Google
Het hulpprogramma draait als een systemd-service en kan werken in monitoring- en aanvalspreventiemodi. In de monitoringmodus worden mogelijke aanvallen geïdentificeerd en worden activiteiten gerelateerd aan pogingen om USB-apparaten voor andere doeleinden te gebruiken voor invoervervanging vastgelegd in het logboek. Wanneer in de beschermingsmodus een potentieel kwaadaardig apparaat wordt gedetecteerd, wordt de verbinding met het systeem op stuurprogrammaniveau verbroken.
Kwaadwillige activiteit wordt vastgesteld op basis van een heuristische analyse van de aard van de invoer en de vertragingen tussen toetsaanslagen. De aanval wordt meestal uitgevoerd in aanwezigheid van de gebruiker en om onopgemerkt te blijven, worden gesimuleerde toetsaanslagen met minimale vertraging verzonden. atypisch voor normale toetsenbordinvoer. Om de aanvalsdetectielogica te wijzigen, worden twee instellingen voorgesteld: KEYSTROKE_WINDOW en ABNORMAL_TYPING (de eerste bepaalt het aantal klikken voor analyse, en de tweede het drempelinterval tussen klikken).
De aanval kan worden uitgevoerd met behulp van een nietsverdacht apparaat met aangepaste firmware, je kunt er bijvoorbeeld een toetsenbord in simuleren
Bron: opennet.ru