USB-Sticks: Einfallstor für Crypto- und Malware
Wir leben in Zeiten, in denen Crypto- und Malware von allen Seiten, etwa über E‑Mails und ihre Dateianhänge, über Websites aber auch über externe Massenspeichermedien wie USB-Sticks unsere Rechner attackiert. Wir als IT-Dienstleister verbringen in diesen Tagen sehr viel Zeit damit, Anwender und Kunden über die aktuellen Gefahren zu informieren und sie auf die potenziellen Infektionswege aufmerksam zu machen.
Neudeutsch sprechen wir hierbei von Awareness, die aktiv gefördert werden muss. Dies meint, dass die Anwender für die Gefahren sensibilisiert wurden und dadurch aufmerksam und achtsam sind. So erkennen sie die Gefahren, bevor Crypto- und Malware auf dem Computer ankommen. Entscheidend ist die Kompetenz der Anwender im Umgang mit den täglichen Risiken. Denn wir wissen heute, dass Filter, Antivirenprogramme und andere technische Maßnahmen zwar helfen können, die Probleme in den Griff zu bekommen. Der sicherste Ansatz ist aber immer noch der aufgeklärte Anwender, der die Gefahr erkennt und entsprechende Mails, Programme oder andere dubiose Dinge gar nicht erst öffnet oder benutzt.

Die „anderen Dinge“ sind es, die mich veranlasst haben, diesen Beitrag zu schreiben. Jeder, der im Bereich IT arbeitet, kennt die Meldungen über arglose Mitarbeiter, die herrenlose USB-Stick auf Parkplätzen einsammeln und gedankenlos an Ihre PCs stecken. Und in fast jedem Film, der sich bemüht, eine Hacking-Attacke glaubhaft darzustellen, kommt dieser berühmt-berüchtigte, auf dem Boden liegende USB-Stick vor. Gleichzeitig versuchen immer mehr Firmen mit Hilfe von Richtlinien für den Umgang der Mitarbeiter mit externen Speichermedien zu regeln, was an Sticks und Speichermedien wie und wo benutzt werden darf. Doch ohne eine wirkliche Einsicht der Mitarbeiter in die Problematik bleiben solche Richtlinien zahnlose Papiertiger.
Wir dürfen leider nicht davon ausgehen, dass das entsprechende Wissen und die erforderliche Einsicht vorhanden sind. Auch wenn man meinen sollte, der allgemeine Tenor „USB-Sticks deren Herkunft und Inhalt man nicht hundertprozentig kennt, sind tabu an einem PC“ wäre insbesondere in großen Unternehmen geläufig. Darum gebe ich an dieser Stelle einen Überblick darüber, was uns aktuell auf so einem Stick erwarten kann.
Angriffspotentiale durch einen präparierten USB-Stick
Stufe 1
Der Stick ist ein normaler USB-Stick, auf dem aber eine bösartige Software liegt, die durch einen einfachen Doppelklick gestartet wird. Die Funktion „Autorun“ unseres Rechners haben wir ja hoffentlich schon lange deaktiviert… „Autorun“ steht für „automatischer Start“. Ist diese Funktion aktiviert, führt der Computer ohne vorherige Nachfrage eben automatisch jedes Programm aus – zu erkennen an der Dateiendung .exe – sobald er auf das Speichermedium zugreifen kann. Sprich, sobald der Anwender eine CD, DVD oder einen USB-Stick eingelegt hat. Bei allen Dateien mit der Endung .exe sollte bei uns allen sofort die Warnlampe angehen, denn ausführbare Dateien starten wir niemals aus Neugier. Und selbst bei Lisas_Nacktbilder.exe sollte keiner mehr klicken…
Stufe 2
In diesem Fall haben wir es wieder mit einem ganz normalen USB-Stick zu tun. Allerdings ist die Gefahr nicht so leicht zu erkennen wie im ersten Fall, da wir uns nicht auf die Dateiendung .exe verlassen können. Jetzt finden wir auf dem harmlos daherkommenden Speichermedium Skripte oder Dateitypen, die nicht sofort als ausführbar zu erkennen sind. Der Schädling versteckt sich also wie ein Wolf im Schafspelz hinter einer vermeintlich harmlosen Datei. Hat der Betrüger einen hinreichend geschickten Dateinamen gewählt, der die Neugier des Anwenders weckt, steigt das Risiko, dass der User wissen möchte, was sich hinter dem spannenden Dateinamen verbirgt. Er klickt und hat damit der Schadsoftware die Tür zu seinem Rechner geöffnet.
Stufe 3
Auch bei dieser Masche nutzen die Betrüger einen normalen USB-Stick. Öffnet der Anwender ihn, so sieht er harmlos wirkende Dokumente, die er vielleicht aus Neugier öffnet. Was für den Laien nicht erkennbar ist: Die angezeigten Dokumente sind präpariert worden. Werden sie geöffnet, entfalten sie ein Eigenleben, indem sie über Makros oder manipulierte Codes Schadsoftware aus dem Web nachladen und installieren. Makros sind eine Reihe von Befehlen für den Computer wie wir sie etwa von Excel kennen. Die ganze Kette von Aktionen wird dabei durch nur einen Klick ausgelöst. Bei einem gezielten Angriff ist es dann schon mal der unauffällige und bürokompatible Dateiname Umsatz_Deckungsbeitrag_2017.xlsx, vielleicht noch garniert mit dem Namen eines Wettbewerbers oder Kunden. Je glaubwürdiger die Story drumherum, desto höher ist das Risiko, dass die Neugier des Anwenders über seine Vernunft triumphiert. Da hilft nur ein Grundsatz: Adlerauge sei wachsam!
Stufe 4
Dieser Fall unterscheidet sich von den drei Maschen, die wir schon kennengelernt haben. Zwar sieht der Stick nach wie vor wie ein klassischer USB-Stick aus, mit dem wir unsere Daten sichern können. Vielleicht benutzt er sogar wie gewohnt das übliche Laufwerk. Aber dann zeigt sich: Dieses Laufwerk ist leer oder enthält völlig uninteressantes Zeug. Vielleicht ist der Anwender enttäuscht, vielleicht aber auch erleichtert. Denn er musste ja nichts anklicken. Aber ist deshalb auch sicher nichts passiert? Weit gefehlt! Der Stick hat sich (auch) als sogenanntes Human Interface Device (HID) gemeldet. So ein HID ist die Schnittstelle für die Kommunikation zwischen Mensch und Computer, in der Regel übernimmt dies die Tastatur. Kaum an den PC angesteckt, hat der präparierte USB-Stick auch schon im Hintergrund eine PowerShell geöffnet. Diese Funktion dient dazu, Microsoftsysteme zu automatisieren, zu konfigurieren und zu verwalten. Nun wird schnell ein kleines Skript „getippt“, Code geladen – und schwupps: der USB-Stick hat den Rechner übernommen. All dies geschieht sekundenschnell und völlig unbemerkt vom Anwender, sodass dieser gar nicht auf die Idee kommt, dass mit dem neuen USB-Stick etwas nicht in Ordnung wäre.

Aber all das ist ja noch nichts wirklich Neues. Ich wärme das heute wieder auf, weil einige Leute einen neuen und erfolgversprechenden Weg gefunden haben, präparierte USB-Stick unters Volk zu bringen.
Erinnern wir uns: Ein herrenloser USB-Stick auf einem Parkplatz? Das ist ein alter Hut, einen solchen Stick steckt hoffentlich keiner mehr an seinen PC. Ein USB-Stick als Werbegeschenk? Das ist zwar nett, aber auch solche Sticks nutzen wir nicht am Firmen-PC. Wie also können Betrüger ihre verseuchten Sticks an die Anwender bringen, deren Rechner sie infizieren wollen? Ich verrate es Ihnen: Mit der guten alten analogen Post, genau! Heute bekam ich etwa vermeintliche Post von einem großen Versicherer, der bestimmt auch Cyber- und Datenrisiken versichert. Dort wird fröhlich in Grün und auf fester Pappe für eine Versicherung geworben. Wenn ich mich richtig erinnere, ging es um Überspannungsschäden – wie passend. Aber der Clou in der Aufklappe-Karte war ein in die Pappe eingestanzter USB-Stick, den man heraustrennen und in den PC stecken konnte, um dort auf einen tollen Weblink mit exklusiven Informationen und tollen Gewinnmöglichkeiten zu gelangen.
Wow, dachte ich: Ein sehr seriöser Absender, ein hochwertiges Produkt, dass man trotzdem preiswert nachbauen kann, und dazu auch noch ein Gewinnspiel. Da kann man ja gar nicht widerstehen! Im ersten Moment war ich sprachlos über so viel Gedankenlosigkeit im Marketing des Versicherers. Dann kam mir ein anderer Gedanke: War das Ganze vielleicht doch ein präzise individualisierter Angriff auf mich? Und wenn ja, habe ich es nur mit einem manipulierten Link auf dem Stick zu tun oder handelt es sich im schlimmsten Fall um einen wirklich manipulierten Stick? Um beim Versicherer nachzufragen, um die Echtheit der Sendung zu prüfen, müsste ich erst mühsam den richtigen Ansprechpartner recherchieren. Da mir heute auch kein Sandbox-System zum Testen zur Verfügung steht, muss ein alter Kinder-Mac für eine erste Analyse herhalten.
Lesen Sie demnächst im 2. Teil, was meine Analyse ergab…