CYBER SECURITY.
CYBER SECURITY.
Websec
Preventie
Inzicht
Cyberlab

Is het einde van de USB Rubber Ducky in zicht?

Al sinds 2010 maken USB Rubber Ducky’s mensen het leven zuur. Maar is het einde van de Rubber Ducky nu toch echt eindelijk in zicht? Als het aan Google ligt wel: zij ontwikkelden een tool die de weerbaarheid tegen deze “keystroke injection tools” aanzienlijk verhoogt.
8 juni, 2020

Helaas is de tool van Google voorlopig alleen nog beschikbaar voor Linux-gebruikers. Toch is het een ontzettend positief gegeven dat in die 10 jaar er eindelijk iets tegen Keystroke Injection aanvallen zoals USB Rubber Ducky is ontwikkeld. De kans dat een dergelijke tool in de toekomst ook beschikbaar gaat zijn voor andere operating systems is tenslotte reëel.

Wat is een USB Rubber Ducky?

Allereerst: wat is een USB Rubber Ducky precies? Waar komt het vandaan? En hoe zetten aanvallers ze in? Een Rubber Ducky is een “keystroke injection tool” dat vermomd is als een USB-stick. Deze normaal uitziende USB-stick is voorzien van een speciale chipset waarmee hij zich voor doet als een toetsenbord die “toetsaanslagen” kan invoeren wanneer de USB-stick is ingeplugd.

Dat invoeren gaat geheel automatisch. De chipset in de USB is namelijk voorzien van een Micro SD-slot waar de aanvaller van te voren payload/code op kan zetten. Stopt iemand de Rubber Ducky in een PC? Dan typt deze de vooraf ingestelde commando’s in alsof het een echt toetsenbord is. Dat is meteen ook de reden waarom USB Rubber Ducky’s zo gevaarlijk zijn: antivirusprogramma’s herkennen ze niet.

Hoe het kan dat antivirusprogramma’s Rubber Ducky’s niet herkennen?

Antivirus software gaat ervan uit dat de Rubber Ducky gewoon een toetsenbord is waar iemand achter zit. Ondanks de schadelijke commando’s die een Rubber Ducky in een recordtempo weet in te voeren, zijn antivirussen nooit in staat geweest ze tegen te houden. Waarom? Omdat antivirus software toetsenborden altijd toestaat. Een computer kan nog wel zonder een muis, maar zonder toetsenbord is het onbedienbaar, tenslotte.

Scripts die wachtwoorden stelen

De mogelijkheid om ongestoord schadelijke commando’s in te voeren is voor aanvallers natuurlijk ontzettend interessant. USB Rubber Ducky’s worden dan ook op verschillende manieren ingezet. Tenslotte is er via deze weg een hoop mogelijk. Denk bijvoorbeeld aan het invoeren van een script dat wachtwoorden steelt. U kunt zich voorstellen: USB Rubber Ducky’s zijn krachtig in de handen van kwaadwillenden.

Overigens is de Rubber Ducky waarschijnlijk ontwikkeld door een IT’er met goede intenties. Hij wilde het leed van IT’ers die steeds dezelfde commando’s in moeten typen namelijk verzachten. De USB-stick die hij daarvoor gebruikte, had de vorm van een rubberen eend. Vandaar de naam “Rubber Ducky”. Ze zijn nog steeds voor een paar tientjes online te bestellen, puur doordat ze ook ontzettend functioneel zijn voor IT’ers.

Hoe Rubber Ducky’s in computers terecht komen

U bent vast al eens gewaarschuwd dat het beter is onbekende USB-sticks niet te vertrouwen. Toch blijven aanvallen via deze methode veelvoorkomend. Soms doordat iemand toch per ongeluk zonder het te weten een Rubber Ducky inplugt, maar ook doordat de kwaadwillende dat gewoon zelf doet.

Het sterke aan een USB Rubber Ducky is namelijk dat hij “In & Out” werkt. Het weet de commando’s razendsnel (meer dan 1000 woorden per minuut) in te toetsen, waardoor binnen 1 minuut het werk geklaard is.  Iemand hoeft dus maar 60 seconden in de buurt van een PC te komen om een Rubber Ducky zijn werk te laten doen.

Leer derden buiten te houden met een inlooptest

Het is daarom belangrijk dat onbevoegden nooit in de buurt van uw systemen kunnen komen. Met een inlooptest – ook wel fysieke penetratietest – is goed te achterhalen hoe derden binnen uw pand kunnen komen. Zo’n test legt alle kwetsbaarheden bloot en geeft inzicht in hoe u uw pand nog beter kunt beveiligen.

Ook verwachten we dat bedrijven zich in de toekomst dus extra kunnen weren tegen USB Rubber Ducky’s via de tool die Google heeft ontwikkeld. Zoals we al eerder benoemden is deze tot op heden enkel voor Linux beschikbaar.

De USB Keystroke Injection Protection tool van Google

Hoe de tool van Google precies werkt? Zoals u inmiddels weet, zijn Rubber Ducky’s in staat razendsnel “keystrokes” in te voeren. Die 1000 woorden per minuut zijn onmenselijk en dat is precies waar Google op inspeelt. De tool herkent verdachte invoersnelheden en blokkeert automatisch kwaadaardige apparaten die een normale snelheid overschrijden.

In 2016 is er door Beamgun een tool ontwikkeld met hetzelfde doel. Echter bleek deze niet heel succesvol omdat het wel beschermde tegen aanvallen zoals USB Rubber Ducky’s, maar wel ten koste van gebruiksvriendelijkheid.

Geen silver bullet tegen USB Rubber Ducky’s

Google maakt daarbij wel de kanttekening dat de tool geen “silver bullet” tegen USB-aanvallen en Keystroke Injection Attacks is. Tenslotte kunnen aanvallers nog veel meer wanneer ze toegang hebben tot een computer. Wel is de oplossing een extra beschermingslaag die het uitvoeren van een succesvolle aanval weer een stukje moeilijker maakt.

Goed om te weten: de tool kent twee modes: “Monitor” en “Hardening”. Die eerste blokkeert niets, maar geeft informatie over de Rubber Ducky die is ingeplugd via syslog. De “Hardening” mode blokkeert wel direct apparaten die volgens de tool kwaadaardig zijn. De USB Keystroke Injection Protection tool wordt standaard geleverd met “Hardening” mode ingeschakeld.

Google maakt met deze USB Keystroke Injection Protection tool een mooie stap op het gebied van cybersecurity. We zijn benieuwd hoe snel een dergelijke oplossing ook beschikbaar gaat zijn voor andere OS’en als Windows en Apple.

Meer informatie?

Neem vrijblijvend contact met ons op als u vragen hebt over dit onderwerp.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor