Angriff der Computer-Maus
Ein Sicherheitsdienstleister nutzte eine präparierte USB-Maus, um das Netz eines Unternehmenskunden zu infiltrieren.
- Daniel Bachfeld
Der Sicherheitsdienstleister Netragard hat einen Angriff auf einen Kunden beschrieben, bei dem er zum Infiltrieren des Unternehmensnetzes eine manipuierte Computer-Maus benutzte. Dazu baute er in das Gehäuse der Maus einen zusätzlichen Mikrocontroller mit USB-Unterstützung (Teensy-Board) ein, der eine Tastatur simulierte und ergänzte das Ganze um einen USB-Speicher.
Der Atmel-Controller des Teensy-Boards sendete nach dem Anschluss an den PC Tastatureingaben an den Computer, um auf dem USB-Stick gespeicherte Programme zu starten. Konkret installierte Netragard die aus dem Metasploit-Framework stammende Fernsteuersoftware Meterpreter. Um auf dem Zielsystem den von McAfee stammenden Virenscanner ruhigzustellen, nutzen Netragard nach eigenen Angaben einen bis dato unbekannten Exploit.
Knackpunkt des Angriffs war, einen geeigneten Angestellten zu finden, an dem man die Computer-Maus schicken konnte, damit dieser sie unbedacht an seinen Rechner anschließt. Zwar hatte der Auftraggeber des Penetration-Tests Social-Engineering-Angriffe per Telefon, Social Networks und E-Mail verboten, über den Adressanbieter Jigsaw gelangte Netragard aber an eine Liste von Angestellten des Unternehmens. Einen davon wählte man aus und sandte ihm die Maus in der Originalverpackung zu – als Werbegeschenk getarnt.
Ganz neu ist der Angriff mit manipulierten USB-Geräten nicht, insbesondere "zufällig" liegen gelassene USB-Sticks werden bei Sicherheitstest immer mal wieder eingesetzt. Einer aktuellen Studie des Department of Homeland Security zufolge schließen 60 Prozent der Anwender einen USB-Stick unbedarft an den PC an, um zu sehen, was darauf gespeichert ist.
Der praktische Angriff via Computer-Maus ist allerdings neu. Sicherheitsbeauftrage in Unternehmen dürfte dies vor das Problem stellen, künftig Peripherie-Geräte einer Prüfung unterziehen zu müssen, bevor Anwender sie an ihren PC anschließen dürfen. Auch manipulierte Android-Handys können sich beim Anschluss an den Rechner als Keyboard zu erkennen geben und die Kontrolle übernehmen. (dab)
