[HILFE] Bin ich USB Rubber Ducky victim?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von condor2008, 13. November 2021 .

  1. 13. November 2021
    Hey Leute...

    ich habe vor einiger Zeit durch Zufall einen ca. 6 Jahre alten USB Stick zerbrochen. Mir ist dann, nachdem ich das Gehäuse entfernt habe aufgefallen, dass auf dem Board eine microSD Karte steckt.

    Zuerst habe ich mir nicht viel dabei gedacht und das ganze Teil dann entsorgt. Ein paar Wochen später habe ich einen Bericht zu den Rubber Ducky USB devices gesehen. Das sah dem, was ich da vor mir hatte sehr ähnlich.

    Jetzt würde ich gerne wissen ob ich im Nachhinein herausfinden kann ob irgendwelche Skripte auf meinem System laufen.... übliche Virenscanner haben zumindest nichts angezeigt.

    Gibt es auch "normale" USB Sticks bei denen der Speicher via micro SD Karte bereitgestellt wird?

    Danke
     
    + Multi-Zitat Zitieren
  3. 13. November 2021
    Also der mircoSD oder die Bauweise sagen erst mal nichts aus über den Inhalt des USB-Sticks. Die microSD Karte ist prinzipiell auch nicht schädlich sondern wenn dann ein Chip, der sich am PC als Tastatur ausgibt und dann quasi als "Admin" Befehle ausführen kann als Keystore.

    Du kannst aber in der USB-History von Windows mit einem Tool nachschauen welche Geräte alles angeschlossen wurden, z.B. wann zuletzt, und deren Information auslesen. Darüber könntest du möglicherweise noch etwas Herausfinden.

    View any installed/connected USB device on your system

    USBLogView - Records the details of any USB device that is plugged or unplugged into your system


    Wenn der Stick so alt ist, dann wären Viren oder Trojaner schon erkannt von der aktuellen Schutzsoftware, oder ein zwischenzeitliches Systemupgrade von Win7 auf Win10 hat den Backdoor eliminiert.

    Mit dem Tool Autoruns, kannst du ja alles durchgehen was Autostart bedingt startet und auffällig sein könnte.
    Netzwerk bzw PC-Verbindungen überwachen mit z.B. cports auf ausgehende Verbindungen.

    Jeder Backdoor will ja nach Außen kommunizieren, also hier findet man immer irgend eine Verbindung die nicht sein soll - meist ist der Server zu dem der Trojaner verbinden will auch schon offline. Weil der Trojaner muss ja irgend wo seine Daten hin senden, also schickt er die an eine codierte Domain oder IP und wenn die nicht mehr existiert gehen die Daten nicht raus.

    Also meine Einschätzung, keine Sorge, der ist zu alt.

    Aber klar, es ist durchaus seltsam, dass eine microSD Karte in dem Gehäuse drin ist... außer es ist ein USB-Adapter wo man diese einschieben kann. Aber fest verbaut gibt das aus Kostengründen keinen Sinn. Es ist also durchaus auffällig.

    Diese Keystore-Hack-Sticks gab es auch zeitweise von Unternehmen als Werbung, wenn du den einstecks dann öffnet sich Beispielsweise dein Browser und läd eine Webseite oder ähnliches. Also die wurden auch für verschiedene Zwecke genutzt nicht nur für Hacker.
     
    condor2008 gefällt das.
    + Multi-Zitat Zitieren
  4. 13. November 2021
    Vielen Dank für deine ausführliche Antwort!
    Bisher habe ich mit den genannten Tools keine Auffälligkeiten finden können. Vielleicht war es wirklich so ein "Werbe Stick".

    Ich fand das mit der SD Karte halt am auffäligsten und kannte so etwas bisher nicht. Aber man macht ja auch selten einen USB Stick auf....
     
    + Multi-Zitat Zitieren
  5. 13. November 2021
    Ja es ist schon seltsam, aber vermutlich wäre der jetzt nicht mehr schädlich. Ausschließen kann man natürlich nicht das du damals erwischt wurdest, aber offensichtlich hattest du ja keinen "Schaden" bemerkt. Falls du dich erinnern kannst woher der Stick ist würde ja auch schon Rückschlüsse ermöglichen.
    Die wenigsten Backdoors sind von Profis, die würden dann z.B. Twitter als Kommunikation nutzen um ein Botnet zu steuern, und dort die Befehle codiert übermitteln, das ist ausfallsicherer als Domains oder IPs.
    Auffällig wäre dann aber eine regelmäßige Verbindung zu Twitter oder ähnlichem. Also mit cPorts würde man das sehen können.
     
    + Multi-Zitat Zitieren
  6. 15. November 2021
    Ich würde den Stick zu gerne mal sehen aber was weg ist, ist weg. Raid ist da Experte und hat schon alles gesagt.

    Kannst ja zur Sicherheit das Tool durchlaufen lassen: Kostenloses PC-Cleaner- & Privatsphäre-Tool

    oder noch besser: PC-WELT Windows Cleaner-Kit

    oder noch viel besser: Kaspersky Rescue Disk 18

    Wenn er wirklich was findet dann ist eine saubere Installtion das einzig sinnvolle. + Passwort change am besten alle auf min 10 Zeichen.
     
    + Multi-Zitat Zitieren
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten