谷歌 公用事業 跟踪和阻止 使用模擬 USB 鍵盤的惡意 USB 設備來秘密地替換虛構的擊鍵(例如,在攻擊期間,可能會出現 導致打開終端並在其中執行任意命令的一系列擊鍵)。 代碼是用 Python 編寫的, 在 Apache 2.0 下獲得許可。
該實用程序作為 systemd 服務運行,並且可以在監控和攻擊預防模式下運行。 在監控模式下,可能會檢測到可能的攻擊,並記錄與濫用 USB 設備進行輸入替換的嘗試相關的活動。 在保護模式下,當檢測到潛在的惡意設備時,它會在驅動程序級別與系統斷開連接。
惡意活動是根據對輸入性質和擊鍵之間的延遲進行啟發式分析來確定的 - 攻擊通常在用戶在場的情況下進行,為了不引起注意,模擬的擊鍵會以最小的延遲發送,即對於正常鍵盤輸入來說是非典型的。 為了改變攻擊檢測邏輯,提出了兩個設置KEYSTROKE_WINDOW和ABNORMAL_TYPING(第一個確定用於分析的點擊次數,第二個確定點擊之間的閾值間隔)。
可以使用具有修改固件的可疑設備來進行攻擊,例如,您可以模擬鍵盤 , , 或 (在 建議使用一個特殊的實用程序來替代連接到運行 Android 平台的 USB 端口的智能手機的輸入)。 為了使通過 USB 的攻擊變得複雜,除了 ukip 之外,您還可以使用該軟件包 ,僅允許連接白名單中的設備或在屏幕鎖定期間阻止連接外部 USB 設備,並且在用戶返回後不允許使用此類設備。
來源: opennet.ru