myPassword123 ████████every keystroke recorded

Keyloggers

10 דקות קריאהבִּטָחוֹן

לוגר מפתח מתעד את מה שאתה מקליד - סיסמאות, הודעות, מספרי כרטיסי אשראי, שאילתות חיפוש - ומעביר אותו למי שהתקין אותו. הם מגיעים כתוכנה זדונית הפועלת על המחשב שלך, כדונגלים לחומרה המחוברים בשורה אחת למקלדת שלך, וכתוכנה לגיטימית לניטור הורים. הבנת הווריאציות מסבירה הן את האיום והן את הגבולות של מה שהגנות אחרות יכולות לעשות.

גוף המאמר המלא מסופק באנגלית להלן.

A keylogger (לוגן הקשות) היא כל תוכנה או חומרה הלוכדת הקשות במכשיר. הם היו אחת הצורות הוותיקות והאמינות ביותר של גניבת אישורים, ושרדו כקטגוריה גם כאשר נוף התוכנות הזדוניות הרחב יותר השתנה באופן דרמטי.

הקטגוריות

  • Software keyloggers - תוכניות הפועלות במערכת ההפעלה שיירטת מקלדת. נפוץ ביותר. גרסאות מודרניות משתלבות עם פונקציונליות רחבה יותר של תוכנות ריגול/RAT (גישה טרויאנית מרחוק). בשימוש בתוכנות זדוניות בדרגת מדינה לאומית.
  • Keyloggers ברמת Hypervisor - פועל מתחת למערכת ההפעלה ב-Hypervisor. תיאורטי עבור תוכנות זדוניות כלליות, בשימוש במחקר מתקדם ו(לכאורה) כמה פעולות מודיעין.
  • Hardware keyloggers — מכשירים פיזיים שיושבים בין המקלדת למחשב. קיימות גרסאות USB ו-PS/2. הם אינם ניתנים לזיהוי מתוכנה בלבד - מערכת ההפעלה רואה מקלדת רגילה.
  • מקלדות אקוסטיות / אלקטרומגנטיות - חוקרים הדגימו התאוששות של הקשות מצלילי הקלדה, פליטות אלקטרומגנטיות ואפילו קריאות מד תאוצה של סמארטפון ליד מקלדת. פחות נפוץ אבל מתועד.
  • מבוסס דפדפן / טופס-grabbers - הרחבות דפדפן זדוניות או JavaScript הלוכדות קלט מטפסי אינטרנט. לעתים קרובות בשילוב עם רשתות בוטים של גניבת אישורים.

כיצד מותקנות רוגרי מפתחות של תוכנות

  • קבצים מצורפים של פישינג - פקודות מאקרו של משרד, קובצי PDF זדוניים, קובץ הפעלה מחופש למסמכים
  • B עם תוכנה מצורפת הורדות
  • Drive-by הורדות מאתרים שנפגעו (נדיר כעת הודות לארגז חול בדפדפן)
  • תוספי דפדפן זדוניים
  • USB נפילות - משאירים USB נגועים לקורבנות לחבר
  • על ידי גישה פיזית ל-
  • intent

מה שחותרי מקשים מודרניים תופסים

הקטגוריה התפתחה מעבר להקשות בלבד:

  • הקשות (התכונה המקורית)
  • תוכן הלוח5scrrigs או trivalsXPLZX7s events
  • נתוני מילוי אוטומטי של הדפדפן
  • אישורים מאוחסנים במנהלי סיסמאות של דפדפן (אם לתוכנה הזדונית יש גישה ברמת המשתמש)
  • גישה למצלמת רשת ומיקרופון
  • גלישה וגלישה של מערכת קבצים והרחקת קבצים PLZ6X6פעולה בנקאות וסינוןXPLZ6 סיסמאות חד-פעמיות כשהן מוזנות

מה שנקרא "keylogger" באיומים מודרניים הוא לרוב פלטפורמת ריגול רחבה יותר.

Hardware keylogger בפירוט

A keylogger USB נראה כמו מאריך USB קטן. המקלדת מתחברת לצד אחד; הצד השני מתחבר למחשב. בפנים יש מיקרו-בקר קטן וזיכרון פלאש. כל הקשה שעוברת מתועדת. כדי לאחזר את הנתונים, התוקף חוזר ומחבר את ההתקן ליציאת USB להורדה - לעתים קרובות ה-keylogger עצמו פועל ככונן נשלף כאשר ניגש אליו באמצעות שילוב של הקשה ספציפית.

Hardware keyloggers אינם ניתנים לזיהוי על ידי תוכנה. ההגנות הן פיזיות: שימו לב למכשירים לא מוכרים מאחורי המחשב, חפשו מרחבי USB יוצאי דופן, פרסו כיסויי יציאות USB עבור תחנות עבודה רגישות.

מה מגן מפני keyloggers

  • Endpoint Security (EDR). EDR מודרני מזהה התנהגות של keylogger (ווי מקלדת, הזרקת תהליכים, חילוץ נתונים חשודים) ללא קשר לחתימה ספציפית.
  • Anti-malware family scanners. פחות יעיל נגד גרסאות מותאמות אישית.
  • Hardware-key 2FA. מפתח FIDO2 מסמן אתגר עם מפתח מוגן חומרה. ה-keylogger לא תופס שום דבר שימושי - החתימה היא חד-פעמית ונטולת מקור.
  • מנהלי סיסמאות עם מילוי אוטומטי. מנהל הסיסמאות מדביק אישורים מבלי להקליד אותם. ה-keylogger לוכד רק את סיסמת המאסטר (וזו הסיבה שההגנה על סיסמת מאסטר חשובה באופן דרמטי).
  • מקלדות על המסך עבור ערכים רגישים. מביס את המקלדות של חומרה; רוגרי מפתחות תוכנה יכולים להתחבר גם לאירועי מגע, אז הגנה חלקית.
  • אבטחה פיזית. אל תתנו לאנשים שאינם מהימנים לקבל גישה פיזית למחשב שלכם.
  • Bootkits / אתחול מאובטח. מונעת באמצעות בלוגרים מתמשכים של מפתחות ליבה. reboots.

השימושים הלגיטימיים

קיימים מספר שימושים לא זדוניים:

  • ניטור הורים במכשירים משפחתיים. חוקי ברוב תחומי השיפוט; בתחרות אתית לילדים גדולים יותר.
  • ניטור מעסיק של מכשירי עבודה. חוקי עם הודעת עובד ברוב המדינות; נדרש בתעשיות מסוימות בפיקוח.
  • התקשרויות מורשות של צוות אדום. בודקי חדירה פורסים מפתחות להדגמת השפעה במהלך הערכות אבטחה.
  • Research. חוקרי זיהוי פלילי ואבטחה כדי להבין תוקפים. טכניקות.

הקו בין "ניטור לגיטימי" ל"תוכנות ריגול" הוא לעתים קרובות חוקי (הסכמה מבעל המכשיר) ולא טכני.

יוטי מפתחות ניידים

פלטפורמות ניידות מקשות על רישום מקשים כברירת מחדל - אפליקציות אינן יכולות לצפות בעצמן. ההגנות כוללות:

  • יישומים עם ארגז חול שאינם יכולים לראות מה יישומים אחרים מקבלים
  • שירותי נגישות דורשים הרשאת משתמש מפורשת ואזהרות
  • Stalkerware שמנצלת נגישות לניטור קיימת, אך מזוהה יותר ויותר על ידי כלי האבטחה הניידים של Pegas תוכנת ריגול ניידת של מדינה לאומית משיגה יכולת שוות ערך לרישום מפתחות באמצעות ניצול של יום אפס, לא ניטור המותר על ידי המשתמש. הגנה מפני אלה דורשת מצב נעילה (iOS) או אמצעים קיצוניים מקבילים.

שאלות נפוצות

איך אני יודע אם יש לי keylogger?
קשה לזהות באופן ידני. התסמינים יכולים לכלול שימוש חריג במעבד, תעבורת רשת בלתי מוסברת, התראות אנטי וירוס. הבדיקה האמינה מפעילה סריקות EDR מודרניות או נגד תוכנות זדוניות. אם יש לך חשד עם סיכון גבוה, התקנה מחדש של מערכת ההפעלה ממדיה ידועה ונקייה היא התגובה הסופית.
האם VPN מגן מפני מפתחות?
לא. Keyloggers פועלים במכשיר שלך לפני שתעבורת רשת עוזבת אותו. VPN מצפין את מה שעובר על החוט; זה לא יכול לעזור כאשר התוכנה הזדונית כבר נמצאת בתוך המחשב שלך.
האם מנהלי סיסמאות יכולים להביס את המקלדות?
חֶלקִית. המילוי האוטומטי עוקף הקלדה, כך שה-keylogger לא קולט את הסיסמה. אבל סיסמת האב שלך עדיין מוקלדת; אם מפתח לוגר מקבל את זה, הכספת של המנהל נפגעת. מפתח חומרה 2FA במנהל הסיסמאות מביס זאת.
האם מקשי חומרה עדיין מהווה איום אמיתי?
לפני פחות משני עשורים מכיוון שרוב האנשים עובדים על מחשבים ניידים שבהם יציאות USB גלויות. דאגה גדולה יותר לתחנות עבודה שולחניות במשרדים משותפים ולמטרות עם הימור גבוה. איתור הוא בדיקה פיזית.
כמה זמן בדרך כלל לא מזוהים מכשירי keylogger?
שבועות עד חודשים עבור מהונדסים היטב. מפתחות סחורות נתפסים במהירות על ידי AV מבוסס חתימה; גרסאות מותאמות אישית המשמשות בהתקפות ממוקדות מתחמקות מזיהוי זמן רב יותר. זמן השהייה החציוני עולה בקנה אחד עם זיהוי הפרות רחב יותר - בערך 80 יום לפי הדיווחים האחרונים.
הסבר על מקשי לוגים: תוכנה וחומרה שתופסות כל הקשה