De la TV (Mr. Robot) a nuestra casa: "Rubber Ducky" existe y puede hacer mucho daño.

Es bien sabido que muchas veces es muy difícil distinguir la delgada línea que nos separa del “lado oscuro” en temas de seguridad informática, y que bastantes de las herramientas que se desarrollan con objetivos a veces un tanto ambiguos, y lógicamente también son creadas para ganar dinero, ya que todo es un negocio, y en este mundo no hay nada gratis, acaban encontrando su sitio y su “nicho de negocio” en el lado oscuro, y además siempre nos queda la duda (eterna duda), de que estás herramientas no formen parte de una estrategia más global, para posteriormente vendernos la contramedida correspondiente, algo parecido a la aparición de ciertas enfermedades y luego su posterior “tratamiento”.

Este podría ser al caso de Rubber Ducky, y digo podría, que cada uno saque sus propias conclusiones.

El USB Rubber Ducky es una pequeña herramienta increíble desarrollada por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad súper humana, y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere de una sesión activa, aunque obviamente el PC no necesita ser desatendido.

Los posibles efectos de este ataque son devastadores para la seguridad informática de una empresa: Elevará los privilegios del administrador del sistema (ya que está emulando un usuario escribiendo), por lo que podrá instalar cualquier tipo de malware que se desee, podrá extraer scripts más grandes desde un servidor remoto, y cosas peores.

Para protegernos de USB Rubber Ducky existe una herramienta de ciberseguridad llamada Beamgun que escucha tranquilamente el USB insertado y que se ejecuta como un proceso en segundo plano. Beamgun bloquea la inyección de código del USB, bloqueando el acceso al PC. Todas las pulsaciones del teclado se graban, por lo que podremos ver lo que el hacker estaba tratando de hacer.

Beamgun se mostrará en los procesos del sistema cada vez que ejecute BeamgunApp.exe. Si lo instalamos utilizando MSI installer, esto sucederá cada vez que inicie sesión y podremos hacer clic en el icono correspondiente para ver el estado de la aplicación.

Así mismo, podremos desactivar Beamgun si vamos a insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También podremos hacer “Reset” Beamgun, o finalmente, podremos forzar a Beamgun para salir haciendo clic en “Exit”.

También podemos configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.

Existen disponibles también algunas llamadas importantes de la API de Win32 que nos permitirán hacer lo siguiente:

-- Supervisar las inserciones de dispositivos de teclado para que podamos alertar,

-- Enganchar teclas para que podamos ver lo que el atacante intentó hacer,

-- Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,

-- Bloquea la estación de trabajo. El usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.

Dado que el Rubber Ducky es un dispositivo de teclado, los desarrolladores tuvieron que ser muy cuidadosos en la implementación de Beamgun para tratar de frustrar algunas contramedidas, por lo también se han ido implementando nuevas medidas de seguridad adicionales:

-- Desactivación del comando ALT-F4

-- Usando botones personalizados que no responden a eventos del teclado

-- “Robo de foco” mediante un “bucle” con un intervalo muy ajustado

Referencias:

http://usbrubberducky.com/#!index.md

http://www.securityartwork.es/2015/12/23/me-parecio-ver-un-lindo-patito-usb-rubber-ducky/

https://hakshop.com/products/usb-rubber-ducky-deluxe

https://www.hak5.org/