新的計(jì)算機(jī)攻擊模仿用戶的擊鍵特征并逃避檢測(cè)

網(wǎng)絡(luò)安全研究人員開發(fā)了一種名為“Malboard”的新攻擊。Malboard躲避了幾種檢測(cè)產(chǎn)品，旨在根據(jù)個(gè)性化的按鍵特征不斷驗(yàn)證用戶的身份。Ben-Gurion內(nèi)蓋夫大學(xué)(BGU)的網(wǎng)絡(luò)安全研究人員開發(fā)了一種名為“Malboard”的新攻擊。Malboard躲避了幾種檢測(cè)產(chǎn)品，旨在根據(jù)個(gè)性化的按鍵特征不斷驗(yàn)證用戶的身份。

計(jì)算機(jī)和安全日志中發(fā)布的新論文“Malboard：基于側(cè)通道分析的新用戶按鍵模擬攻擊和可信檢測(cè)框架”揭示了一種復(fù)雜的攻擊，其中受損的USB鍵盤自動(dòng)生成并發(fā)送模仿受攻擊的惡意擊鍵用戶的行為特征。

惡意生成的擊鍵通常與人類輸入不匹配，并且很容易被檢測(cè)到。然而，使用人工智能，Malboard攻擊會(huì)自動(dòng)生成用戶風(fēng)格的命令，將鍵擊作為惡意軟件注入鍵盤并避開檢測(cè)。研究中使用的鍵盤是微軟，聯(lián)想和戴爾的產(chǎn)品。

“在這項(xiàng)研究中，30人對(duì)三種現(xiàn)有的檢測(cè)機(jī)制進(jìn)行了三次不同的擊鍵測(cè)試，包括KeyTrac，TypingDNA和DuckHunt。我們的攻擊在83%到100%的病例中避免了檢測(cè)，”David和他的負(fù)責(zé)人Nir Nissim博士說。網(wǎng)絡(luò)@BGU的Janet Polak家庭惡意軟件實(shí)驗(yàn)室，以及BGU工業(yè)工程和管理部門的成員。“惡意軟件在兩種情況下都有效：使用無(wú)線通信進(jìn)行通信的遠(yuǎn)程攻擊者，以及內(nèi)部攻擊者或物理操作和使用惡意軟件的員工。”

攻擊和檢測(cè)機(jī)制都是作為BGU學(xué)生Nitzan Farhi的碩士論文的一部分而開發(fā)的，他是BGU惡意軟件實(shí)驗(yàn)室USBEAT項(xiàng)目的成員。

“除了數(shù)據(jù)傳輸之外，我們提出的檢測(cè)模塊基于可以從旁道資源測(cè)量的信息得到信任和保護(hù)，”Farhi說。“這些包括：(1)鍵盤的功耗;(2)鍵擊的聲音;以及(3)用戶與他或她對(duì)印刷錯(cuò)誤作出反應(yīng)的能力相關(guān)的行為。”

Nissim博士補(bǔ)充道，“每個(gè)提出的檢測(cè)模塊都能夠在100%的情況下檢測(cè)到Malboard攻擊，沒有錯(cuò)過，也沒有誤報(bào)。將它們一起用作集合檢測(cè)框架將確保組織免受惡意攻擊以及其他擊鍵攻擊。“

研究人員建議在最初購(gòu)買時(shí)每天使用這種檢測(cè)框架，并且每天開始使用這種檢測(cè)框架，因?yàn)閺?fù)雜的惡意鍵盤可以延遲惡意活動(dòng)的延遲時(shí)間。許多新的攻擊可以檢測(cè)到安全機(jī)制的存在，從而設(shè)法逃避或禁用它們。

BGU研究人員計(jì)劃擴(kuò)展其他流行USB設(shè)備的工作，包括計(jì)算機(jī)鼠標(biāo)用戶移動(dòng)，點(diǎn)擊和使用持續(xù)時(shí)間。他們還計(jì)劃增強(qiáng)拼寫錯(cuò)誤插入檢測(cè)模塊，并將其與用于用戶身份驗(yàn)證的其他現(xiàn)有按鍵動(dòng)態(tài)機(jī)制相結(jié)合，因?yàn)檫@種行為很難復(fù)制。