Com sé si tinc un keylogger?

Difícil de detectar manualment. Els símptomes poden incloure un ús inusual de la CPU, trànsit de xarxa inexplicable, alertes antivirus. La comprovació fiable està executant exploracions EDR o anti-malware modernes. Si teniu una sospita de gran risc, la resposta definitiva és una reinstal·lació del sistema operatiu des de suports nets coneguts.

Una VPN protegeix contra els keyloggers?

No. Els keyloggers operen al vostre dispositiu abans que el trànsit de xarxa el surti. Una VPN xifra el que passa pel cable; no pot ajudar quan el programari maliciós ja es troba a l'ordinador.

Els gestors de contrasenyes poden derrotar els keyloggers?

Parcialment. L'emplenament automàtic omet l'escriptura, de manera que el keylogger no captura la contrasenya. Però la vostra contrasenya mestra encara està escrita; si un keylogger ho aconsegueix, la volta del gerent es veu compromesa. La clau de maquinari 2FA al gestor de contrasenyes derrota això.

Els keyloggers de maquinari segueixen sent una amenaça real?

Fa menys de dues dècades perquè la majoria de la gent treballa en ordinadors portàtils on els ports USB són visibles. Preocupació més gran per les estacions de treball d'escriptori a les oficines compartides i pels objectius d'alt risc. La detecció és una inspecció física.

Quant de temps solen passar desapercebuts els keyloggers?

Setmanes a mesos per als ben dissenyats. Els keyloggers de productes bàsics són atrapats ràpidament per AV basat en signatura; les variants personalitzades que s'utilitzen en atacs dirigits eviten la detecció durant més temps. El temps d'estada mitjà s'alinea amb la detecció d'incompliments més àmplia: uns 80 dies segons els informes recents.

Keyloggers explicat: programari i maquinari que capturen totes les pulsacions de tecla

Un keylogger registra el que escriviu (contrasenyes, missatges, números de targetes de crèdit, consultes de cerca) i el reenvia a qui l'ha instal·lat. Es presenten com a programari maliciós que s'executa al vostre ordinador, com a dongles de maquinari connectats al vostre teclat i com a programari legítim de control parental. Entendre les variants explica tant l'amenaça com els límits del que poden fer altres defenses.

El cos complet de l'article es proporciona en anglès a continuació.

A keylogger (registrador de pulsacions de tecles) és qualsevol programari o maquinari que captura les pulsacions de tecla en un dispositiu. Han estat una de les formes més antigues i fiables de robatori de credencials, i han sobreviscut com a categoria, tot i que el panorama més ampli del programari maliciós ha canviat dràsticament. El més prevalent. Les variants modernes s'integren amb una funcionalitat més àmplia de programari espia/RAT (troià d'accés remot).

Registradors de tecles a nivell de Kernel: funcionen al nivell del nucli del sistema operatiu, més difícil de detectar, i requereixen privilegis elevats per instal·lar-se. S'utilitza en programari maliciós de nivell nacional.

Registradors de tecles a nivell d'hipervisor: s'executen per sota del sistema operatiu en un hipervisor. Teòric per a programari maliciós general, utilitzat en investigacions avançades i (suposadament) algunes operacions d'intel·ligència.

Registradors de tecles de maquinari: dispositius físics que es troben entre el teclat i l'ordinador. Existeixen versions USB i PS/2. Són indetectables només pel programari: el sistema operatiu veu un teclat normal.

Registradors de tecles acústics/electromagnètics: els investigadors han demostrat la recuperació de la pulsació de tecles dels sons d'escriptura, les emissions electromagnètiques i fins i tot les lectures de l'acceleròmetre del telèfon intel·ligent a prop d'un teclat. Menys comú, però documentat.

Basat en navegador / captadors de formularis — extensions malicioses del navegador o JavaScript que capturen l'entrada dels formularis web. Sovint s'ajunta amb botnets de robatori de credencials.

Com s'instal·len els keyloggers de programari

Fitxers adjunts de phishing: macros d'oficina, PDF maliciosos, executable disfressat com a documents
Descàrregues de programari XXPLZ-PLZ37
XPLZ-cracked descàrregues des de llocs web compromesos (ara rar gràcies al sandboxing del navegador)
Extensions malicioses del navegador
USB caigudes: deixen USB infectats perquè les víctimes es connectin
Ininstal·lació d'insider: accés físic d'algú amb intenció

La categoria ha evolucionat més enllà de les simples pulsacions de tecles:

Pulses de tecles (la característica original)
Contingut del porta-retalls
Captures de pantalla a intervals o esdeveniments desencadenats
Credencials emmagatzemades als gestors de contrasenyes del navegador (si el programari maliciós té accés a nivell d'usuari)
Accés a càmera web i micròfon
Navegació i exfiltració del sistema d'arxius
Interaccions amb l'aplicació bancària i contrasenya única com a contrasenya única introduït

El que s'anomena "keylogger" a la intel·ligència moderna d'amenaces sovint és una plataforma de programari espia més àmplia.

Enregistradors de tecles de maquinari en detall

A El keylogger USB sembla un petit extensor USB. El teclat es connecta a un costat; l'altre costat es connecta a l'ordinador. A l'interior hi ha un petit microcontrolador i memòria flash. Cada pulsació de tecla que passa es registra. Per recuperar les dades, l'atacant torna i connecta el dispositiu a un port USB per descarregar-lo; sovint, el registrador de tecles en si actua com a unitat extraïble quan s'hi accedeix amb una combinació de pulsacions de tecles específica.

Els keyloggers de maquinari no són detectables pel programari. Les defenses són físiques: observeu dispositius desconeguts darrere de l'ordinador, busqueu extensors USB inusuals, implementeu cobertes de ports USB per a estacions de treball sensibles.

Què defensa contra els keyloggers

Endpoint security (EDR). Modern EDR detecta el comportament del keylogger (enganxos de teclat, injecció de processos, exfiltració de dades sospitoses) independentment de la signatura específica.
Famílies de keyloggers anti-malware Ca coneguts. Menys eficaç contra variants personalitzades.
Clau de maquinari 2FA. Una clau FIDO2 indica un repte amb una clau protegida per maquinari. El registrador de tecles no captura res útil: la signatura és única i lligada a l'origen.
Gestors de contrasenyes amb emplenament automàtic. El gestor de contrasenyes enganxa les credencials sense escriure-les. El keylogger captura només la contrasenya mestra (per això la protecció de la contrasenya mestra és important).
Teclats en pantalla per a entrades sensibles. Derrota els keyloggers de maquinari; Els registradors de tecles de programari també poden connectar esdeveniments tàctils, de manera que defensa parcial.
Seguretat física. No permetis que persones no fiables tinguin accés físic al teu ordinador.
Bootkits/Arrencada segura. reinicia.

Els usos legítims

Existen diversos usos no maliciosos:

Supervisió parental en dispositius familiars. Legal a la majoria de jurisdiccions; èticament impugnat per als nens més grans.
Evigilància de l'empresari dels dispositius de treball. Legal amb avís als empleats a la majoria de països; requerit en algunes indústries regulades.
Entregaments autoritzats amb equip vermell. Els provadors de penetració despleguen keyloggers per demostrar l'impacte durant les avaluacions de seguretat.
Research. Investigadors forenses i de seguretat per entendre les famílies de keyloggers. tècniques.

La línia entre "vigilància legítima" i "programari espia" sovint és legal (consentiment del propietari del dispositiu) més que tècnica.

Enregistradors de tecles mòbils

Les plataformes mòbils fan que el registre de tecles sigui més difícil de manera predeterminada: les aplicacions no poden observar l'entrada fora de la seva pròpia superfície. Les defenses inclouen:

Aplicacions amb caixa de sorra que no poden veure què reben altres aplicacions
Els serveis d'accessibilitat requereixen un permís explícit de l'usuari i avisos. eines

El Pegasus i el programari espia mòbil similar de l'estat nacional aconsegueix una capacitat equivalent al registre de tecles mitjançant exploits de dia zero, no monitorització permès per l'usuari. Per defensar-se contra aquests cal el mode de bloqueig (iOS) o mesures extremes equivalents.

Preguntes freqüents

Com sé si tinc un keylogger?: Difícil de detectar manualment. Els símptomes poden incloure un ús inusual de la CPU, trànsit de xarxa inexplicable, alertes antivirus. La comprovació fiable està executant exploracions EDR o anti-malware modernes. Si teniu una sospita de gran risc, la resposta definitiva és una reinstal·lació del sistema operatiu des de suports nets coneguts.
Una VPN protegeix contra els keyloggers?: No. Els keyloggers operen al vostre dispositiu abans que el trànsit de xarxa el surti. Una VPN xifra el que passa pel cable; no pot ajudar quan el programari maliciós ja es troba a l'ordinador.
Els gestors de contrasenyes poden derrotar els keyloggers?: Parcialment. L'emplenament automàtic omet l'escriptura, de manera que el keylogger no captura la contrasenya. Però la vostra contrasenya mestra encara està escrita; si un keylogger ho aconsegueix, la volta del gerent es veu compromesa. La clau de maquinari 2FA al gestor de contrasenyes derrota això.
Els keyloggers de maquinari segueixen sent una amenaça real?: Fa menys de dues dècades perquè la majoria de la gent treballa en ordinadors portàtils on els ports USB són visibles. Preocupació més gran per les estacions de treball d'escriptori a les oficines compartides i pels objectius d'alt risc. La detecció és una inspecció física.
Quant de temps solen passar desapercebuts els keyloggers?: Setmanes a mesos per als ben dissenyats. Els keyloggers de productes bàsics són atrapats ràpidament per AV basat en signatura; les variants personalitzades que s'utilitzen en atacs dirigits eviten la detecció durant més temps. El temps d'estada mitjà s'alinea amb la detecció d'incompliments més àmplia: uns 80 dies segons els informes recents.