ProHoster > Blog > noticias de internet > Google introdujo un bloqueador de sustitución de entradas a través de dispositivos USB maliciosos

Google introdujo un bloqueador de sustitución de entradas a través de dispositivos USB maliciosos

Google опубликовала utilidad ukip, permitiéndole rastrear y bloquear ataquesSe lleva a cabo utilizando dispositivos USB maliciosos que simulan un teclado USB para sustituir de forma encubierta pulsaciones de teclas ficticias (por ejemplo, durante el ataque puede haber simulado una secuencia de clics que conducen a abrir una terminal y ejecutar comandos arbitrarios en ella). El código está escrito en Python y distribuido por licenciado bajo Apache 2.0.

La utilidad se ejecuta como un servicio systemd y puede funcionar en modos de monitoreo y prevención de ataques. En el modo de monitoreo, se identifican posibles ataques y se registra en el registro la actividad relacionada con los intentos de utilizar dispositivos USB para otros fines para la sustitución de entradas. En modo de protección, cuando se detecta un dispositivo potencialmente malicioso, se desconecta del sistema a nivel del controlador.

La actividad maliciosa se determina basándose en un análisis heurístico de la naturaleza de la entrada y los retrasos entre las pulsaciones de teclas: el ataque normalmente se lleva a cabo en presencia del usuario y, para que no sea detectado, las pulsaciones de teclas simuladas se envían con retrasos mínimos. atípico para la entrada normal del teclado. Para cambiar la lógica de detección de ataques, se proponen dos configuraciones: KEYSTROKE_WINDOW y ABNORMAL_TYPING (la primera determina el número de clics para el análisis y la segunda, el intervalo umbral entre clics).

El ataque se puede llevar a cabo utilizando un dispositivo no sospechoso con firmware modificado, por ejemplo, se puede simular un teclado en memoria USB, concentrador USB, cámara web o smartphone (en Kali NetHunter Se ofrece una utilidad especial para sustituir la entrada desde un teléfono inteligente con plataforma Android conectado al puerto USB). Para complicar los ataques vía USB, además de ukip, también puedes utilizar el paquete USBGuard, que permite la conexión de dispositivos solo de la lista blanca o bloquea la capacidad de conectar dispositivos USB de terceros mientras la pantalla está bloqueada y no permite trabajar con dichos dispositivos después de que el usuario regresa.

Fuente: opennet.ru

Añadir un comentario