Überspringen zu Hauptinhalt

Sicherheits-Awareness mit dem Bash Bunny

Trotz Schadenssummen durch Cyber-Kriminalität in schwindelerregender Höhe ist das Thema Cyber-Sicherheit im Bewusstsein vieler Menschen nur sehr eingeschränkt vorhanden. Warum sollten sich die Hacker mit Sonnenbrille und Kapuzenpullover aus einem fernen Land auch gerade für Sie interessieren? Ganz einfach: Weil es sich lohnt. Kleine und mittlere Ziele sind für viele Kriminelle mittlerweile viel lukrativer geworden, da man mit relativ einfachen Mitteln zum Ziel kommt. Um diesem Trend etwas entgegenzusetzen ist eine umfassende Schulung aller Mitarbeiter erforderlich, sodass die nötige Awareness für Cybersicherheit aufgebaut werden kann.

Die digitale Kompetenz der Mitarbeiter in Ihrem Unternehmen – als Verteidigungslinie gegen die Cyberkriminalität – fängt bereits bei einfachen Regeln an, die leider von viel zu vielen Menschen nach wie vor missachtet werden. Dass gefundene USB-Sticks einfach an einem Gerät angeschlossen werden, um „mal zu schauen was drauf ist“ oder dass der eigene Computer beim Verlassen des Arbeitsplatzes nicht gesperrt wird, sind zwei der häufigsten anzutreffenden Gefahrenquellen für die IT-Sicherheit. Wir zeigen Ihnen hier wie Sie mit Hilfe eines kleinen Gadgets die Mitarbeiter in Ihrem Unternehmen in dieser Hinsicht sensibilisieren können.

Wir werden den sogenannten Bash Bunny nutzen um innerhalb weniger Sekunden an einem nicht gesperrten Windows-PC den Desktophintergrund auf ein Bild unserer Wahl zu ändern. Der Bash Bunny ist ein kleiner unauffälliger Stick, kaum größer als ein üblicher USB-Stick. Das gemeine ist: Er kann sich nicht nur als USB-Stick am Computer anmelden, sondern beispielsweise auch als Tastatur. Somit kann über die simulierte Tastatur auf dem Zielrechner die einprogrammierte Tastenfolge eingegeben werden und in kürzester Zeit allerlei Unfug, wie etwa das Auslesen verschiedener Passwörter, getrieben werden. Unser „Angriff“ ist dagegen noch harmlos.

Vorbereitung des Bash Bunnys

Wenn Sie den Bash Bunny das erste Mal in den Händen halten empfiehlt es sich eine Reihe von Konfigurationen vorzunehmen. Da die offizielle Dokumentation etwas lückenhaft ist, sind hier die wichtigsten Schritte beschrieben.

Zuallererst überprüfen wir ob die aktuellste Version der Firmware bereits auf dem Bash Bunny installiert ist. Meist ist dies im Auslieferungszustand nicht der Fall. Schließen Sie den Bash Bunny dazu im „Arming Mode“ an den Computer an.

Übersicht über die Positionen des Schalters am Bash Bunny

Der Bash Bunny meldet sich im Arming Mode als normaler USB Stick am Gerät an und kann somit konfiguriert werden. Die bestehende Version der Firmware auf dem Bash Bunny ist in der version.txt Datei im Root-Verzeichnis zu finden.

Dateien im Root-Verzeichnis

Die aktuellste offizielle Firmwareversion für den Bash Bunny kann hier heruntergeladen werden. Das Update führen wir durch, in dem wir die heruntergeladene .tar.gz Datei unverändert in das Root-Verzeichnis des Bash Bunnys ablegen und diesen daraufhin vom Computer trennen. Wichtig: Es wird empfohlen den Bash Bunny im Arming Mode immer sicher zu entfernen. Das sichere Entfernen ist auch hier essentiell damit der Updatevorgang starten kann. Wenn wir den Bash Bunny (im Arming Mode) nach dem sicheren Entfernen wieder an den Rechner anschließen, wird das Update gestartet. Sobald die LED am Bash Bunny nur noch blau blinkt, ist der Updatevorgang abgeschlossen. Der Prozess dauert etwa 10 Minuten.

Ein weiterer wichtiger Schritt, bevor wir mit unserem Angriff loslegen können, ist die Auswahl des richtigen Tastaturlayouts. Für unseren Angriff simuliert der Bash Bunny unter anderem eine Tastatur. Damit werden die von uns einprogrammierten Befehle auf dem Zielrechner eingetippt. Unser Zielrechner verwendet das deutsche Tastaturlayout; die Standardeinstellung des Bunnys ist jedoch das US-Layout. Aus diesem Grund muss dies vorab angepasst werden. Neben dem deutschen Layout finden sich auf dem offiziellen Github viele weitere Sprachen. Die gewünschten Layouts müssen nach dem Download in den languages Ordner des Bash Bunnys verschoben werden.

Verschiedene Tastaturlayouts im languages Ordner

Da wir unseren Bunny im Regelfall an einem Gerät mit deutschem Layout nutzen möchten und diese Einstellung nicht jedes Mal im entsprechenden Skript hinterlegen wollen, können wir dies als allgemeine Konfiguration hinterlegen. Dafür nutzen wir die config.txt Datei, die wie die version.txt im Root-Ordner zu finden ist. Die config.txt wird vom Bash Bunny bei jedem Angriff vor dem eigentlichen Skript gelesen und ausgeführt. In dem wir hier den entsprechenden Befehl DUCKY_LANG de setzen, ist die deutsche Tastatur für alle Angriffe festgelegt.

Die bereits bearbeitete config.txt

Vorbereitung des Angriffs

Nachdem der Bash Bunny nun fertig konfiguriert ist, können wir mit der Vorbereitung unseres Angriffs beginnen. Da wir den Desktophintergrund des Zielrechners ändern möchten, benötigen wir zuallererst das gewünschte Hintergrundbild. Dieses Bild muss als .deskthemepack Datei exportiert werden. Laden Sie unseren Hintergrund einfach hier herunter (Download). Natürlich können Sie auch ein eigenes Bild bzw. Design verwenden. Das entsprechende Menü erreichen Sie unter Windows 10 über die Windowseinstellungen unter dem Punkt „Personalisierung“. Der Export eines eigenen Hintergrundbilds als .deskthemepack Datei funktioniert in vier einfachen Schritten:

4 Schritte zum Export eines Designs unter Windows 10

  1. Ändern Sie den Desktophintergrund auf das von Ihnen gewünschte Bild
  2. Öffnen Sie den Reiter „Designs“.
  3. Klicken Sie auf Design speichern. Danach erscheint das gerade abgespeicherte Design in der unteren Reihe unter „Design anwenden“.
  4. Mit einem Rechtsklick auf das Design erscheint die Schaltfläche „Design für die Freigabe speichern“. So lässt sich Ihr selbst erstelltes Hintergrundbild exportieren.

Wichtig hierbei ist, dass die Datei ebenfalls wie unser bereitgestelltes Design in theme.deskthemepack umbenannt wird. Wird die Datei anders benannt ist unser Skript später nicht in der Lage die Datei zu finden und anzuwenden. Nun verschieben wir die theme.deskthemepack Datei in den gewünschten Switch-Ordner innerhalb des payloads Ordners. Hier ist dies die Position 1, also der Ordner unter BashBunny\payloads\switch1.

Die benötigten Inhalte des Switch Ordners

Die zweite Datei, die für unseren Angriff benötigt wird, ist die payload.txt im selben Ordner. Dies ist unser eigentliches Skript; es sagt dem Bash Bunny was zu tun ist. Die grundlegenden Befehle, die wir hier in diesem Skript verwenden, sind schnell erklärt:

Der Befehl LED legt die Farbe und die Blinkfrequenz des kleinen Lämpchens am Bash Bunny fest. Damit lässt sich vor allem bei aufwändigeren Angriffen kontrollieren, ob der Vorgang erfolgreich abgeschlossen wurde.

Durch den Befehl ATTACKMODE wird das Gerät ausgewählt, welches durch den Bash Bunny emuliert werden soll. In unserem Fall ist das eine Tastatur (HID = Human Interface Device) und ein gewöhnlicher USB Stick (Storage).

Über die emulierte Tastatur können unsere Befehle ausgeführt werden die mit dem Befehl Q beginnen. Den emulierten USB-Stick benötigen wir um auf unsere theme.deskthemepack Datei zugreifen zu können.

Q ist kurz für QUACK und führt Tastatureingaben aus, die im sogenannten Ducky Skript geschrieben sind.

So sieht unsere fertige payload.txt aus:

Die fertige Payload für unseren Angriff

Bevor Sie das erste eigene Skript schreiben, können Sie die hier beschriebene Vorgehensweise mit unserem Skript selbst testen. Laden Sie die payload.txt einfach hier herunter (Download), entpacken diese und fügen sie in den gleichen Switch-Ordner wie die theme.deskthemepack Datei ein.

Ist der Bash Bunny fertig konfiguriert und die beiden Dateien im richtigen Ordner kann es mit dem ersten Angriff losgehen.

Der Angriff

Wenn der Schalter am Bash Bunny auf die Position geändert wurde, auf der unser Skript zu finden ist (hier Position 1), kann er an einen unbeaufsichtigten Windows-Rechner ab Windows 7 angeschlossen werden und verrichtet sein Werk innerhalb weniger Sekunden.

Der Bash Bunny in Aktion

Unser Angriff hat alles in allem nicht einmal 20 Sekunden gedauert und das Opfer wird – je nach dem welches Bild Sie verwenden – beim nächsten Mal den eigenen Rechner vor dem Verlassen sicherlich sperren. Damit ist schon ein erster wichtiger Beitrag im Kampf um das Sicherheitsbewusstsein der Mitarbeiter getan.

Windowstaste + L wirkt Wunder.

An den Anfang scrollen