Najbolji vodič za HID napade uz upotrebu Rubber Ducky skripti i BadUSB MITM napada

Da li ste se ikada zapitali kako hakeri mogu kompromitovati računar samo pomoću USB uređaja? U ovom blogu istražićemo koncept HID napada, koji su vrsta fizičkog napada na korisnika, a koriste programabilni uređaj za emulaciju tastature ili miša i izvršavanje zlonamjernih komandi na ciljnom sistemu. Također ćemo naučiti kako koristiti neke alate koji su dio NetHunter sistema, kao što su HID napadi, DuckHunter HID i BadUSB MITM napad . Također ćemo raspraviti potencijalne posljedice HID napada i kako se zaštititi od njih. Razumijevanjem rizika i tehnika koje su uključene u HID napade, možete bolje osigurati svoje sisteme i zaštititi se od ovog tipa napadnog vektora.

Šta je HID?

HID uređaji su uređaji koji omogućavaju drugim uređajima, kao što su računar, pametni telefon ili televizor, da primaju unos od njih. To mogu biti tastatura, miš, džojstik, touchpad ili Android uređaj sa NetHunter-om.

To znači da se naš Android uređaj, jednom kada je povezan sa računarom, može prepoznati kao tastatura. Ne samo obična tastatura; već tastatura koja već unaprijed definiše koje tastere treba pritisnuti. Može biti programiran da ubrizga tastere u računar kao da su unijeti pomoću tastature, što mu omogućava izvršavanje unaprijed definisanog seta akcija na ciljnom uređaju.

Osim Android-a, postoje i razni uređaji koji se koriste za izvođenje HID napada. Ovi uređaji se nazivaju Rubber Ducky ili BadUSB. Evo nekoliko primjera:

• Rubber Ducky: Rubber Ducky je mali, programabilni USB uređaj koji liči na USB fleš drajv. Može biti programiran da ubrizga tastere u računar kao da su unijeti pomoću tastature, što mu omogućava izvršavanje unaprijed definisanog seta akcija na ciljnom uređaju.

• Teensy: Teensy je mali, programabilni mikrokontroler koji se može programirati da se ponaša kao HID uređaj. Može se koristiti za ubrizgavanje tastera ili drugih unosa u ciljni uređaj.

• Bash Bunny: Bash Bunny je mali, programabilni USB uređaj koji se može koristiti za razne napade, uključujući HID napade. Može se programirati da ubrizgava tastere ili druge unose u ciljni uređaj ili da izvršava skripte i komande na uređaju.

• Raspberry Pi: Raspberry Pi je mali računar sa jednom pločom koji se može koristiti za razne napade, uključujući HID napade. Može se programirati da se ponaša kao HID uređaj i da ubrizgava tastere ili druge unose u ciljni uređaj.

• Digispark Attiny85 Arduino: Arduino je mali i jeftin, programabilni mikrokontroler koji se može koristiti za razne napade, uključujući HID napade. Može se programirati da se ponaša kao HID uređaj i da ubrizgava tastere ili druge unose u ciljni uređaj.

• WiFi HID Injector (WHID): WHID napadi su vrsta bežičnog HID napada, što znači da ne zahtevaju fizičku vezu sa ciljnim uređajem. Umesto toga, napadač može daljinski ubrizgavati tastere ili druge unose u uređaj preko Wi-Fi veze. To može otežati otkrivanje WHID napada, jer ubrizgani unos može biti nevidljiv korisniku.

• OMG kabl: Takođe poznat kao O.MG kabl. To je USB kabl koji izgleda kao običan kabl za punjenje, ali je dizajniran sa skrivenim zlonamjernim sposobnostima. Kreirao ga je istraživač bezbjednosti Majk Grover, poznat kao MG. OMG kabl je opremljen sa Wi-Fi omogućenim modulom, što omogućava napadačima da daljinski pristupe i kontrolišu povezani uređaj. Kada korisnik poveže OMG kabl sa svojim uređajem, skriveni implant automatski uspostavlja bežičnu vezu sa uređajem ili mrežom napadača.

• Pametni sat(Smartwatch): Pametni satovi TicWatch Pro sa instaliranim NetHunter-om takođe mogu se ponašati kao uređaji Rubber Ducky i izvršavati prilagođene skripte na ciljanom sistemu.

• Flipper Zero: Flipper Zero je prenosivi višenamjenski uređaj koji može komunicirati sa različitim bežičnim protokolima i interfejsima, kao što su infracrveni, radio-frekvencijski, NFC, iButton i drugi. U našem scenariju, takođe može delovati kao BadUSB uređaj emulirajući tastaturu ili miša i izvršavati Rubber Ducky skripte.

• Pametni telefon: Android uređaj sa root pristupom može se ponašati kao HID kako bi izvršavao Rubber Ducky skripte. Moguće je pokretati ove skripte sa i bez NetHunter-a.

Kako postaviti Android uređaj kao HID bez NetHunter-a

Nedavno smo napisali nekoliko savjeta i snimili dva video tutorijala o tome kako omogućiti HID i podesiti ga na Android uređaju bez NetHunter-a kako bi pokretali Rubber Ducky skripte protiv drugog Android uređaja ili računara. Slobodno pogledajte ako vas zanima ova tema i ako niste instalirali NetHunter, ili pogledajte video tutorijal.

HID Napadi

Da biste izvodili HID napade, neophodno je postaviti hid kao USB funkciju i onemogućiti ADB sa USB Arsenal menija, pogledajte Sliku 11. Ne zaboravite da kliknete na dugme POSTAVI USB FUNKCIJU. Ovo je detaljnije razmatrano u prethodnom postu.

Ako funkcija hid nije promijenjena, Android se neće pravilno prepoznati na računaru i napad neće uspjeti.

Između napada, možemo izabrati jednu od tri opcije kao što su PowerSploit, Windows CMD, Powershell HTTP Payload.

PowerSploit

PowerSploit je kolekcija PowerShell skripti i modula koji se mogu koristiti za razne bezbjednosne zadatke, kao što su testiranje penetracije, post-eksploatacija i forenzička analiza napisana u PowerShell-u.

Sa slike iznad, PowerShell skripta će omotati uneseni URL koristeći payload i IP adresu sa portom kako bi uspostavila vezu. Zatim kliknite na UPDATE da biste ažurirali skriptu. Ažurirana skripta se čuva u /var/www/html/powersploit-url, možete vidjeti kod PowerShell skripte na Slici 13. Napad se pokreće klikom na tri tačke u gornjem desnom meniju i “Execute attack”.

Nažalost, napad nije bio uspješan protiv Windows 10 mašine, jer ga je Windows Defender blokirao, kao što možete videti na Slici 14.

Windows CMD

Kao što ime kaže, omogućava vam da pokrenete Windows cmd kako biste postigli interakciju sa ciljnim sistemom. Ovo se može koristiti za izvršavanje skripti i komandi na ciljnom uređaju, uključujući PowerShell skripte.

Sve što trebate da uradite je da unesete komande koje želite da se izvrše pomoću cmd u “Edit source”, kliknite na UPDATE i “Execute attack”.

Powershell HTTP Payload

Opcija Powershell Payload omogućava korisnicima da pošalju payload putem URL-a, koji je omotan u skriptu za preuzimanje i izvršavanje pomoću PowerShell skripte.

Potrebno je samo unijeti URL koji je dostupan žrtvi, kliknuti UPDATE kako biste izmijenili PowerShell skriptu i “Execute attack”. Ažurirana skripta se čuva u /var/www/html/powershell-url, možete vidjeti kod wrappera PowerShell skripte na Slici 17.

Kada smo testirali ovaj HID napad, nije uopšte radio. Toast poruka nas je obavjestila da je napad počeo i odmah se završio. Srećom, u slučaju PowerSploit i Powershell HTTP Payload tabova, oba mogu biti efikasno zamjenjena opcijom Windows CMD.

DuckyHunter HID

S obzirom na to da su skripte Rubber Ducky napisane u specijalizovanom jeziku namenjenom USB Rubber Ducky-u, Ducky Hunter prvo mora da ih učita, pretvori u NetHunter HID format, a zatim ih može izvršiti na ciljnom uređaju.

Prema zadanim postavkama, NetHunter čuva ove skripte u putanji /sdcard/nh_files/duckyscripts/; međutim, možete ih učitati sa bilo koje lokacije. Na Slici 18. učitavam popularnu skriptu za rickroll u tabu “Covert”.

Kada ste izabrali svoju skriptu, trebamo preći na tab “Preview”, gde će skripta biti pretvorena u razumljive HID komande, kao što možete vidjeti na Slici 19. Takođe je važno napomenuti da je skripta konvertovana koristeći američki raspored tastature. Ako je uređaj povezan sa ciljnim uređajem, možete kliknuti na ikonu “Play” u gornjem desnom uglu da biste je izvršili.

Mali savjet, ako USB Arsenal ima problem sa omogućavanjem HID funkcije na USB-u, možete ručno pokušati da izvršite chmod 666 /dev/hidg* da biste je omogućili. Ovo nam je pomoglo nekoliko puta kada smo se suočavao sa starijim uređajem.

“BadUSB MITM” napad

Ova opcija omogućava NetHunter-u da presretne mrežni saobraćaj. To znači da će prisiliti povezani uređaj da prvo usmjeri saobraćaj preko NetHunter-a koji se lažno predstavlja kao mrežni interfejs RNDIS (Remote Network Driver Interface Specification), a zatim ka stvarnom gateway-u. Zbog toga je moguće pratiti i mjenjati mrežnu komunikaciju.

Nažalost, nismo bili u mogućnosti da uspješno pokrenemo ovaj napad BadUSB; međutim, uspjeli smo da ga pokrenemo koristeći alat usbtethering.

Da biste omogućili napad sa presretanjem mrežnog saobraćaja putem BadUSB-a, trebate se vratiti na USB Arsenal i postaviti rndis kao USB funkciju i onemogućiti ADB. Ako je funkcija postavljena i uspješno primenjena, povucite prema dole, gde se pojavio odjeljak za uređivanje USB Network Tethering sa unaprijed definisanim vrednostima. Nije potrebno vršiti nikakve promjene. One definišu ulazni USB mrežni interfejs (rndis), mrežni saobraćaj uzvodno – interfejs izvora interneta – do vašeg internog Wi-Fi adaptera (wlan0) i dodijeljene IP adrese, kao što možete vidjeti na Slici 21.

Kada kliknete na RUN IN NETHUTNER TERMINAL, izvršavaće se usbtethering komanda i pokušati da omogući mrežni interfejs. Logove sa uspješnom konfiguracijom možete vidjeti na Slici 22.

Na ciljanom računaru možete provjeriti novu postavljenu IP adresu gateway-a, koja se razrješava u našem USB mrežnom interfejsu. Na Windows računaru to možete provjeriti koristeći komandu ipconfig | findstr Gateway, kao što možete vidjeti na Slici 23.

Sada sav saobraćaj sa ciljnog računara prolazi kroz vaš NetHunter. Ovo možete provjeriti, na primjer, koristeći tcpdump ili Wireshark.

Za tcpdump možete pokušati prikazati sav tcp saobraćaj koji sadrži string “password” tcpdump -i rndis tcp -A | grep “password”. Sa ciljnog računara, unesite u pretraživač web sajt koji zahtjeva unos korisnika, kao što je lozinka, i saobraćaj će se pojaviti u tcpdump.

Ne zaboravite da je saobraćaj preko HTTPS-a enkriptovan, tako da ne možete videti prenesene podatke.

Prevencija napada

Otkrivanje HID napada može biti izazovno, jer se takav uređaj domaćinu prikazuje kao legitimna tastatura, a ubrizgani tasteri možda nisu vidljivi korisniku. Međutim, postoje nekoliko koraka koje možete preduzeti da biste pomogli otkrivanju i sprečavanju HID napada:

• Pratite neobične aktivnosti: Obratite pažnju na bilo kakve neobične aktivnosti na svom uređaju, kao što su neočekivane pop-up prozore ili sistemske poruke, ili izvršavanje nepoznatih programa.
• Koristite USB firewall: USB firewall je sigurnosni alat koji kontroliše pristup USB uređajima i može blokirati neovlašćene uređaje da se povežu sa vašim uređajem.
• Koristite softver za kontrolu uređaja: Softver za kontrolu uređaja je sigurnosni alat koji vam omogućava da kontrolišete koji uređaji imaju dozvolu da se povežu sa vašim uređajem i može blokirati neovlašćene uređaje.
• Osigurajte fizički pristup vašim uređajima: Napadi Rubber Ducky često uključuju fizičko umetanje uređaja u USB port na ciljnom uređaju. Osiguranje fizičkog pristupa vašim uređajima može spriječiti napadače da izvrše ovakav tip napada.
• Zaštitite pristup vašem uređaju korišćenjem jake lozinke. U slučaju pametnih telefona, predložio bih kombinaciju biometrije i lozinke.
  

Zaključak

Fizički pristup uređaju ili mreži može značajno povećati šanse za uspješno hakovanje. Kao haker, važno je razumjeti različite metode i tehnike koje se mogu koristiti za iskorišćavanje ovakvih vrsta ranjivosti, kao i pravne i etičke pretpostavke koje prate takve radnje. Takođe je važno shvatiti da neovlašćeno hakovanje ili pokušaj pristupa uređaju ili mreži bez dozvole ilegalno je u većini jurisdikcija. Dok je važno imati znanje o potencijalnim ranjivostima i slabostima koje fizički pristup može pružiti, ključno je koristiti to znanje isključivo u zakonite i etičke svrhe, kao što su testiranje penetracije i poboljšanje sigurnosti uređaja i mreža.

(Source: https://www.mobile-hacker.com/2023/08/08/nethunter-hacker-vi-ultimate-guide-to-hid-attacks-using-rubber-ducky-scripts-and-bad-usb-mitm-attack/)