新的计算机攻击模仿用户的击键特征并逃避检测

Ben-Gurion内盖夫大学(BGU)的网络安全研究人员开发了一种名为“Malboard”的新攻击。Malboard躲避了几种检测产品,旨在根据个性化的按键特征不断验证用户的身份。

计算机和安全日志中发布的新论文“Malboard:基于侧通道分析的新用户按键模拟攻击和可信检测框架”揭示了一种复杂的攻击,其中受损的USB键盘自动生成并发送模仿受攻击的恶意击键用户的行为特征。

恶意生成的击键通常与人类输入不匹配,并且很容易被检测到。然而,使用人工智能,Malboard攻击会自动生成用户风格的命令,将键击作为恶意软件注入键盘并避开检测。研究中使用的键盘是微软,联想和戴尔的产品。

“在这项研究中,30人对三种现有的检测机制进行了三次不同的击键测试,包括KeyTrac,TypingDNA和DuckHunt。我们的攻击在83%到100%的情况下逃避了检测,”David和他的负责人Nir Nissim博士说。网络@BGU的Janet Polak家庭恶意软件实验室,以及BGU工业工程和管理部门的成员。“恶意软件在两种情况下都有效:使用无线通信进行通信的远程攻击者,以及内部攻击者或物理操作和使用恶意软件的员工。”

提出新的检测模块

攻击和检测机制都是作为BGU学生Nitzan Farhi的硕士论文的一部分而开发的,他是BGU恶意软件实验室USBEAT项目的成员。

“除了数据传输之外,我们提出的检测模块基于可以从旁道资源测量的信息得到信任和保护,”Farhi说。“这些包括:(1)键盘的功耗;(2)键击的声音;以及(3)用户与他或她对印刷错误作出反应的能力相关的行为。”

Nissim博士补充道,“每个提出的检测模块都能够在100%的情况下检测到Malboard攻击,没有错过,也没有误报。将它们一起用作集合检测框架将确保组织免受恶意攻击以及其他击键攻击。“

研究人员建议在最初购买时每天使用这种检测框架,并且每天开始使用这种检测框架,因为复杂的恶意键盘可以延迟恶意活动的延迟时间。许多新的攻击可以检测到安全机制的存在,从而设法逃避或禁用它们。

BGU研究人员计划扩展其他流行USB设备的工作,包括计算机鼠标用户移动,点击和使用持续时间。他们还计划增强拼写错误插入检测模块,并将其与用于用户身份验证的其他现有按键动态机制相结合,因为这种行为很难复制。