AirDrive Forensic Keylogger
15. April 2020
Sophos Fixes XG Firewall Vulnerability
27. April 2020AirDrive Forensic Keylogger
15. April 2020Sophos Fixes XG Firewall Vulnerability
27. April 2020
MimiKatz Payload für Rubber Ducky
Was ist MimiKatz?
Kurz gesagt, ist MimiKatz ein Tool, mit dem sich zwischengespeicherte Anmeldedaten von Windows Betriebssystemen auslessen lassen.
Das Tool ist auf GitHub in 32- und 64bit Versionen verfügbar und erfreut sich einer großen Community.
Was ist ein Rubber Ducky?
Der Rubber Ducky* ist ein BadUSB Klassiker von Hak5, der wie ein gewöhnlicher USB-Stick aussieht. Unter der Haube befindet sich jedoch ein AMTEL 32bit Microcontroller mit SD-Karte, der als virtuelle Tastatur fungieren kann. Dies bedeutet, der Rubber Ducky* kann somit alles machen, was auch im Kontext einer Tastatur gemacht werden kann.
Durch die Verwendung der einfachen Ducky Scripts, hat der Rubber Ducky* eine große Verbreitung gefunden. Spätestens mit Mr. Robot ist der BadUSB-Angriff populär geworden.
MimiKatz Payload für Rubber Ducky
Unter den Rubber Ducky Scripts auf GitHub befindet sich auch eine Payload, mit dem der Rubber Ducky* per MimiKatz gefundene Anmeldedaten im Klartext unter Verwendung des Moduls “sekurlsa” in eine Textdatei ausgibt.
- als erstes lädt die Payload per http von einer angegebenen Quelle die für das Betriebssystem notwendige MimiKatz binary herunter
- anschließend wird eine CMD als Admin gestartet
- per skurlsa::logonPasswords speichert MimiKatz die gefundenen Anmeldedaten im Klartext in eine Textdatei
- nach Durchführung wird die generierte Textdatei mittels eines gmail Kontos versendet
- abschließend werden alle Spuren verwischt
Demo
Wie kann man sich davor schützen?
- da der Rubber Ducky* eine Tastatur simuliert und hier auf eine CMD angewiesen ist, würde die Sperrung des Computers den hier gezeigten Angriff bereits verhindern
(USB-Port Sperre würde in diesem Szenario NICHT helfen, da eine USB-Port Sperre meist nur Wechseldatenträger sperrt) - keine Administratoren-Rechte für “Standard-Benutzer” verwenden
- Whitelisting von Produkt- und Hersteller-IDs
(dürfte jedoch zu aufwendig sein, da jedes Peripherie-Gerät registriert und freigeschaltet werden müsste) - Nutzung von Tools wie bspw. Duck Hunter, die die Auswirkung von HID (Human Interface Device) Angriffen begrenzen, indem diese erkennen, wenn bspw. Tastatureinschläge zu schnell eingetippt werden
(nicht empfohlen im Unternehmenseinsatz) - Sicherstellung physischer Security, sodass nicht-autorisierte Personen keinen Zugang zu (ungenutzten) USB-Ports erhalten
- Sensibilisierung der Mitarbeiter
Die mit Sternchen (*) gekennzeichneten Links in diesem Beitrag sind sogenannte Affiliate-Links (Provisions-Links). Wenn Sie auf so einen Affiliate-Link klicken und über diesen Link einkaufen, bekommen wir von dem betreffenden Online-Shop oder Anbieter eine Provision. Für Sie verändert sich der Preis nicht. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
