Google опубликовал утилиту под названием «ukip». что позволяет отслеживать и блокировать атаки выполнила использование вредоносных USB-устройств которые имитируют USB-клавиатуру для скрытой замены фиктивных нажатий клавиш, например, во время атаки можно имитировать последовательность нажатий клавиш, которые приводят к открытию терминала и выполнению произвольных команд.
Этот инструмент - демон для блокировки устройств. Внедрение USB-ключа в системах Linux. Укип работает в виде службы systemd И он может работать в режимах предотвращения атак и мониторинга.
В режиме мониторинга осуществляется обнаружение возможных атак и запись активности, связанной с попытками использования USB-устройств в других целях для замены входа. В режиме защиты при обнаружении потенциально вредоносного устройства оно отключается от системы на уровне драйвера.
Атаки с использованием USB-ключей уже давно стали проблемой из-за доступности и стоимости инструментов для внедрения ключей. Эти атаки отправляют очень быстрые нажатия клавиш в мгновение ока, оставаясь при этом невидимыми для жертвы.
Изначально предлагалось облегчить задачи системного администратора, злоумышленники научились использовать эту технологию по назначению и компрометировать системы пользователя. Вот пример атаки с более или менее благоприятной нагрузкой:
Инструмент предназначен для обеспечения дополнительного уровня защиты для защиты пользователя, сидящего перед своей незаблокированной машиной, когда он наблюдает за атакой. Они могут видеть атаку либо потому, что нажатия клавиш задерживаются достаточно долго, чтобы обойти логику инструмента, либо достаточно быстро, чтобы быть обнаруженными им, то есть они блокируют устройство, отсоединяя его контроллер и записывая информацию в системный журнал.
Вредоносная активность определяется на основе анализа характера проникновения. и задержки между нажатиями клавиш: атака обычно проводится в присутствии пользователя и, чтобы быть незаметной, имитируемые нажатия клавиш отправляются с минимальными задержками, нетипичными для обычного ввода с клавиатуры.
Для изменения логики обнаружения атак предлагаются две конфигурации KEYSTROKE_WINDOW и ABNORMAL_TYPING (первый определяет количество кликов для анализа, а второй - пороговый интервал между кликами).
Атака может быть осуществлена с помощью устройства с модифицированной прошивкой, например, для имитационной клавиатуры это может быть USB-накопитель, USB-концентратор, веб-камера или смартфон (как в случае с Kali NetHunter, где утилита была предложена специально для замена входа, подключенного к USB-порту смартфона на платформе Android).
Чтобы усложнить атаки USB, в дополнение к ukip вы также можете использовать пакет USBGuard, который позволяет подключенным устройствам работать.
Это список на основе списка, белый список - это тот, который содержит разрешенные устройства, в то время как по умолчанию возможность подключения внешних USB-устройств заблокирована во время блокировки экрана и не позволяет работать с такими устройствами после возвращения пользователя.
Как установить ukip на Ubuntu и производные?
Для тех, кто заинтересован в возможности установить эту утилиту должен следовать инструкциям которые мы делимся ниже.
Первое, что нужно сделать, это установить pip и virtualenv, для этого мы собираемся открыть терминал и ввести в нем:
sudo apt-get install build-essential libssl-dev libffi-dev python-dev sudo apt install python3-pip sudo pip3 install virtualenv
Сделал это давай получим установочный файл с помощью следующей команды:
git clone https://github.com/google/ukip.git
Входим в каталог с:
cd ukip
Сейчас вам необходимо внести некоторые изменения в файл setup.sh, в котором вы настроите файл в соответствии с тем, как вы набираете на клавиатуре, то есть сколько клавиш вы нажимаете одновременно, время между нажатиями клавиш, если вы собираетесь запускать его в режиме монитора или в режиме защиты.
Для этого важно, чтобы вы прочитали информацию о нем. По следующей ссылке.
После того, как файл настроен, просто запустите его с помощью:
chmod +x setup.sh ./setup.sh