近日，Google宣布為Linux系統(tǒng)開發(fā)了一種安全工具，可通過識別可疑的擊鍵速度來阻止惡意U盤設(shè)備的USB按鍵注入攻擊（以下簡稱鍵入攻擊）。U盤鍵入攻擊是目前最難以防范的接觸式攻擊之一，谷歌的新工具使用啟發(fā)式測試來一勞永逸地防御該威脅。

鍵入攻擊可以通過運行模擬人類用戶輸入的代碼來運行U盤中的惡意指令。

谷歌安全工程師Sebastian Neuner在谷歌開源博客上介紹，谷歌的工具使用兩種啟發(fā)式變量——KEYSTROKE_WINDOW和ABNORMAL_TYPING，來區(qū)分良性和惡意的USB輸入信息。

具體來說，KEYSTROKE_WINDOW會監(jiān)測兩次擊鍵之間的時間（是否過于短促）來告警，但這種方法對于超級鍵盤手，或者手大同時按下兩個按鍵的用戶來說，容易產(chǎn)生誤報，不過谷歌表示監(jiān)測的準確性會隨著擊鍵次數(shù)的增加而提高。

ABNORMAL_TYPING可以用于定義兩次擊鍵之間的“間隔時間”或間隔。

啟發(fā)式方法之所以起作用，是因為除特殊因素外，程序自動擊鍵輸入通常比人類輸入要快。

Neuner建議用戶使用在線程序檢測自己的鍵入速度，同時在“監(jiān)控”模式下運行Google工具來重新校準默認參數(shù)。不過即便如此，用戶還是需要幾天甚至幾周的時間，才能逐漸降低誤報率，直到消除。

優(yōu)點：簡單，便宜，可廣泛采用

Neuner指出：“U盤鍵入攻擊工具相對便宜并且可以在線上廣泛使用。”

滲透測試工具商店Hak5的創(chuàng)始人Darren Kitchen于2008年發(fā)明了USB鍵入攻擊技術(shù)，并率先開發(fā)了模擬攻擊的工具：USB Rubber Ducky，該軟件在黑客電視連續(xù)劇Mr. Robot中出鏡。

Hak5 Podcast創(chuàng)始人和主持人Kitchen指出：“鍵入攻擊之所以流行是因為它們很簡單，門檻非常低。我開發(fā)了事實上的語言Ducky Script，所以任何人都可以在一兩分鐘之內(nèi)學習它?！?/p>

Neuner認為，鍵入攻擊很難檢測和預防，因為它們是通過使用最廣泛的計算機外圍設(shè)備連接器提供的：不起眼的USB。

Kitchen指出：“鍵入攻擊可在一瞬間完成，而受害者卻無法看到，USB Rubber Ducky可以每分鐘輸入1，000多個單詞，而且準確性很高，不需要喝咖啡休息時間。”

不是USB安全的萬靈藥

Neuner解釋說：“谷歌發(fā)布的安全工具并不是針對基于USB的攻擊或按鍵注入攻擊的靈丹妙藥，因為如果用戶未鎖定計算機，可以訪問用戶機器的攻擊者可以做出很多不可描述之事。細粒度的udev規(guī)則之類的Linux工具或諸如USBGuard之類的開源項目，可以幫助用戶定義策略并在鎖定屏幕時阻止特定或所有USB設(shè)備，從而可以提供進一步的保護?！?/p>

德國滲透測試公司SySS GmbH的研發(fā)負責人Matthias Deeg表示，Google工具的有效性還有待觀察，因為尚不確定這種啟發(fā)式防御方法能否通過調(diào)整擊鍵參數(shù)繞過。

責任編輯：gt