近日,Google宣布為Linux系統開發了一種安全工具,可通過識別可疑的擊鍵速度來阻止惡意U盤設備的USB按鍵注入攻擊(以下簡稱鍵入攻擊)。U盤鍵入攻擊是目前最難以防范的接觸式攻擊之一,谷歌的新工具使用啟發式測試來一勞永逸地防御該威脅。
鍵入攻擊可以通過運行模擬人類用戶輸入的代碼來運行U盤中的惡意指令。
谷歌安全工程師Sebastian Neuner在谷歌開源博客上介紹,谷歌的工具使用兩種啟發式變量——KEYSTROKE_WINDOW和ABNORMAL_TYPING,來區分良性和惡意的USB輸入信息。
具體來說,KEYSTROKE_WINDOW會監測兩次擊鍵之間的時間(是否過于短促)來告警,但這種方法對于超級鍵盤手,或者手大同時按下兩個按鍵的用戶來說,容易產生誤報,不過谷歌表示監測的準確性會隨著擊鍵次數的增加而提高。
ABNORMAL_TYPING可以用于定義兩次擊鍵之間的“間隔時間”或間隔。
啟發式方法之所以起作用,是因為除特殊因素外,程序自動擊鍵輸入通常比人類輸入要快。
Neuner建議用戶使用在線程序檢測自己的鍵入速度,同時在“監控”模式下運行Google工具來重新校準默認參數。不過即便如此,用戶還是需要幾天甚至幾周的時間,才能逐漸降低誤報率,直到消除。
優點:簡單,便宜,可廣泛采用
Neuner指出:“U盤鍵入攻擊工具相對便宜并且可以在線上廣泛使用。”
滲透測試工具商店Hak5的創始人Darren Kitchen于2008年發明了USB鍵入攻擊技術,并率先開發了模擬攻擊的工具:USB Rubber Ducky,該軟件在黑客電視連續劇Mr. Robot中出鏡。
Hak5 Podcast創始人和主持人Kitchen指出:“鍵入攻擊之所以流行是因為它們很簡單,門檻非常低。我開發了事實上的語言Ducky Script,所以任何人都可以在一兩分鐘之內學習它。”
Neuner認為,鍵入攻擊很難檢測和預防,因為它們是通過使用最廣泛的計算機外圍設備連接器提供的:不起眼的USB。
Kitchen指出:“鍵入攻擊可在一瞬間完成,而受害者卻無法看到,USB Rubber Ducky可以每分鐘輸入1,000多個單詞,而且準確性很高,不需要喝咖啡休息時間。”
不是USB安全的萬靈藥
Neuner解釋說:“谷歌發布的安全工具并不是針對基于USB的攻擊或按鍵注入攻擊的靈丹妙藥,因為如果用戶未鎖定計算機,可以訪問用戶機器的攻擊者可以做出很多不可描述之事。細粒度的udev規則之類的Linux工具或諸如USBGuard之類的開源項目,可以幫助用戶定義策略并在鎖定屏幕時阻止特定或所有USB設備,從而可以提供進一步的保護。”
德國滲透測試公司SySS GmbH的研發負責人Matthias Deeg表示,Google工具的有效性還有待觀察,因為尚不確定這種啟發式防御方法能否通過調整擊鍵參數繞過。
責任編輯:gt
-
usb
+關注
關注
60文章
7938瀏覽量
264490 -
Linux
+關注
關注
87文章
11294瀏覽量
209344 -
Googl
+關注
關注
0文章
4瀏覽量
10375
發布評論請先 登錄
相關推薦
評論