Hacking-Selbstversuch: Raspi Zero W als BadUSB-Tool einsetzen

Hacking-Gadgets geben sich als Peripheriegeräte aus und attackieren den Rechner, vorbei am Virenscanner. Mit dem Raspberry Zero W können Sie das ausprobieren.

Artikel verschenken

9

(Bild: Moritz Reichartz)

17.11.2023, 06:00 Uhr

Lesezeit: 12 Min.

c't Magazin

Von

Ronald Eikenberg

Hacking-Selbstversuch: Raspi Zero W als BadUSB-Tool einsetzen
- Software bereitmachen
Angriff nach Skript
Speichern und automatisieren
Weitere USB-Geräte und SSH

Artikel in c't 27/2023 lesen

Ein USB-Anschluss ist nicht nur praktisch, sondern auch gefährlich: BadUSB-Geräte können darüber den Rechner kapern und Daten erbeuten. Das ist technisch aufwendiger, als einen Trojaner auf einem USB-Stick zu verteilen, aber auch viel perfider: Denn den Trojaner auf dem Stick kann das Virenschutzprogramm abfangen, gegen BadUSB kann es hingegen wenig ausrichten. In die Kategorie BadUSB fallen Geräte, die die Möglichkeiten von USB geschickt für IT-Angriffe ausnutzen. Schließt man etwa eine Tastatur an, wählt das Betriebssystem dank Plug & Play automatisch einen passenden Treiber und man kann sofort beliebige Befehle eingeben. Gibt sich ein BadUSB-Gerät als Tastatur aus, kann es das auch.

Am bekanntesten ist der USB Rubber Ducky von Hak5. Wird er an den Rechner angeschlossen, meldete er sich als Tastatur an und feuert in Windeseile vom Angreifer vorprogrammierte Tastatureingaben ab. Los geht es häufig mit der Tastenkombination Windows+R, um den Ausführen-Dialog zu öffnen. Mit powershell und Enter hat der Rubber Ducky dann auch schon die mächtige PowerShell geöffnet und kann dort zum Beispiel ein Backdoor-Skript eintippen und ausführen. Kurz gesagt: Alles, was Sie können, kann der Rubber Ducky auch – nur viel schneller.

Hacker haben längst Wege gefunden, auch USB-Mäuse, -Laufwerke, -Netzwerkkarten und so weiter zu simulieren und für Angriffe zu nutzen. Besonders vielseitige Hacking-Gadgets wie der Bash Bunny Mark II (siehe ct.de/yhhf) setzen diese Techniken in Kombination ein, etwa um sich als USB-Massenspeicher am System zu melden und als Tastatur einen Kopierbefehl einzutippen, der die Datenbeute auf den integrierten Speicher schaufelt.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dynamische Strompreise nutzen: Ein Erfahrungsbericht mit Tibber

Der Stromanbieter Tibber erfreut sich in Deutschland überproportionaler Beliebtheit mit dem dynamischen Stromtarif. Ein Erfahrungsbericht eines Neukunden.

iPad Pro 2024 mit Magic Keyboard und Apple Pencil Pro

Apple iPad Pro 2024 im Test: Mit M4 und OLED

Apples Pro-Tablets überspringen eine Chip-Generation und setzen erstmals auf OLED – sowie neues Zubehör. Wir haben das iPad Pro 11" und den Pencil Pro getestet.

iPadOS 17: Praxistipps

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Der DeskMini X600 erlaubt es, einen kompakten Rechner mit aktuellen AM5-Prozessoren zu bauen. Weil Asrock den Chipsatz weglässt, sinkt der Energiebedarf enorm.

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Offene Kopfhörer klingen meist räumlicher als geschlossene Modelle, dafür geht ihnen im Bassbereich schneller die Puste aus. Der OAE1 kann beides.

Marktübersicht: Apps zur Photovoltaik-Überwachung

Apps und Energiemanager für Wechselrichter und Solarbatterien helfen bei der optimalen Nutzung von Solarmodulen, diese Apps fallen aber unterschiedlich aus.

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Aus dem ollen Drahtesel wird ein modernes E-Bike: Das ist das Versprechen von Umrüst-Kits, die Fahrrad und E-Motor zusammenbringen.

Tandem auf E-Antrieb umrüsten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dynamische Strompreise nutzen: Ein Erfahrungsbericht mit Tibber

Der Stromanbieter Tibber erfreut sich in Deutschland überproportionaler Beliebtheit mit dem dynamischen Stromtarif. Ein Erfahrungsbericht eines Neukunden.

Apple iPad Pro 2024 im Test: Mit M4 und OLED

Apples Pro-Tablets überspringen eine Chip-Generation und setzen erstmals auf OLED – sowie neues Zubehör. Wir haben das iPad Pro 11" und den Pencil Pro getestet.

iPadOS 17: Praxistipps

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Der DeskMini X600 erlaubt es, einen kompakten Rechner mit aktuellen AM5-Prozessoren zu bauen. Weil Asrock den Chipsatz weglässt, sinkt der Energiebedarf enorm.

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Offene Kopfhörer klingen meist räumlicher als geschlossene Modelle, dafür geht ihnen im Bassbereich schneller die Puste aus. Der OAE1 kann beides.

Marktübersicht: Apps zur Photovoltaik-Überwachung

Apps und Energiemanager für Wechselrichter und Solarbatterien helfen bei der optimalen Nutzung von Solarmodulen, diese Apps fallen aber unterschiedlich aus.

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Aus dem ollen Drahtesel wird ein modernes E-Bike: Das ist das Versprechen von Umrüst-Kits, die Fahrrad und E-Motor zusammenbringen.

Tandem auf E-Antrieb umrüsten

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Hacking-Selbstversuch: Raspi Zero W als BadUSB-Tool einsetzen

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dynamische Strompreise nutzen: Ein Erfahrungsbericht mit Tibber

Apple iPad Pro 2024 im Test: Mit M4 und OLED

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Marktübersicht: Apps zur Photovoltaik-Überwachung

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Dynamische Strompreise nutzen: Ein Erfahrungsbericht mit Tibber

Apple iPad Pro 2024 im Test: Mit M4 und OLED

Mini-PC-Barebone für AMD Ryzen 7000/8000G im Test

Bass und Bühne: Der offene Kopfhörer Grell Audio OAE1 im Test

Marktübersicht: Apps zur Photovoltaik-Überwachung

Fahrrad zum E-Bike aufrüsten: Drei Nachrüstmotoren im Test

Spiele

1 Jahr nur 1,90 € pro Woche

Das digitale Abo für IT und Technik.