Bad things happen through USB

Abstract

Der Universal Serial Bus (USB) ist der weitest verbreitete Anschluss für moderne Com- putersysteme und dient der Verbindung von Druckern, Kameras, Massenspeichern und vielen anderen Geräten. Aktuell wird nahezu kein Computersystem ohne einen derarti- gen Anschluss hergestellt. Jedoch wird USB nicht nur verwendet um gutartige Geräte an Computersysteme anzuschließen, sondern auch um diese Systeme anzugreifen. Dies wurde eindrucksvoll von Stuxnet demonstriert- einer Schadesoftware, die mit dem Ziel entwickelt wurde, Irans Nuklearanlagen über die Steuersysteme für dessen Zentrifugen für Urananreicherung zu sabotieren. Diese waren, wie alle modernen Computersysteme, ebenfalls mit einem USB-Anschluss ausgestattet. Angetrieben vonder weltweiten Verbreitung von USB und dem Risiko, welches bei durch USB ausgenützte Schwachstellen entsteht, befasst sich diese Abschlussarbeit mit USB-reflashing-Attacken. Diese Art von Attacken nützen die Plug and Play Funktionalität für USB Geräte moderner Betriebssysteme aus, um Tastaturanschläge ohne das Wissen des Benutzers in das System einzuschleusen. Die kürzlich vorgestellte Attacke BadUSB ist eine derartige USB-reflashing Attacke, die USB Geräte des täglichen Gebrauchs, wie etwa USB Massenspeicher reflashen kann um mit dem Gerät Tastaturanschläge einschleusen zu können. Ähnlich der BadUSB-Attacke ist die sogenannte Rubber Ducky Attacke, welche zwar auch Tastaturanschläge einschleust, jedoch eine eigens dafür gefertigte Hardware benötigt. Um bessere Einblicke in BadUSB und ähnliche Attacken zu bekommen, führen wir in dieser Abschlussarbeit eine umfangreiche Datensammlung und Evaluierung dieser Daten durch. Wir sammelten über einige Monate Millionen von unmodifizierten USB Paketen innerhalb eines Unternehmens und von mehreren Freiwilligen, welche sich für ein Schreibexperiment meldeten. Basierend auf diesen Daten und dessen Auswertung in Verbindung mit Daten von BadUSB und ähnlichen Attacken, schlagen wir Erkennungs- und Abwehrmechanismen auf System- aber auch auf Netzwerkebene vor.

The universal serial bus (USB) is the most widely-used connector for modern computer systems and serves to connect printers, cameras, storage media and many other different devices. Nowadays, almost no computer system is produced that does not have such a port. However, this port is not just used to connect benign peripheral devices, but also to infect the systems a USB device is attached to. This was impressively demonstrated by Stuxnet, a malware designed to sabotage uranium enrichment centrifuges in Iran’s nuclear facilities via malware that initially infected the control systems through their USB ports. Motivated by the ubiquitous usage of USB all over the world and the resulting severity of vulnerabilities triggered by USB, this thesis targets the specific problem of USB-related reflashing attacks. Those attacks make use of the convenience of modern operating systems offering plug and play functionality for USB devices in order to inject malicious keystrokes without the knowledge of the victim. A previously demonstrated instance of this attack species is BadUSB, which is able to reflash commodity USB devices, such as USB flash drives to perform keystroke injection attacks. Other BadUSB-like attacks, such as the Rubber Ducky also inject keystrokes to a victims operating system, but need dedicated hardware. To gather insights into BadUSB and BadUSB-like attacks, in this thesis we present a large scale data collection and evaluation of USB data. We collect millions of benign USB packets over several months within a company-wide environment and from several volunteers included in a typing dynamics experiment. Based on an evaluation of this data against data we gather from BadUSB and BadUSB-like attacks, we propose several detection and prevention mechanisms on system- but also on a company-wide networking level.