Google
La utilidad se ejecuta como un servicio systemd y puede funcionar en modos de monitoreo y prevención de ataques. En el modo de monitoreo, se identifican posibles ataques y se registra en el registro la actividad relacionada con los intentos de utilizar dispositivos USB para otros fines para la sustitución de entradas. En modo de protección, cuando se detecta un dispositivo potencialmente malicioso, se desconecta del sistema a nivel del controlador.
La actividad maliciosa se determina basándose en un análisis heurístico de la naturaleza de la entrada y los retrasos entre las pulsaciones de teclas: el ataque normalmente se lleva a cabo en presencia del usuario y, para que no sea detectado, las pulsaciones de teclas simuladas se envían con retrasos mínimos. atípico para la entrada normal del teclado. Para cambiar la lógica de detección de ataques, se proponen dos configuraciones: KEYSTROKE_WINDOW y ABNORMAL_TYPING (la primera determina el número de clics para el análisis y la segunda, el intervalo umbral entre clics).
El ataque se puede llevar a cabo utilizando un dispositivo no sospechoso con firmware modificado, por ejemplo, se puede simular un teclado en
Fuente: opennet.ru