谷歌 效用 ,让您可以跟踪和阻止 使用模拟 USB 键盘的恶意 USB 设备来秘密地替换虚构的击键(例如,在攻击期间可能会出现 一系列点击导致打开终端并在其中执行任意命令)。 代码是用 Python 编写的, 在 Apache 2.0 下获得许可。
该实用程序作为 systemd 服务运行,并且可以在监控和攻击预防模式下运行。 在监控模式下,可能的攻击被识别,并且与尝试将 USB 设备用于其他目的进行输入替换相关的活动记录在日志中。 在保护模式下,当检测到潜在的恶意设备时,它会在驱动程序级别与系统断开连接。
恶意活动是根据输入性质和击键之间的延迟进行启发式分析来确定的 - 攻击通常在用户在场的情况下进行,为了不被发现,模拟击键会以最小的延迟发送对于正常键盘输入来说是非典型的。 为了改变攻击检测逻辑,提出了两个设置:KEYSTROKE_WINDOW和ABNORMAL_TYPING(第一个确定用于分析的点击次数,第二个确定点击之间的阈值间隔)。
可以使用具有修改固件的可疑设备来进行攻击,例如,您可以模拟键盘 , , или (在 提供了一个特殊的实用程序来替代来自运行 Android 平台(连接到 USB 端口)的智能手机的输入)。 为了使通过 USB 的攻击变得复杂,除了 ukip 之外,您还可以使用该软件包 ,仅允许连接白名单中的设备,或在屏幕锁定时阻止连接第三方 USB 设备,并且在用户返回后不允许使用此类设备。
来源: opennet.ru