Keyloggery

A keylogger (záznamník úhozů) je jakýkoli software nebo hardware, který zachycuje úhozy na zařízení. Byly jednou z nejstarších a nejspolehlivějších forem krádeže přihlašovacích údajů, která přežila jako kategorie, i když se širší prostředí malwaru dramaticky posunulo. Nejvíce převládající. Moderní varianty se integrují s širšími funkcemi spyware/RAT (trojský kůň s dálkovým přístupem).

Keyloggery na úrovni jádra — fungují na úrovni jádra operačního systému, je obtížnější je odhalit a k instalaci vyžadují zvýšená oprávnění. Používá se v malwaru národní úrovně.

Keyloggery na úrovni hypervizoru – běží pod operačním systémem v hypervizoru. Teoretický pro obecný malware, používaný v pokročilém výzkumu a (údajně) některých zpravodajských operacích.

Hardwarové keyloggery — fyzická zařízení, která sedí mezi klávesnicí a počítačem. Existují verze USB a PS/2. Jsou nedetekovatelné samotným softwarem – operační systém vidí normální klávesnici.

Akustické / elektromagnetické keyloggery – výzkumníci prokázali zotavení kláves ze zvuků psaní, elektromagnetické emise a dokonce i údaje z akcelerometru smartphonu poblíž klávesnice. Méně časté, ale zdokumentované.

Založené na prohlížeči / chytače formulářů — škodlivá rozšíření prohlížeče nebo JavaScript, která zachycují vstup z webových formulářů. Často ve spojení s botnety proti krádeži přihlašovacích údajů.

Jak se instalují softwarové keyloggery

• Phishingové přílohy — Office makra, škodlivé soubory PDF, spustitelný soubor maskovaný jako dokumenty
• StahováníXDrive-stahování3ZXX38 kompromitované stahováníXPLZ38 webové stránky (nyní vzácné díky sandboxingu prohlížeče)
• Škodlivá rozšíření prohlížeče
• USB kapky – ponechání infikovaných USB pro oběti, aby je mohly zapojit
• Instalace zasvěcených osob – fyzický přístup někoho s úmyslem

KategorieZ47XKategorieZPLXX zachycuje moderní keylogger více než pouhé stisknutí kláves:

• Úhozy (původní funkce)
• Obsah schránky
• Snímky obrazovky v intervalech nebo spouštěné události
• Úroveň automatického vyplňování prohlížeče ve správci uživatelského hesla v malwaru cc61X přístup)
• Přístup k webové kameře a mikrofonu
• Prohlížení a exfiltrace souborového systému
• Interakce s bankovními aplikacemi a jednorázová hesla při jejich zadávání

To, co se v moderním softwaru sdělovací zařízení hrozeb často nazývá „keylogger“ platforma.

Hardwarové keyloggery v detailu

USB keylogger vypadá jako malý USB extender. Klávesnice se zasouvá na jednu stranu; druhá strana se připojuje k počítači. Uvnitř je malý mikrokontrolér a flash paměť. Každý stisk klávesy, který projde, je zaznamenán. K načtení dat se útočník vrátí a zapojí zařízení do USB portu a stáhne je – samotný keylogger se často chová jako vyměnitelný disk, když k němu přistupujete pomocí specifické kombinace úhozů.

Hardwarové keyloggery nejsou softwarově detekovatelné. Obrana je fyzická: všimněte si neznámých zařízení za počítačem, hledejte neobvyklé USB extendery, nasaďte kryty USB portů pro citlivé pracovní stanice.

Co chrání před keyloggery

• Zabezpečení koncového bodu (EDR). Moderní EDR detekuje chování keyloggeru (zaseknutí klávesnice, vkládání procesů, exfiltrace podezřelých dat) bez ohledu na konkrétní podpis.
• Známé rodiny keyloggerů proti malwaru.XPLZ8 Méně účinný proti vlastním variantám.
• Hardwarový klíč 2FA. Klíč FIDO2 signalizuje výzvu s hardwarově chráněným klíčem. Keylogger nezachytí nic užitečného – podpis je jednorázový a vázaný na původ.
• Správci hesel s automatickým vyplňováním. Správce hesel vkládá přihlašovací údaje, aniž by je zadával. Keylogger zachycuje pouze hlavní heslo (proto je ochrana hlavním heslem tak důležitá).
• Klávesnice na obrazovce pro citlivé záznamy. Poráží hardwarové keyloggery; softwarové keyloggery mohou také zachytit dotykové události, takže částečná obrana.
• Fyzická bezpečnost. Nedovolte nedůvěryhodným lidem mít fyzický přístup k vašemu počítači.
• Bootkity / Secure Boot. Zabraňuje přetrvávání pomocí keyloggerů restartuje se.

Oprávněná použití

Existuje několik neškodných použití:

• Rodičovské monitorování na rodinných zařízeních. Legální ve většině jurisdikcí; eticky sporné pro starší děti.
• Zaměstnavatelské monitorování pracovních zařízení. Právní oznámení zaměstnanců ve většině zemí; vyžadováno v některých regulovaných odvětvích.
• Autorizované zapojení červeného týmu. Penetrační testeři nasazují keyloggery, aby prokázali dopad během hodnocení bezpečnosti.
• Research. Forenzní a bezpečnostní výzkumníci studují techniky keyloggerů, aby porozuměli rodinám keyloggerů.XPL5ZX5 hranice mezi „legitimním sledováním“ a „spywarem“ je často legální (souhlas vlastníka zařízení) spíše než technická.

  Mobilní keyloggery

  Mobilní platformy ve výchozím nastavení ztěžují keylogger – aplikace nemohou sledovat vstup mimo svůj vlastní povrch. Obrana zahrnuje:

  • Aplikace v izolovaném prostoru, které nevidí, co ostatní aplikace přijímají
  • Služby pro usnadnění vyžadují explicitní povolení uživatele a varování
  • Stalkerware, který využívá přístupnost k monitorování, existuje, ale je stále častěji detekován mobilními bezpečnostními nástrojiXPLZ65PLZXXPLZ6 a podobnými národ-Z65Pgasus spyware dosahuje schopnosti srovnatelné s keyloggingem prostřednictvím zero-day exploitů, nikoli uživatelem povoleného monitorování. Obrana proti nim vyžaduje režim uzamčení (iOS) nebo ekvivalentní extrémní opatření.