von Immanuel Willi

In vielen IT-Security Fachmedien und Blogs wird das Hauptaugenmerk auf populäre Angriffsvektoren wie Phishing oder die «OWASP Top 10» gelegt. Physische Angriffe, welche den direkten Zugang zu einem Gerät erfordern, finden weniger Beachtung. Entsprechend wähnen sich viele Benutzer schnell in einer falschen Sicherheit, sobald die Notebook-Festplatte verschlüsselt und der Windows-Desktop gesperrt ist.

Der folgende Artikel zeigt verschiedene einfache physische Angriffsvektoren auf, welche einem Angreifer ohne besonderes Knowhow und ohne grossen finanziellen Aufwand zur Verfügung stehen.

Ausgangslage

Wasser befindet sich jeweils in einem definierten Aggregatszustand; fest, flüssig oder gasförmig. Genauso trifft ein Angreifer ein System in einem der folgenden Zustände an:

    [/vc_column][/vc_row]
    • Benutzer angemeldet, Windows entsperrt
    • Benutzer angemeldet, Windows gesperrt
    • Rechner ausgeschaltet

    Wenn ein Angreifer physischen Zugang zu einem Gerät bekommt, gibt es für jeden der Zustände Angriffsmöglichkeiten.

    Szenario 1: Benutzer angemeldet, Notebook entsperrt

    Natürlich könnte ein Angreifer den Browser auf dem entsperrten Rechner öffnen, eine infizierte Webseite ansteuern, Malware herunterladen, installieren und somit den Rechner kompromittieren. Dies manuell durchzuführen ist aber zeitaufwändig; je nach Szenario kann ein unbeobachteter Zugriff auf ein Zielsystem nur innert Sekunden stattfinden. In diesem Fall kann der Angreifer ein BadUSB-Device einsetzen: Es handelt sich dabei um ein USB Gerät in der Form und Grösse eines USB Sticks mit modifizierter Firmware. Das BadUSB-Device wird nach dem Einstecken am Rechner durch Manipulation der USB IDs nicht als Massenspeichergerät sondern als USB-Keyboard erkannt. Per Skript werden nach dem Einstecken automatisch vorkonfigurierte Tastaturanschläge von der angeblichen Tastatur an den Rechner übermittelt. Die Malware kann so innert weniger Sekunden in das Zielsystem injiziert und ausgeführt werden.

    Hardwarekosten: ca. 50 CHF

    Demo Video: Infektion in unter 15 Sekunden

    Szenario 2: Benutzer angemeldet, Notebook gesperrt

    Sperrt der Benutzer den Windows Arbeitsplatz, kann ein Angreifer mit Zugang zum Gerät den NTMLv2 Hash des Benutzers aus dem gesperrten System extrahieren. Hierzu wird ein USB-Armory Stick mit der «responder» Software [1] konfiguriert. Steckt der Angreifer die USB-Armory in das gesperrte Notebook, wird dieses von Windows als Netzwerkadapter erkannt und initialisiert. Windows versucht sich anschliessend am neuen Netzwerk anzumelden. Aus dem resultierenden Netzwerkverkehr kann der NTLMv2 Hash des angemeldeten Benutzers ausgelesen werden. Wird der Hash gebrochen, liegt dem Angreifer das Passwort in Klartext vor [2].

    Hardwarekosten: ca. 100 CHF

    Szenario 3: Notebook ausgeschaltet

    Via PCI-Express Schnittstellen kann direkt Memory ausgelesen oder in das Memory eines Rechners geschrieben werden. Generell greifen Thunderbolt, Firewire und ExpressCard-Schnittstellen direkt auf den PCI-Express Bus zu, und sind somit mittels Direct Memory Attacks (DMA) verwundbar. Sind diese Schnittstellen nicht verfügbar, hilft das Aufschrauben und Analysieren des Mainbords weiter; meist lässt sich ein Angriff über einen Anschluss direkt auf dem Mainboard durchführen. Mit dem PCI-Express Bus verbunden kann ein Angreifer das Notebook starten und im Hauptspeicher die Funktion zur Passwortüberprüfung überschreiben, um sich somit mit einem beliebigen existierenden Benutzer anzumelden ohne das Passwort zu kennen. Der Angreifer umgeht somit die Windows Passwortabfrage.

    Hardwarekosten: ca. 200 CHF

    Gegenmassnahmen:

    Generell ist es schwierig, Massnahmen gegen physische Angriffe zu implementieren.

    Einige mögliche Ansätze wären:

    • Das Fördern der Awareness bei Mitarbeitern, Notebooks an Konferenzen im Zug oder im Hotel/Airbnb nicht unbeaufsichtigt zu lassen und sicher aufzubewahren
    • Physische Sicherheit sicherstellen (einbruchssichere Schliesssysteme)
    • Backgroundchecks bei externem Personal mit Zutritt zu Firmenräumlichkeiten durchführen
    • Externes Personal in Firmenräumlichkeiten begleiten
    • USB Ports bei exponierten Rechnern (z.B. Front desk) deaktivieren
    • Bitlocker in Verwendung mit einem Startup PIN/Passwort konfigurieren

    Über den Autor

    Immanuel Willi ist bei der Cyber Security Spezialistin Oneconsult AG als  Senior Security Consultant beschäftigt. Er verfügt über Zertifizierungen als ISO 27001 Lead Auditor, Offensive Security Certified Professional (OSCP), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN), Information Systems Security Professional (CISSP), Offensive Security Wireless Professional (OSWP), OSSTMM Professional Security Tester (OPST) sowie über die ITIL V3 Foundations Zertifizierung.

    Über Oneconsult

    Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr inhabergeführter, produkte- und herstellerunabhängiger Schweizer Cyber Security Services Partner mit Büros in Thalwil (Zürich), Bern und München. Die Oneconsult-Gruppe besteht aus der Holdinggesellschaft Oneconsult International AG und deren Tochtergesellschaften Oneconsult AG und Oneconsult Deutschland GmbH.

    30+ hochqualifizierte Cyber Security Experten – darunter zertifizierte Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager) und IT Security Researcher – meistern auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich. Gemeinsam packen wir Ihre externen und internen Bedrohungen, wie Malware-Infektionen, Hacker-/APT-Attacken sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT-Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Oneconsult Incident Response & IT Forensics Expertenteams zählen.

    www.oneconsult.com