近日,Google宣布為Linux系統(tǒng)開(kāi)發(fā)了一種安全工具,可通過(guò)識(shí)別可疑的擊鍵速度來(lái)阻止惡意U盤(pán)設(shè)備的USB按鍵注入攻擊(以下簡(jiǎn)稱(chēng)鍵入攻擊)。U盤(pán)鍵入攻擊是目前最難以防范的接觸式攻擊之一,谷歌的新工具使用啟發(fā)式測(cè)試來(lái)一勞永逸地防御該威脅。
鍵入攻擊可以通過(guò)運(yùn)行模擬人類(lèi)用戶(hù)輸入的代碼來(lái)運(yùn)行U盤(pán)中的惡意指令。
谷歌安全工程師Sebastian Neuner在谷歌開(kāi)源博客上介紹,谷歌的工具使用兩種啟發(fā)式變量——KEYSTROKE_WINDOW和ABNORMAL_TYPING,來(lái)區(qū)分良性和惡意的USB輸入信息。
具體來(lái)說(shuō),KEYSTROKE_WINDOW會(huì)監(jiān)測(cè)兩次擊鍵之間的時(shí)間(是否過(guò)于短促)來(lái)告警,但這種方法對(duì)于超級(jí)鍵盤(pán)手,或者手大同時(shí)按下兩個(gè)按鍵的用戶(hù)來(lái)說(shuō),容易產(chǎn)生誤報(bào),不過(guò)谷歌表示監(jiān)測(cè)的準(zhǔn)確性會(huì)隨著擊鍵次數(shù)的增加而提高。
ABNORMAL_TYPING可以用于定義兩次擊鍵之間的“間隔時(shí)間”或間隔。
啟發(fā)式方法之所以起作用,是因?yàn)槌厥庖蛩赝?,程序自?dòng)擊鍵輸入通常比人類(lèi)輸入要快。
Neuner建議用戶(hù)使用在線(xiàn)程序檢測(cè)自己的鍵入速度,同時(shí)在“監(jiān)控”模式下運(yùn)行Google工具來(lái)重新校準(zhǔn)默認(rèn)參數(shù)。不過(guò)即便如此,用戶(hù)還是需要幾天甚至幾周的時(shí)間,才能逐漸降低誤報(bào)率,直到消除。
優(yōu)點(diǎn):簡(jiǎn)單,便宜,可廣泛采用
Neuner指出:“U盤(pán)鍵入攻擊工具相對(duì)便宜并且可以在線(xiàn)上廣泛使用。”
滲透測(cè)試工具商店Hak5的創(chuàng)始人Darren Kitchen于2008年發(fā)明了USB鍵入攻擊技術(shù),并率先開(kāi)發(fā)了模擬攻擊的工具:USB Rubber Ducky,該軟件在黑客電視連續(xù)劇Mr. Robot中出鏡。
Hak5 Podcast創(chuàng)始人和主持人Kitchen指出:“鍵入攻擊之所以流行是因?yàn)樗鼈兒芎?jiǎn)單,門(mén)檻非常低。我開(kāi)發(fā)了事實(shí)上的語(yǔ)言Ducky Script,所以任何人都可以在一兩分鐘之內(nèi)學(xué)習(xí)它?!?/p>
Neuner認(rèn)為,鍵入攻擊很難檢測(cè)和預(yù)防,因?yàn)樗鼈兪峭ㄟ^(guò)使用最廣泛的計(jì)算機(jī)外圍設(shè)備連接器提供的:不起眼的USB。
Kitchen指出:“鍵入攻擊可在一瞬間完成,而受害者卻無(wú)法看到,USB Rubber Ducky可以每分鐘輸入1,000多個(gè)單詞,而且準(zhǔn)確性很高,不需要喝咖啡休息時(shí)間。”
不是USB安全的萬(wàn)靈藥
Neuner解釋說(shuō):“谷歌發(fā)布的安全工具并不是針對(duì)基于USB的攻擊或按鍵注入攻擊的靈丹妙藥,因?yàn)槿绻脩?hù)未鎖定計(jì)算機(jī),可以訪(fǎng)問(wèn)用戶(hù)機(jī)器的攻擊者可以做出很多不可描述之事。細(xì)粒度的udev規(guī)則之類(lèi)的Linux工具或諸如USBGuard之類(lèi)的開(kāi)源項(xiàng)目,可以幫助用戶(hù)定義策略并在鎖定屏幕時(shí)阻止特定或所有USB設(shè)備,從而可以提供進(jìn)一步的保護(hù)?!?/p>
德國(guó)滲透測(cè)試公司SySS GmbH的研發(fā)負(fù)責(zé)人Matthias Deeg表示,Google工具的有效性還有待觀察,因?yàn)樯胁淮_定這種啟發(fā)式防御方法能否通過(guò)調(diào)整擊鍵參數(shù)繞過(guò)。
責(zé)任編輯:gt
-
usb
+關(guān)注
關(guān)注
60文章
7777瀏覽量
262422 -
Linux
+關(guān)注
關(guān)注
87文章
11123瀏覽量
207927 -
Googl
+關(guān)注
關(guān)注
0文章
4瀏覽量
10365
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論