启发式测试提供有关拇指驱动器损失的警告
Google开发了一种工具Linux通过标记可疑的击键速度并阻止被归类为恶意的设备来打击USB击键注射攻击的机器。
按键注射攻击可以通过连接到主机机器的拇指驱动器来执行恶意命令,该代码模仿人类用户输入的密钥震动。
在一个邮政在Google开源博客上,Google安全工程师Sebastian Neuner解释了Google的工具使用了两个启发式变量 -keystroke_window和abnormal_typing- 区分良性和恶意输入。
如果用户几乎同时击中了两个键,则测量两次击键之间的时间,Keystroke_window可以生成误报,尽管准确性随着记录的击键数量而增加。
abnormal_typing指定了击键之间的“超级时间”或差距。
启发式作品是因为自动化击键输入通常比人类的击键输入更快。
Neuner建议用户通过在“监视”模式下运行Google工具时使用在线实用程序来测量自己的打字速度来重新校准默认参数。
他解释说,在几天甚至几周内完成,这应该逐渐降低误报率,直到被淘汰为止。
该过程训练系统以识别用户的正常键入模式,从而帮助其减少错误警报的数量,即真正将真实用户输入错误地标记为MALIGN的实例。
简单,便宜,可用
Neuner指出,击键注入工具相对便宜且在线广泛可用。
达伦厨房Pen测试工具开发人员HAK5的创始人,可以发表评论。他在2008年发明了击键注入,并开创了模拟攻击的第一个工具:USB橡胶鸭,该工具在标志性的黑客电视连续剧Robot先生。
“击键注射攻击很流行,因为它们很简单 - 进入障碍非常低。”每日swbeplay2018官网ig。“我开发了现在的事实上的语言,鸭脚本,所以任何人都可以在一两分钟内学习。”
根据Neuner的说法,击键注射攻击也很难检测和预防,因为它们是通过使用最广泛的计算机外围连接器交付的:不起眼的USB。
他说,坐在计算机上的击键也被“在人的眼神中有效地看不见”。Kitchen指出,“ USB橡胶鸭每分钟可以以完美的准确性输入1000多个单词,而不需要咖啡休息”。
Kitchen讲述了他如何开发击键注入以“使我当时的平凡IT工作自动化 - 用单线固定打印机”,然后才意识到“违反了“违反了人类的固有信任计算机”。
他继续说:“这是一个难以解决的缺陷,因为我们希望计算机信任我们,而我们与他们交谈的方式(尽管Alexa)是按Keystrokes借助的。”
“黑客吉布森”
但是,攻击“只有登录的用户一样强大”,他补充说,他可能不会是“黑客吉布森”由于他的机器受到普通用户可以做什么的限制。
“On the other hand, if you’re in an organization that has ignored security best practices over the past decade, and all of your ordinary users have administrative privileges, then yeah – keystroke injection attacks are a problem (and you probably have many more).”
Neuner发布了两个视频,展示了对机器的攻击和和没有该工具已安装,建议不要将Google的实用程序视为综合解决方案。
“The tool is not a silver bullet against USB-based attacks or keystroke injection attacks, since an attacker with access to a user’s machine (required for USB-based keystroke injection attacks) can do worse things if the machine is left unlocked,” he said.
安全工程师补充说,Linux工具(例如细粒度UDEV规则)或开源像USBGUARD,用户可以在屏幕锁定时通过其定义策略并挡住特定或所有USB设备,可以增加保护。
马蒂亚斯·迪格(Matthias Deeg)德国笔测试公司Sys GmbH的研究与开发负责人说,仍有待观察Google的工具能够证明其有效性。
“我认为,这个新工具很有趣,实际上可能有助于防止自动击键注射攻击,例如通过不良的USB设备,” Deeg研究了无线输入设备,包括其用于击键注射攻击的用途,每日swbeplay2018官网ig。
“但是,我们尚未测试该工具及其实施的启发式方法,用于检测自动化的击键注射攻击,因此无法通过调整攻击者工具的击键注入行为来轻易绕过它。这似乎是一个很好的老猫馆游戏。”
github读书我对于Google工具,包括逐步设置和操作指南。该实用程序作为一个Systemd守护程序,可以在重新启动时启用。
