A Google közzétette az "ukip" nevű segédprogramot hogy lehetővé teszi a támadások nyomon követését és blokkolását teljesített rosszindulatú USB-eszközök használatával amelyek szimulálják az USB billentyűzetet a dummy billentyűleütések rejtett helyettesítésére, például támadás során, szimulálhatunk olyan billentyűleütéseket, amelyek a terminál megnyitásához és tetszőleges parancsok végrehajtásához vezetnek.
Ez az eszköz egy démon az eszközök zárolásához USB kulcs injekció Linux rendszereken. Ukip rendszerd szolgáltatás formájában fut És támadásmegelőzési és megfigyelési módokban is működhet.
Monitorozási módban az esetleges támadások észlelése és az USB-eszközök más célokra történő felhasználásának kísérleteivel kapcsolatos tevékenység rögzítése a bemenet cseréjére történik. Védelmi módban, ha potenciálisan rosszindulatú eszközt észlel, az illesztőprogram szintjén leválasztja a rendszerről.
Az USB kulcsinjekciós támadások már régóta problémát jelentenek a kulcsinjekciós eszközök elérhetősége és ára miatt. Ezek a támadások rendkívül gyors billentyűleütéseket adnak ki, emberi szempillantás alatt, miközben hatékonyan láthatatlanok az áldozat számára.
Kezdetben a rendszergazda feladatainak megkönnyítésére javasolták a támadók, akik megtanulták, hogyan használják ezt a technológiát a céljukhoz, és hogyan veszélyeztetik a felhasználó rendszereit. Itt egy példa támadásra, többé-kevésbé jóindulatú terheléssel:
Az eszközt úgy tervezték, hogy további védelmi réteget biztosítson a zárolás nélküli gépük előtt ülő felhasználó védelmére, amikor a támadásra figyel. Láthatják a támadást, vagy azért, mert a billentyűleütések elég sokáig vannak késve ahhoz, hogy megkerüljék az eszköz logikáját, vagy elég gyorsak ahhoz, hogy észlelhessék őket, vagyis lezárják az eszközt a vezérlő leválasztásával és az információk bejelentkezésével a syslogba.
A rosszindulatú tevékenységet a bejegyzés jellegének elemzése alapján határozzák meg és késések a billentyűleütések között: a támadást általában a felhasználó jelenlétében hajtják végre, és hogy ne legyen feltűnő, a szimulált billentyűleütéseket minimális késéssel, a hagyományos billentyűzet bevitelével ellentétesen küldik.
A támadásérzékelési logika megváltoztatásához két konfigurációt javasolnak KEYSTROKE_WINDOW és ABNORMAL_TYPING (az első meghatározza az elemzendő kattintások számát, a második pedig a kattintások közötti küszöbértéket).
A támadást módosított firmware-rel rendelkező eszközzel érhetjük el, például egy szimulációs billentyűzethez lehet USB stick, USB-hub, webkamera vagy okostelefon (ez a helyzet a Kali NetHunter esetében, ahol egy segédprogramot javasoltak speciálisan a az Android platformot futtató okostelefon USB-portjához csatlakoztatott bemenet cseréje).
Az USB támadások bonyolításához az ukip mellett használhatja az USBGuard csomagot is, amely lehetővé teszi a csatlakoztatott eszközök működésbe lépését.
Ez listaalapú, az engedélyezőlista tartalmazza az engedélyezett eszközöket, míg alapértelmezés szerint az idegen USB-eszközök csatlakoztatásának lehetősége blokkolva van a képernyőzár alatt, és nem teszi lehetővé azokkal az eszközökkel való munkát a felhasználó visszatérése után.
Hogyan telepítsük az ukip-t az Ubuntu-ra és a derivatívákra?
Azok számára, akik szeretnék telepíteni ezt a segédprogramot követnie kell az utasításokat amit alább megosztunk.
Az első dolog, amit meg kell tennünk telepítse a pipet és a virtualenv-t, ehhez nyitunk egy terminált, és beírjuk:
sudo apt-get install build-essential libssl-dev libffi-dev python-dev sudo apt install python3-pip sudo pip3 install virtualenv
Kész ezt szerezzük be a telepítési fájlt a következő paranccsal:
git clone https://github.com/google/ukip.git
A könyvtárba a következővel lépünk be:
cd ukip
Most módosítania kell a setup.sh fájlt, amelyben a fájlt a billentyűzeten beírt módon állítja be, vagyis hány billentyűt nyom meg egyszerre, a billentyűleütések közötti idő, ha monitor vagy védelmi módban szeretné futtatni.
Ehhez fontos, hogy olvassa el a róla szóló információkat A következő linken.
A fájl konfigurálása után futtassa a következővel:
chmod +x setup.sh ./setup.sh