グーグル ユーティリティ 、追跡とブロックが可能になります USB キーボードをシミュレートし、架空のキーストロークを密かに置き換える悪意のある USB デバイスを使用して実行されます(たとえば、攻撃中に、 一連のクリックにより、ターミナルが開き、そこで任意のコマンドが実行されます)。 コードはPythonで書かれており、 Apache 2.0 に基づいてライセンスされています。
このユーティリティは systemd サービスとして実行され、監視モードと攻撃防止モードで動作できます。 監視モードでは、攻撃の可能性が特定され、USB デバイスを他の目的で使用して入力を代用しようとする試みに関連するアクティビティがログに記録されます。 保護モードでは、悪意のある可能性のあるデバイスが検出されると、ドライバー レベルでシステムから切断されます。
悪意のあるアクティビティは、入力の性質とキーストローク間の遅延のヒューリスティック分析に基づいて判断されます。攻撃は通常、ユーザーの存在下で実行され、検出されないように、最小限の遅延でシミュレートされたキーストロークが送信されます。通常のキーボード入力では典型的ではありません。 攻撃検出ロジックを変更するために、KEYSTROKE_WINDOW と ABNORMAL_TYPING の XNUMX つの設定が提案されています (XNUMX つ目は分析のためのクリック数を決定し、XNUMX つ目はクリック間のしきい値間隔を決定します)。
この攻撃は、ファームウェアが変更された不審なデバイスを使用して実行される可能性があります。たとえば、キーボードをシミュレートできます。 , , または (中 USB ポートに接続された Android プラットフォームを実行するスマートフォンからの入力を代替するための特別なユーティリティが提供されます)。 USB 経由の攻撃を複雑にするために、ukip に加えて、パッケージを使用することもできます。 これにより、ホワイト リストからのデバイスの接続のみが許可されるか、画面がロックされている間はサードパーティの USB デバイスの接続がブロックされ、ユーザーが戻った後はそのようなデバイスでの作業が許可されなくなります。
出所: オープンネット.ru