Beheer
USB-hackstick nu nog stiekemer; door eigen scripttaal en toetsenbordlampjes
Klassieke hackhardware Rubber Ducky in nieuwe versie krachtiger en stiekemer.
Klassieke hackhardware Rubber Ducky in nieuwe versie krachtiger en stiekemer.
De schijnbaar gewone usb-stick Rubber Ducky is verder verbeterd en werkt daardoor flexibeler, gerichter, stiller en dus beter. De geheugenstick die zich als toetsenbord identificeert naar computers toe kan dan commando's invoeren om systemen te hacken. Door een nieuwe, eigen scripttaal kan de Rubber Ducky dit hackwerk nu nog beter verrichten.
De vernieuwde usb-hacktool, waarvan de eerste versie tien jaar geleden uitkwam, kan nu zelf detecteren of het is ingestoken op een Windows- of macOS-computer. Vervolgens kan het zelf de gepaste code voor het bewuste besturingssysteem uitvoeren, om uiteenlopende hackactiviteiten te ontplooien. Afhankelijk van de instellingen die een aanvaller aan zijn/haar Rubber Ducky meegeeft, kan de stick zichzelf ook uitschakelen als het 'ziet' dat het is ingestoken op een computer die niet het bedoelde doelwit is.
Wachtwoorden stelen
De voorgaande versies van de Rubber Ducky konden al dingen doen zoals het voorschotelen van een nep-inlogvenster voor Windows. Daardoor konden gebruikers dan onbedoeld hun gebruikersnaam en wachtwoord prijsgeven aan de usb-hackstick. Het kon ook ervoor zorgen dat alle wachtwoorden die zijn opgeslagen in webbrowser Chrome automatisch worden doorgestuurd naar een webserver naar keuze van de aanvaller, schrijft The Verge. De nieuwe versie kan echter nog veel meer.
Rubber Ducky-schepper Darren Kitchen heeft The Verge een uitgebreide toelichting gegeven over de nieuwe, flink verbeterde versie. De release daarvan valt samen met de 2022-editie van hackersconferentie DEF CON. Een van de belangrijkste verbeteringen is versie 3.0 van DuckyScript, een eigen taal speciaal voor deze hacktool. Daarmee kunnen nu complexe scripts worden opgesteld om geavanceerdere hackoperaties uit te voeren. Dit maakt bijvoorbeeld het detecteren van Windows en macOS mogelijk.
Menselijk lijkende invoer
Daarnaast kan de nieuwe Rubber Ducky pseudowillekeurige getallen genereren om die te gebruiken voor het inlassen van variabele pauzes in de invoer van toetsaanslagen. Daardoor kan de invoer van dit usb-apparaat - dat immers voor een computer een tweede, aangesloten toetsenbord is - meer menselijk lijken. Eventuele monitoring door securitysoftware op verdacht gedrag kan daarmee om de tuin worden geleid.
Verder heeft de verbeterde hackstick een gloednieuwe mogelijkheid voor datadiefstal, die gebaseerd is op een bijna 40 jaar oude pc-kerntechnologie. Het door Kitchen aangeprezen Keystroke Reflection gebruikt de lampjes voor caps lock, num lock en scroll lock als side-channel om gegevens te stelen. De aloude mogelijkheid voor een computer om die klassieke toetsenbordlampjes aan of uit te zetten, zijn in het virtuele toetsenbord van de Ducky te gebruiken als 'ontvanger'. In een soort Morse-code worden dan gegevens zoals bijvoorbeeld wachtwoorden verstuurd naar de usb-stick. Deze data wordt dan opgeslagen in een microgeheugenkaartje dat in de Ducky schuilt.
Here's the white paper & tech details for this new attack: https://t.co/VMZfHu9h4L
— Darren Kitchen (@hak5darren) August 8, 2022
My inner 8-year-old is giggling that this vuln goes back to literally my first PC. Props @IBM <3 such good times on my XT!
Techjournalist, ICT-kenner en contentproducent bij AG Connect.