsatz ohne Zustimmung ist unabhängig von der Absicht illegal.
Eignet sich Digispark für professionelle Audits?
Digispark eignet sich für einfache HID-Injektionstests und für Lernumgebungen. Für professionelle Audits mit Netzwerkemulation oder komplexen Payloads ist ein Gerät der Bash-Bunny-Klasse erforderlich.