Der Bash Bunny ist ein fortgeschrittenes USB-Angriffswerkzeug von Hak5, das wie ein gewöhnlicher USB-Stick aussieht. Im Gegensatz zum einfacheren Rubber Ducky kann er sich gleichzeitig als mehrere Geräte ausgeben: Tastatur, Netzwerkadapter und USB-Speicher. Über einen physischen Schalter am Gerät können bis zu zwei Angriffs-Payloads vorgeladen und blitzschnell aktiviert werden. Besonders gefährlich: Als Netzwerkadapter kann er Windows dazu bringen, Zugangsdaten automatisch zu übermitteln – ohne dass der Benutzer etwas bemerkt.
Der Bash Bunny gibt sich als Ethernet-Adapter aus. Windows versucht automatisch, sich im Netzwerk zu authentifizieren und sendet dabei den NTLM-Passwort-Hash – den der Angreifer abfängt.
Gleichzeitig oder alternativ kann er als Tastatur agieren und Befehle injizieren – genau wie ein Rubber Ducky, aber mit mehr Kontrolle und Kombinations-Payloads.
Als USB-Speicher kann er Dateien, Browser-Passwörter oder SSH-Keys vom Zielrechner kopieren – ebenfalls vollautomatisch beim Einstecken.
Die Stärke des Bash Bunny liegt in der Kombination: Netzwerkadapter + Tastatur gleichzeitig erlaubt komplexe Angriffe, die einfache Geräte nicht ausführen können.
Auf GitHub gibt es Hunderte fertiger Payloads für den Bash Bunny – von Passwort-Dumps bis zu Backdoor-Installationen. Kein Programmierwissen nötig.
Im dritten Schalterstand wechselt das Gerät in den Entwicklungsmodus und erscheint als normales Laufwerk – so können Payloads einfach aufgespielt werden.
Simuliere wie der Bash Bunny als Netzwerkadapter Windows-Zugangsdaten abfängt. Stecke das Gerät ein und beobachte den Angriff.
Automatische Windows-Authentifizierung: Windows versucht bei jedem neuen Netzwerkadapter automatisch, sich zu authentifizieren. Dieser Mechanismus wurde nicht für Sicherheit, sondern für Benutzerfreundlichkeit entwickelt.
Hash = Passwort-Ersatz: Ein abgefangener NTLM-Hash kann direkt für Pass-the-Hash-Angriffe verwendet werden – ohne das Passwort im Klartext zu kennen.
Keine Benutzerinteraktion nötig: Der Angriff läuft vollautomatisch. Der Benutzer muss nichts klicken, nichts bestätigen.
1. Unbekannte USB-Geräte nie einstecken: Keine fremden USB-Geräte, auch keine, die wie normale USB-Sticks aussehen.
2. USB-Ports sperren: Gerätekontrolle über Windows-Gruppenrichtlinien oder Endpoint-Security-Software.
3. NTLM deaktivieren (Enterprise): In modernen Windows-Umgebungen kann NTLM zugunsten von Kerberos deaktiviert werden.
4. Netzwerk-Segmentierung: Gestohlene Hashes sind weniger wertvoll, wenn das Netzwerk segmentiert und der Zugriff eingeschränkt ist.
5. Computer sperren: Der Angriff braucht physischen Zugang. Immer sperren, wenn du den Platz verlässt.