Analyse einer Attacke ohne Malware-Verwendung
Zunächst starten die Hacker einen Angriff, z.B. mithilfe einer Sticky Keys Swap BadUSB Attacke.
Der Angriff bewirkt folgendes: Die Hacker führen den BadUSB wie das WGD 2.0 von Walkür Technology, in den USB-Port des anzugreifenden Computers ein: Ein Command Prompt Window (CMD) des Computers start. Das Sticky Keys‘-Feature des Systems wird manipuliert. Sicherlich haben Sie diese Nachricht schon mal gesehen:
Anschließend wird eine .bat Datei in den %Windows%\cmdacoBin-Ordner kopiert:
- bat
Der Stick gibt nun einen Weiteren Befehl, welches die .bat Datei startet, welche die Windows Registry (Regedit.exe) manipuliert und fügt folgenden Key in die Registry hinzu:
Der Key hat folgendes Ziel: Jedes Mal, wenn das Sticky-Keys-Feature genutzt wird (sethc.exe), startet eine Datei namens SCracker.bat. Dies ist eine Batch-Datei, die ein sehr einfaches Authentifizierungssystem implementiert. Beim Start der Datei wird folgendes Fenster angezeigt:
Der Benutzername und das Passwort werden aus zwei in der Datei sys.bat enthaltenen Variablen abgerufen:
Auf diese Weise installiert der Angreifer mit einer WGD BadUSB Attacke eine Back Door auf dem betroffenen System. Mit dieser ‚Hintertür‘ ist der Angreifer in der Lage, sich mit dem Zielcomputer zu verbinden, ohne die Anmeldeinformationen eingeben zu müssen. Er aktiviert die Sticky-Keys-Funktion (z. B. durch fünfmaliges Drücken der SHIFT-Taste) und gibt den entsprechenden Benutzernamen und das Passwort in die Command Shell ein:
Die Command Shell Shortcuts erlauben dem Angreifer, auf bestimmte Verzeichnisse zuzugreifen, die Konsolenfarbe zu ändern und andere typische Befehlszeilenbefehle zu verwenden.
Wie hilft die Sticky-Keys-Funktion den Cyberkriminellen?
Wofür benötigen Angreifer eine Back Door wenn sie z. B. über eine RDP-Verbindung gezielt auf einen Computer zugreifen können? Die Antwort auf diese Frage ist einfach: Die Installation einer Hintertür auf dem betroffenen System ermöglicht es dem Angreifer, durch Aktivierung der Sticky-Keys-Funktion jederzeit wieder auf das System zugreifen zu können, selbst wenn das Opfer den Angriff bemerkt und seine Login-Daten ändert.
