O USB Rubber Ducky não é um pen drive comum. Embora seu exterior seja idêntico a um dispositivo de armazenamento USB barato, internamente ele é um computador em miniatura que se identifica para o sistema operacional como um teclado USB.
O que torna o Rubber Ducky perigoso?
A principal vulnerabilidade que o Rubber Ducky explora é a confiança cega. Sistemas operacionais (Windows, Linux, macOS, Android) confiam inerentemente em teclados USB. Não há solicitações de pareamento, nem verificações de segurança complexas. Uma vez conectado, o dispositivo pode digitar comandos a uma velocidade de 1.000 palavras por minuto, executando ataques complexos antes mesmo que o usuário perceba o que está acontecendo.
Como não é um dispositivo de armazenamento, a maioria dos antivírus e EDRs (Endpoint Detection and Response) não scanneram o Ducky. Ele "ataca" através da interface de entrada humana (HID).
A linguagem DuckyScript
O Rubber Ducky usa uma linguagem de script extremamente simples chamada DuckyScript. Ela permite que qualquer pessoa escreva payloads poderosos com pouco esforço.
Os comandos básicos incluem:
- DELAY: Espera alguns milissegundos antes do próximo comando.
- STRING: Digita o texto literal.
- GUI (ou WINDOWS): Pressiona a tecla Windows/Command.
- ENTER: Pressiona a tecla Enter.
Exemplo de payload (Inofensivo — Abre o Notepad):
DELAY 1000
GUI r
DELAY 500
STRING notepad
ENTER
DELAY 500
STRING Auditoria HID executada com sucesso. Este sistema esta vulneravel a ataques fisicos de teclado.
ENTERCasos de Uso em Pentest
Em cenários reais de Red Teaming, o Rubber Ducky é usado para:
Exfiltração de credenciais
Em segundos, o Ducky pode abrir um terminal (PowerShell ou Bash), executar um comando que extrai senhas de Wi-Fi salvas ou cookies do navegador e enviar esses dados para um servidor remoto via comando curl ou wget.
Criação de usuário admin
Se o computador for deixado desbloqueado por um minuto, o atacante pode usar o Ducky para criar um novo usuário com privilégios de administrador e habilitar o acesso remoto (RDP ou SSH).
Reverse Shell
O payload mais comum é o "Reverse Shell", onde o Ducky digita uma linha de código que faz o computador da vítima conectar-se de volta ao computador do atacante, dando controle total do terminal via internet.
Como se Defender
A defesa contra ataques HID requer uma combinação de políticas técnicas e comportamentais:
- Políticas de USB: Desative portas USB desnecessárias em computadores críticos ou servidores.
- Whitelisting via GPO (Windows): É possível configurar o Windows para aceitar apenas dispositivos USB com IDs de hardware (VID/PID) específicos (os teclados da sua empresa).
- Bloqueio de HID Desconhecido: Existem ferramentas de terceiros que monitoram a velocidade de digitação e bloqueiam o teclado se ele parecer estar digitando rápido demais para ser um humano.
- Conscientização: A regra de ouro é nunca conectar um dispositivo USB desconhecido que você "encontrou no estacionamento".
Rubber Ducky vs Bash Bunny
| Característica | Rubber Ducky | Bash Bunny | | :--- | :--- | :--- | | Formato | Pen drive ultra discreto | Um pouco maior que um pen drive | | Interface | Apenas Teclado (HID) | Teclado, Rede (Ethernet), Serial e Armazenamento | | Complexidade | Simples e direto | Muito avançado (suporta scripts em Shell) | | Velocidade | Instantâneo | Demora cerca de 7s para iniciar |
⚠️ Uso Ético: Este material é exclusivamente informativo. O uso dessas técnicas em computadores de terceiros sem autorização prévia é crime. Estude para proteger, não para destruir.
Admin Hacker
Security Researcher @ Cybersec Brasil