16. Juni 2017 
Marc Wilhelmi 

USB-Sticks: Einfallstor für Crypto- und Malware

Wir leben in Zeiten, in denen Crypto- und Malware von allen Seiten, etwa über E‑Mails und ihre Datei­an­hänge, über Websites aber auch über externe Massen­spei­cher­me­dien wie USB-Sticks unsere Rechner atta­ckiert. Wir als IT-Dienst­leister verbringen in diesen Tagen sehr viel Zeit damit, Anwender und Kunden über die aktu­ellen Gefahren zu infor­mieren und sie auf die poten­zi­ellen Infek­ti­ons­wege aufmerksam zu machen.

Neudeutsch spre­chen wir hierbei von Aware­ness, die aktiv geför­dert werden muss. Dies meint, dass die Anwender für die Gefahren sensi­bi­li­siert wurden und dadurch aufmerksam und achtsam sind. So erkennen sie die Gefahren, bevor Crypto- und Malware auf dem Computer ankommen. Entschei­dend ist die Kompe­tenz der Anwender im Umgang mit den tägli­chen Risiken. Denn wir wissen heute, dass Filter, Anti­vi­ren­pro­gramme und andere tech­ni­sche Maßnahmen zwar helfen können, die Probleme in den Griff zu bekommen. Der sicherste Ansatz ist aber immer noch der aufge­klärte Anwender, der die Gefahr erkennt und entspre­chende Mails, Programme oder andere dubiose Dinge gar nicht erst öffnet oder benutzt.

Die „anderen Dinge“ sind es, die mich veran­lasst haben, diesen Beitrag zu schreiben. Jeder, der im Bereich IT arbeitet, kennt die Meldungen über arglose Mitar­beiter, die herren­lose USB-Stick auf Park­plätzen einsam­meln und gedan­kenlos an Ihre PCs stecken. Und in fast jedem Film, der sich bemüht, eine Hacking-Attacke glaub­haft darzu­stellen, kommt dieser berühmt-berüch­tigte, auf dem Boden liegende USB-Stick vor. Gleich­zeitig versu­chen immer mehr Firmen mit Hilfe von Richt­li­nien für den Umgang der Mitar­beiter mit externen Spei­cher­me­dien zu regeln, was an Sticks und Spei­cher­me­dien wie und wo benutzt werden darf. Doch ohne eine wirk­liche Einsicht der Mitar­beiter in die Proble­matik bleiben solche Richt­li­nien zahn­lose Papiertiger.

Wir dürfen leider nicht davon ausgehen, dass das entspre­chende Wissen und die erfor­der­liche Einsicht vorhanden sind. Auch wenn man meinen sollte, der allge­meine Tenor „USB-Sticks deren Herkunft und Inhalt man nicht hundert­pro­zentig kennt, sind tabu an einem PC“ wäre insbe­son­dere in großen Unter­nehmen geläufig. Darum gebe ich an dieser Stelle einen Über­blick darüber, was uns aktuell auf so einem Stick erwarten kann.

Angriffs­po­ten­tiale durch einen präpa­rierten USB-Stick

Stufe 1

Der Stick ist ein normaler USB-Stick, auf dem aber eine bösar­tige Soft­ware liegt, die durch einen einfa­chen Doppel­klick gestartet wird. Die Funk­tion „Autorun“ unseres Rech­ners haben wir ja hoffent­lich schon lange deak­ti­viert… „Autorun“ steht für „auto­ma­ti­scher Start“. Ist diese Funk­tion akti­viert, führt der Computer ohne vorhe­rige Nach­frage eben auto­ma­tisch jedes Programm aus – zu erkennen an der Datei­endung .exe – sobald er auf das Spei­cher­me­dium zugreifen kann. Sprich, sobald der Anwender eine CD, DVD oder einen USB-Stick einge­legt hat. Bei allen Dateien mit der Endung .exe sollte bei uns allen sofort die Warn­lampe angehen, denn ausführ­bare Dateien starten wir niemals aus Neugier. Und selbst bei Lisas_Nacktbilder.exe sollte keiner mehr klicken…

Stufe 2

In diesem Fall haben wir es wieder mit einem ganz normalen USB-Stick zu tun. Aller­dings ist die Gefahr nicht so leicht zu erkennen wie im ersten Fall, da wir uns nicht auf die Datei­endung .exe verlassen können. Jetzt finden wir auf dem harmlos daher­kom­menden Spei­cher­me­dium Skripte oder Datei­typen, die nicht sofort als ausführbar zu erkennen sind. Der Schäd­ling versteckt sich also wie ein Wolf im Schafs­pelz hinter einer vermeint­lich harm­losen Datei. Hat der Betrüger einen hinrei­chend geschickten Datei­namen gewählt, der die Neugier des Anwen­ders weckt, steigt das Risiko, dass der User wissen möchte, was sich hinter dem span­nenden Datei­namen verbirgt. Er klickt und hat damit der Schad­soft­ware die Tür zu seinem Rechner geöffnet.

Stufe 3

Auch bei dieser Masche nutzen die Betrüger einen normalen USB-Stick. Öffnet der Anwender ihn, so sieht er harmlos wirkende Doku­mente, die er viel­leicht aus Neugier öffnet. Was für den Laien nicht erkennbar ist: Die ange­zeigten Doku­mente sind präpa­riert worden. Werden sie geöffnet, entfalten sie ein Eigen­leben, indem sie über Makros oder mani­pu­lierte Codes Schad­soft­ware aus dem Web nach­laden und instal­lieren. Makros sind eine Reihe von Befehlen für den Computer wie wir sie etwa von Excel kennen. Die ganze Kette von Aktionen wird dabei durch nur einen Klick ausge­löst. Bei einem gezielten Angriff ist es dann schon mal der unauf­fäl­lige und büro­kom­pa­tible Datei­name Umsatz_Deckungsbeitrag_2017.xlsx, viel­leicht noch garniert mit dem Namen eines Wett­be­wer­bers oder Kunden. Je glaub­wür­diger die Story drum­herum, desto höher ist das Risiko, dass die Neugier des Anwen­ders über seine Vernunft trium­phiert. Da hilft nur ein Grund­satz: Adler­auge sei wachsam!

Stufe 4

 

Dieser Fall unter­scheidet sich von den drei Maschen, die wir schon kennen­ge­lernt haben. Zwar sieht der Stick nach wie vor wie ein klas­si­scher USB-Stick aus, mit dem wir unsere Daten sichern können. Viel­leicht benutzt er sogar wie gewohnt das übliche Lauf­werk.  Aber dann zeigt sich: Dieses Lauf­werk ist leer oder enthält völlig unin­ter­es­santes Zeug. Viel­leicht ist der Anwender enttäuscht, viel­leicht aber auch erleich­tert. Denn er musste ja nichts ankli­cken. Aber ist deshalb auch sicher nichts passiert? Weit gefehlt! Der Stick hat sich (auch) als soge­nanntes Human Inter­face Device (HID) gemeldet. So ein HID ist die Schnitt­stelle für die Kommu­ni­ka­tion zwischen Mensch und Computer, in der Regel über­nimmt dies die Tastatur. Kaum an den PC ange­steckt, hat der präpa­rierte USB-Stick auch schon im Hinter­grund eine Power­Shell geöffnet. Diese Funk­tion dient dazu, Micro­soft­sys­teme zu auto­ma­ti­sieren, zu konfi­gu­rieren und zu verwalten. Nun wird schnell ein kleines Skript „getippt“, Code geladen – und schwupps: der USB-Stick hat den Rechner über­nommen. All dies geschieht sekun­den­schnell und völlig unbe­merkt vom Anwender, sodass dieser gar nicht auf die Idee kommt, dass mit dem neuen USB-Stick etwas nicht in Ordnung wäre.

 

Aber all das ist ja noch nichts wirk­lich Neues. Ich wärme das heute wieder auf, weil einige Leute einen neuen und erfolg­ver­spre­chenden Weg gefunden haben, präpa­rierte USB-Stick unters Volk zu bringen.

Erin­nern wir uns: Ein herren­loser USB-Stick auf einem Park­platz? Das ist ein alter Hut, einen solchen Stick steckt hoffent­lich keiner mehr an seinen PC. Ein USB-Stick als Werbe­ge­schenk? Das ist zwar nett, aber auch solche Sticks nutzen wir nicht am Firmen-PC. Wie also können Betrüger ihre verseuchten Sticks an die Anwender bringen, deren Rechner sie infi­zieren wollen? Ich verrate es Ihnen: Mit der guten alten analogen Post, genau! Heute bekam ich etwa vermeint­liche Post von einem großen Versi­cherer, der bestimmt auch Cyber- und Daten­ri­siken versi­chert. Dort wird fröh­lich in Grün und auf fester Pappe für eine Versi­che­rung geworben. Wenn ich mich richtig erin­nere, ging es um Über­span­nungs­schäden – wie passend. Aber der Clou in der Aufklappe-Karte war ein in die Pappe einge­stanzter USB-Stick, den man heraus­trennen und in den PC stecken konnte, um dort auf einen tollen Weblink mit exklu­siven Infor­ma­tionen und tollen Gewinn­mög­lich­keiten zu gelangen.

Wow, dachte ich: Ein sehr seriöser Absender, ein hoch­wer­tiges Produkt, dass man trotzdem preis­wert nach­bauen kann, und dazu auch noch ein Gewinn­spiel. Da kann man ja gar nicht wider­stehen! Im ersten Moment war ich sprachlos über so viel Gedan­ken­lo­sig­keit im Marke­ting des Versi­che­rers. Dann kam mir ein anderer Gedanke: War das Ganze viel­leicht doch ein präzise indi­vi­dua­li­sierter Angriff auf mich? Und wenn ja, habe ich es nur mit einem mani­pu­lierten Link auf dem Stick zu tun oder handelt es sich im schlimmsten Fall um einen wirk­lich mani­pu­lierten Stick? Um beim Versi­cherer nach­zu­fragen, um die Echt­heit der Sendung zu prüfen, müsste ich erst mühsam den rich­tigen Ansprech­partner recher­chieren. Da mir heute auch kein Sandbox-System zum Testen zur Verfü­gung steht, muss ein alter Kinder-Mac für eine erste Analyse herhalten.

Lesen Sie demnächst im 2. Teil, was meine Analyse ergab…