Cybersecurity-onderzoekers van de Ben-Gurion University of the Negev (BGU) hebben een nieuwe aanval ontwikkeld, Malboard genaamd. Malboard ontwijkt verschillende detectieproducten die bedoeld zijn om de identiteit van de gebruiker continu te verifiëren op basis van gepersonaliseerde toetsaanslagkenmerken.

Het nieuwe papier, "Malboard:een nieuwe imitatieaanval met toetsaanslagen door gebruikers en een betrouwbaar detectiekader op basis van zijkanaalanalyse, " gepubliceerd in de Computer en beveiliging logboek, onthult een geavanceerde aanval waarbij een gecompromitteerd USB-toetsenbord automatisch kwaadaardige toetsaanslagen genereert en verzendt die de gedragskenmerken van de aangevallen gebruiker nabootsen.

Kwaadwillig gegenereerde toetsaanslagen komen doorgaans niet overeen met typen door mensen en kunnen gemakkelijk worden gedetecteerd. Met behulp van kunstmatige intelligentie, echter, de Malboard-aanval genereert autonoom opdrachten in de stijl van de gebruiker, injecteert de toetsaanslagen als schadelijke software in het toetsenbord en ontwijkt detectie. De toetsenborden die in het onderzoek werden gebruikt, waren producten van Microsoft, Lenovo en Dell.

"In de studie, 30 mensen voerden drie verschillende toetsaanslagen uit tegen drie bestaande detectiemechanismen, waaronder KeyTrac, TypingDNA en DuckHunt. Onze aanval ontweek detectie in 83 procent tot 100 procent van de gevallen, " zegt dr. Nir Nissim, hoofd van het David en Janet Polak Family Malware Lab bij Cyber@BGU, en lid van de BGU-afdeling Industrial Engineering and Management. "Malboard was effectief in twee scenario's:door een externe aanvaller die draadloze communicatie gebruikte om te communiceren, en door een interne aanvaller of medewerker die Malboard fysiek opereert en gebruikt."

Nieuwe detectiemodules voorgesteld

Zowel de aanvals- als de detectiemechanismen zijn ontwikkeld als onderdeel van de masterproef van Nitzan Farhi, een BGU-student en lid van het USBEAT-project bij BGU's Malware Lab.

"Onze voorgestelde detectiemodules zijn vertrouwd en beveiligd, op basis van informatie die kan worden gemeten uit zijkanaalbronnen, naast gegevensoverdracht, " zegt Farhi. "Deze omvatten (1) het stroomverbruik van het toetsenbord; (2) het geluid van de toetsaanslagen; en (3) het gedrag van de gebruiker in verband met zijn of haar vermogen om te reageren op typografische fouten."

Dr. Nissim voegt eraan toe, "Elk van de voorgestelde detectiemodules is in staat om de Malboard-aanval in 100 procent van de gevallen te detecteren, zonder missers en zonder valse positieven. Door ze samen te gebruiken als een ensemble-detectieraamwerk, zorgt u ervoor dat een organisatie immuun is voor zowel de Malboard-aanval als andere toetsaanslagen."

De onderzoekers stellen voor om dit detectieraamwerk voor elk toetsenbord te gebruiken bij de eerste aankoop en dagelijks bij het begin, omdat geavanceerde kwaadaardige toetsenborden hun kwaadaardige activiteit voor een latere periode kunnen uitstellen. Veel nieuwe aanvallen kunnen de aanwezigheid van beveiligingsmechanismen detecteren en er zo in slagen deze te ontwijken of uit te schakelen.

De BGU-onderzoekers zijn van plan het werk op andere populaire USB-apparaten uit te breiden, inclusief bewegingen van de computermuis, klikken en gebruiksduur. Ze zijn ook van plan om de typo-invoegdetectiemodule te verbeteren en deze te combineren met andere bestaande dynamische toetsaanslagmechanismen voor gebruikersauthenticatie, aangezien dit gedrag moeilijk te repliceren is.