Siber güvenlikte genellikle ağları veya yazılımları korumaya odaklanırız, ancak donanım güvenliği çoğu zaman gözden kaçar. Bilgisayarlar, klavye ve fare gibi İnsan Arayüzü Cihazlarına (HID) sorgusuz sualsiz güvenir. İşte tam bu noktada, siber güvenlik araştırmacıları ve sızma testi uzmanları için efsanevi bir araç olan USB Rubber Ducky devreye giriyor. Dışarıdan sıradan bir flash bellek gibi görünen bu cihaz, sisteme takıldığı an bir klavye gibi davranarak saniyeler içinde önceden programlanmış komutları çalıştırır. Son nesli ve DuckyScript 3.0 ile birlikte sadece basit bir makro aracı olmaktan çıkıp, air-gapped sistemlerden bile veri sızdırabilen akıllı bir platforma dönüşmüştür.
Yasal Uyarı
Bu araştırma yazısı, güvenlik araştırmalarına dair laboratuvar ortamlarında ve izinli yerlerde yapılabilecek testlere ilişkin eğitim amacıyla tasarlanmıştır. Bilişim sistemlerine yönelik izinsiz müdahaleler, 5809 sayılı Elektronik Haberleşme Kanunu ve 5237 sayılı Türk Ceza Kanunu Madde 244 kapsamında ciddi yasal yaptırımlara tabidir. Lütfen bu bilgileri yalnızca yasal ve yetkili olduğunuz sistemlerde kullanın.
Terminoloji
- HID (Human Interface Device): İşletim sistemlerinin otomatik olarak güvendiği klavye, fare gibi standart USB cihazları.
- Keystroke Injection: Cihazın hedef sisteme kendini klavye olarak tanıtıp insanüstü hızda komut yazması eylemi.
- DuckyScript 3.0: USB Rubber Ducky için geliştirilmiş; değişkenler, döngüler ve mantıksal operatörler içeren kullanımı kolay ama çok güçlü betik dili.
- Keystroke Reflection: Klavye LED (Caps Lock, Num Lock vb.) ışıklarının durum değişikliklerini kullanarak kapalı sistemlerden veri sızdırma tekniği.
Giriş
Teknoloji dünyası, kullanım kolaylığı sağlamak için “tak ve çalıştır” USB standardını geliştirdiğinde arka planda devasa bir güvenlik açığı doğdu. İşletim sistemleri, USB portuna bağlanan bir cihazın gerçekten fiziksel tuşları olan mekanik bir klavye mi yoksa zararlı bir mikrodenetleyici mi olduğunu ayırt edemez. İlk kez 2010 yılında ortaya çıkan USB Rubber Ducky, bu donanımsal körlüğü kullanarak siber güvenlik dünyasında bir standart haline geldi. Günümüzde gelişen EDR ve antivirüs çözümleri dosyaları ve ağ trafiğini denetlese de donanımdan gelen klavye vuruşlarını genellikle denetlemedikleri için bu cihaz hala en etkili fiziksel sızma yöntemlerinden biridir.
Donanım ve Tasarım
Yeni nesil USB Rubber Ducky, bir önceki ikonik flash bellek tasarımını korur ancak içi günümüz ihtiyaçlarına göre tamamen yenilenmiştir. 60 MHz 32-bit işlemcisi sayesinde hedef bilgisayara takıldığı an milisaniyeler içinde komutları derleyip klavye sinyallerine dönüştürür. Cihazın içinde dosyaları saklayan gizli bir MicroSD kart yuvası bulunur, böylece kapasite sorunu yaşanmaz. Ayrıca hem USB-A hem de USB-C bağlantı portlarını tek bir gövdede birleştirerek modern dizüstü bilgisayarlardan eski tip sunuculara kadar tam uyumluluk sağlar.
DuckyScript 3.0 ile Gelen Zeka
Eski sistemlerde bu tarz cihazlar sadece körü körüne komut yazıyordu. DuckyScript 3.0 ile cihaz artık hedefin farkında olan zeki bir asistana dönüştü.
- Koşullu Mantık ve Değişkenler: Hedefin Windows mu yoksa Mac mi olduğunu anlayıp durum değerlendirmesi yaparak anında farklı komutlar çalıştırabilir.
- İnsan Taklidi (Jitter): Modern savunma sistemleri insanüstü hızda yazılan tuşları fark edip engelleyebilir. DuckyScript 3.0, tuş vuruşları arasına rastgele milisaniyelik gecikmeler ekleyerek tıpkı bir insan gibi yazar ve bu kontrolleri atlatır.
Keystroke Reflection
Cihazın en dikkat çekici özelliklerinden biri, internete veya hiçbir ağa bağlı olmayan USB bellek kullanımının bile kurumsal yazılımlarla tamamen engellendiği yüksek air-gapped sistemlerden veri sızdırabilmesidir. Bunu, bilgisayarların klavye ışıklarını senkronize etme özelliğini tersine kullanarak yapar. Hedef sistemdeki veriler bit seviyesine dönüştürülüp klavye ışıklarını açıp kapatma sinyalleri üzerinden cihazın içindeki hafızaya gizlice kaydedilir.
Alternatiflerden Farkı
Piyasada benzer teknikleri kullanan Flipper Zero veya hobi amaçlı geliştirme kartları (Digispark, Raspberry Pi Pico) gibi birçok alternatif bulunuyor. Flipper Zero son derece yetenekli olsa da dışarıdan bakıldığında dikkat çeken bir tasarıma sahiptir ve eylemin menüden manuel olarak tetiklenmesini gerektirir. Hobi kartları ise çok düşük depolama alanına sahip açık devrelerdir. USB Rubber Ducky ise kusursuz flash bellek kamuflajı ve takıldığı an kimseye fark ettirmeden otonom olarak çalışmasıyla hızlı operasyonlar için tartışmasız en pratik çözümlerden biridir.
Sonuç
USB Rubber Ducky, siber güvenlik dünyasında fiziksel erişimin ne kadar kritik olduğunu somut bir şekilde kanıtlayan efsanevi bir araçtır. DuckyScript 3.0’ın getirdiği dinamik karar verme yetenekleri ve Keystroke Reflection gibi sınırları zorlayan veri sızdırma teknikleriyle bu cihaz sadece bir komut aracı olmaktan çıkıp tam teşekküllü bir fiziksel sızma testi platformuna dönüşmüştür. Ağ güvenliğiniz ne kadar güçlü olursa olsun gözetimsiz bırakılmış tek bir USB portu tüm güvenlik duvarlarını anlamsız kılabilir.
TL;DR
- Nedir? Dışarıdan sıradan bir flash bellek gibi görünen ancak bilgisayarın “klavye” sandığı güçlü bir sızma testi donanımıdır.
- Nasıl Çalışır? Bilgisayarların klavyelere duyduğu sorgusuz güveni kullanarak sistemlere çok yüksek hızda önceden belirlenmiş komutları enjekte eder.
- Yeni Özellikleri Neler? Yeni nesil ve DuckyScript 3.0 ile birlikte hedef sistemi otomatik algılayabilir karar verebilir ve yakalanmamak için insan yazım hızını taklit edebilir.
- Keystroke Reflection: Ağ bağlantısı olmayan dışa kapalı bilgisayarlardan bile sadece klavye ışık sinyallerini (Caps Lock vb.) okuyarak dışarıya veri sızdırabilir.
Kaynaklar
https://www.twenty-four.it/insights/usb-rubber-ducky/
https://docs.hak5.org/hak5-usb-rubber-ducky/usb-rubber-ducky-by-hak5
https://shop.hak5.org/products/usb-rubber-ducky
https://www.thestack.technology/keystroke-reflection-air-gap-exfiltration/
https://www.iacis.org/iis/2024/2_iis_2024_84-95.pdf
https://lab401.com/products/rubber-ducky
https://def.camp/wp-content/uploads/dc2023/Cristian%20Pop.pdf