Les chercheurs en cybersécurité de l'Université Ben Gourion du Néguev (BGU) ont développé une nouvelle attaque appelée Malboard. Malboard échappe à plusieurs produits de détection destinés à vérifier en permanence l'identité de l'utilisateur sur la base de caractéristiques de frappe personnalisées.

Le nouveau papier, "Malboard :Une nouvelle attaque d'usurpation d'identité par frappe utilisateur et un cadre de détection de confiance basé sur une analyse des canaux latéraux, " publié dans le Informatique et sécurité journal, révèle une attaque sophistiquée dans laquelle un clavier USB compromis génère et envoie automatiquement des frappes malveillantes qui imitent les caractéristiques comportementales de l'utilisateur attaqué.

Les frappes générées de manière malveillante ne correspondent généralement pas à la frappe humaine et peuvent facilement être détectées. Grâce à l'intelligence artificielle, cependant, l'attaque Malboard génère de manière autonome des commandes dans le style de l'utilisateur, injecte les frappes sous forme de logiciels malveillants dans le clavier et échappe à la détection. Les claviers utilisés dans la recherche étaient des produits de Microsoft, Lenovo et Dell.

"Dans l'étude, 30 personnes ont effectué trois tests de frappe différents sur trois mécanismes de détection existants, dont KeyTrac, TypingDNA et DuckHunt. Notre attaque a échappé à la détection dans 83 % à 100 % des cas, " dit le Dr Nir Nissim, responsable du David and Janet Polak Family Malware Lab à Cyber@BGU, et membre du département BGU de génie industriel et de gestion. "Malboard a été efficace dans deux scénarios :par un attaquant distant utilisant la communication sans fil pour communiquer, et par un attaquant interne ou un employé qui exploite et utilise physiquement Malboard."

Nouveaux modules de détection proposés

Les mécanismes d'attaque et de détection ont été développés dans le cadre du mémoire de maîtrise de Nitzan Farhi, un étudiant BGU et membre du projet USBEAT au Malware Lab de BGU.

"Nos modules de détection proposés sont fiables et sécurisés, sur la base d'informations pouvant être mesurées à partir de ressources de canaux secondaires, en plus de la transmission de données, " dit Farhi. "Ceux-ci incluent (1) la consommation d'énergie du clavier; (2) le son des frappes ; et (3) le comportement de l'utilisateur associé à sa capacité à répondre aux erreurs typographiques."

Le Dr Nissim ajoute, "Chacun des modules de détection proposés est capable de détecter l'attaque Malboard dans 100% des cas, sans ratés ni faux positifs. Les utiliser ensemble comme cadre de détection d'ensemble garantira qu'une organisation est à l'abri de l'attaque Malboard ainsi que d'autres attaques par frappe."

Les chercheurs proposent d'utiliser ce cadre de détection pour chaque clavier lors de son achat initial et quotidiennement au départ, car les claviers malveillants sophistiqués peuvent retarder leur activité malveillante pour une période ultérieure. De nombreuses nouvelles attaques peuvent détecter la présence de mécanismes de sécurité et ainsi réussir à les contourner ou à les désactiver.

Les chercheurs du BGU prévoient d'étendre leurs travaux sur d'autres périphériques USB populaires, y compris les mouvements de l'utilisateur de la souris d'ordinateur, clics et durée d'utilisation. Ils prévoient également d'améliorer le module de détection d'insertion de fautes de frappe et de le combiner avec d'autres mécanismes dynamiques de frappe existants pour l'authentification des utilisateurs, car ce comportement est difficile à reproduire.