近日，Google宣布為Linux系統(tǒng)開(kāi)發(fā)了一種安全工具，可通過(guò)識(shí)別可疑的擊鍵速度來(lái)阻止惡意U盤(pán)設(shè)備的USB按鍵注入攻擊（以下簡(jiǎn)稱(chēng)鍵入攻擊）。U盤(pán)鍵入攻擊是目前最難以防范的接觸式攻擊之一，谷歌的新工具使用啟發(fā)式測(cè)試來(lái)一勞永逸地防御該威脅。

鍵入攻擊可以通過(guò)運(yùn)行模擬人類(lèi)用戶(hù)輸入的代碼來(lái)運(yùn)行U盤(pán)中的惡意指令。

谷歌安全工程師Sebastian Neuner在谷歌開(kāi)源博客上介紹，谷歌的工具使用兩種啟發(fā)式變量——KEYSTROKE_WINDOW和ABNORMAL_TYPING，來(lái)區(qū)分良性和惡意的USB輸入信息。

具體來(lái)說(shuō)，KEYSTROKE_WINDOW會(huì)監(jiān)測(cè)兩次擊鍵之間的時(shí)間（是否過(guò)于短促）來(lái)告警，但這種方法對(duì)于超級(jí)鍵盤(pán)手，或者手大同時(shí)按下兩個(gè)按鍵的用戶(hù)來(lái)說(shuō)，容易產(chǎn)生誤報(bào)，不過(guò)谷歌表示監(jiān)測(cè)的準(zhǔn)確性會(huì)隨著擊鍵次數(shù)的增加而提高。

ABNORMAL_TYPING可以用于定義兩次擊鍵之間的“間隔時(shí)間”或間隔。

啟發(fā)式方法之所以起作用，是因?yàn)槌厥庖蛩赝?，程序自?dòng)擊鍵輸入通常比人類(lèi)輸入要快。

Neuner建議用戶(hù)使用在線程序檢測(cè)自己的鍵入速度，同時(shí)在“監(jiān)控”模式下運(yùn)行Google工具來(lái)重新校準(zhǔn)默認(rèn)參數(shù)。不過(guò)即便如此，用戶(hù)還是需要幾天甚至幾周的時(shí)間，才能逐漸降低誤報(bào)率，直到消除。

優(yōu)點(diǎn)：簡(jiǎn)單，便宜，可廣泛采用

Neuner指出：“U盤(pán)鍵入攻擊工具相對(duì)便宜并且可以在線上廣泛使用?！?/p>

滲透測(cè)試工具商店Hak5的創(chuàng)始人Darren Kitchen于2008年發(fā)明了USB鍵入攻擊技術(shù)，并率先開(kāi)發(fā)了模擬攻擊的工具：USB Rubber Ducky，該軟件在黑客電視連續(xù)劇Mr. Robot中出鏡。

Hak5 Podcast創(chuàng)始人和主持人Kitchen指出：“鍵入攻擊之所以流行是因?yàn)樗鼈兒芎?jiǎn)單，門(mén)檻非常低。我開(kāi)發(fā)了事實(shí)上的語(yǔ)言Ducky Script，所以任何人都可以在一兩分鐘之內(nèi)學(xué)習(xí)它?！?/p>

Neuner認(rèn)為，鍵入攻擊很難檢測(cè)和預(yù)防，因?yàn)樗鼈兪峭ㄟ^(guò)使用最廣泛的計(jì)算機(jī)外圍設(shè)備連接器提供的：不起眼的USB。

Kitchen指出：“鍵入攻擊可在一瞬間完成，而受害者卻無(wú)法看到，USB Rubber Ducky可以每分鐘輸入1，000多個(gè)單詞，而且準(zhǔn)確性很高，不需要喝咖啡休息時(shí)間?！?/p>

不是USB安全的萬(wàn)靈藥

Neuner解釋說(shuō)：“谷歌發(fā)布的安全工具并不是針對(duì)基于USB的攻擊或按鍵注入攻擊的靈丹妙藥，因?yàn)槿绻脩?hù)未鎖定計(jì)算機(jī)，可以訪問(wèn)用戶(hù)機(jī)器的攻擊者可以做出很多不可描述之事。細(xì)粒度的udev規(guī)則之類(lèi)的Linux工具或諸如USBGuard之類(lèi)的開(kāi)源項(xiàng)目，可以幫助用戶(hù)定義策略并在鎖定屏幕時(shí)阻止特定或所有USB設(shè)備，從而可以提供進(jìn)一步的保護(hù)?！?/p>

德國(guó)滲透測(cè)試公司SySS GmbH的研發(fā)負(fù)責(zé)人Matthias Deeg表示，Google工具的有效性還有待觀察，因?yàn)樯胁淮_定這種啟發(fā)式防御方法能否通過(guò)調(diào)整擊鍵參數(shù)繞過(guò)。

責(zé)任編輯：gt