Einen außergewöhnlichen Penetrationstest beschreibt Adriel Desautels von Netragard in seinem Blog. Desautels sollte das Netzwerk seines Kunden knacken, ohne soziale Angriffsvektoren – soziale Netzwerke, Telefon oder E-Mail – zu nutzen oder das Unternehmen sowie dessen angrenzende Arealen zu betreten.

Die naheliegendste Attacke – das Zusenden eines mit Malware infizierten und als Geschenk deklarierten USB-Sticks an einen Mitarbeiter – wurde nicht geritten: Aufgrund des gestiegenen Sicherheitsbewusstseins rechneten sich die Profis zu geringe Erfolgschancen aus. Stattdessen wählte man ein anderes USB-Gerät – eine Maus.

Typische USB-Mäuse bieten im Innenraum genug Platz, um zusätzlich einen Teensy-Mikrocontroller, einen Mikro-USB-Hub, ein Mini-USB-Kabel und ein miniaturisiertes Flash-Laufwerk unterzubringen. Dazu kam noch die von Netragard speziell auf den Kunden – der unternehmensweit auf McAfee als AV-Lösung setzte – angepasste Malware auf der Basis von Meterpreter von Metasploit. Die Vermutung, dass der Kunden auf McAfee setzt, wurde aus einem Facebook-Posting eines Mitarbeiter gewonnen. Dieser beschwerte sich über die Antivirensoftware. Auf Basis dieser Annahme entwickelte Netragard dann mit Hilfe einer nicht näher beschriebenen Zero-Day-Technik eine spezialisierte Malware, die von McAfee nicht entdeckt wird und alle Dialog-Boxen bei einer Verbindung zu Metasploit unterdrückt.

So wurde eine USB-Maus von Logitech zum ersten HID – Hacker Interface Device (in Anlehnung an das normalerweise verwendete Human Interface Device). Getauft wurde die trojanische Maus auf den Namen PRION – nach Proteinen, die organische Gifte mit Virus-ähnlichen Eigenschaften sind.

Im ersten Schritt wurde die verwendete USB-Maus von Logitech entkernt und Platz geschaffen, um die oben genannten Komponenten unterbringen zu können. Schließlich wurde noch das USB-Anschlusskabel kurz vor dem PCB der Maus abgeschnitten. Danach wurde das Controller-Board aus dem Hub entfernt und mit drei Kabeln verlötet: Das verbleibende Kabelende zum PCB der Maus, das zum Anschluss am Rechner genutzte USB-Kabel der Maus sowie das Mini-USB-Kabel, mit dem der Mikrocontroller angeschlossen wird.

Im nächsten Schritt wurde dann das zum Speichern der Malware genutzte Flash-Laufwerk mit dem USB-Hub verlötet. PRION könnte zwar auch ohne den Speicher auskommen und sich die Malware bei erfolgreichem Anschluss an einem Firmenrechner einfach aus dem Netz ziehen, aber das wäre nach Netragard Vorstellungen nicht verstohlen genug gewesen. Nun das Ganze noch isoliert und in die Maus verpackt – fertig.

Danach wurde die Malware auf das Flash-Laufwerk geladen und der Mikrocontroller so programmiert, dass er die Malware 60 Sekunden nach Beginn der User-Aktivitäten mit der Maus startet. Die wieder verschlossene Maus wurde dann so verpackt, dass Karton und Maus unberührt wirkten.

Danach kaufte Netragard bei Jigsaw eine Liste von Angestellten seines Kunden, recherchierte den wahrscheinlichsten Kandidaten und schickte ihm die Maus zusammen mit diversen Marketing-Materialien als Werbegeschenk zu. Drei Tage später meldete sich die Maus-Malware dann via Meterpreter-Session...

Auch wenn Angestellte USB-Sticks gegenüber misstrauisch geworden sind und viele Unternehmen die Autorun-Funktion von Windows deaktiveren: Schwachstellen gibt es immer. Im Fall der Maus nutzt auch das Abschalten von Autorun nichts, da der Mikrocontroller die Software selbst startet. In diesem Fall wäre der einzige Schutz die Nichtverwendung der Maus gewesen. Alles in allem sicherlich keine Angriffsmethode, die auf breiter Front eingesetzt wird – aber eine sehr clevere.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.