myPassword123 ████████every keystroke recorded

키로거

10 분 읽음보안

키로거는 비밀번호, 메시지, 신용 카드 번호, 검색어 등 사용자가 입력하는 내용을 기록하고 이를 설치한 사람에게 전달합니다. 이는 컴퓨터에서 실행되는 맬웨어, 키보드에 연결된 하드웨어 동글, 합법적인 자녀 보호 소프트웨어로 나타납니다. 변종을 이해하면 위협과 다른 방어 수단의 한계를 모두 이해할 수 있습니다.

전체 기사 본문은 아래에 영어로 제공됩니다.

A keylogger(키 입력 로거)는 장치의 키 입력을 캡처하는 소프트웨어 또는 하드웨어입니다. 이는 가장 오래되고 가장 신뢰할 수 있는 자격 증명 도용 형태 중 하나였으며, 더 넓은 맬웨어 환경이 극적으로 변화했음에도 불구하고 하나의 범주로 살아남았습니다.

범주

  • 소프트웨어 키로거 — OS 후크를 통해 키보드 입력을 가로채는 운영 체제에서 실행되는 프로그램입니다. 가장 널리 퍼져 있습니다. 최신 변종은 더 광범위한 스파이웨어/RAT(원격 액세스 트로이 목마) 기능과 통합됩니다.
  • 커널 수준 키로거 — OS 커널 수준에서 작동하고 감지하기 어렵고 설치하려면 높은 권한이 필요합니다. 국가급 악성 코드에 사용됩니다.
  • 하이퍼바이저 수준 키로거 — 하이퍼바이저의 OS 아래에서 실행됩니다. 고급 연구 및 일부 정보 작업에 사용되는 일반 맬웨어에 대한 이론입니다.
  • 하드웨어 키로거 — 키보드와 컴퓨터 사이에 있는 물리적 장치입니다. USB 및 PS/2 버전이 존재합니다. 소프트웨어만으로는 감지할 수 없습니다. OS는 일반 키보드를 인식합니다.
  • 음향/전자기 키로거 — 연구원들은 키보드 근처의 타이핑 소리, 전자기 방출, 심지어 스마트폰 가속도계 판독값으로부터 키 입력 복구를 시연했습니다. 덜 일반적이지만 문서화되어 있습니다.
  • Browser 기반/form-grabbers — 웹 양식에서 입력을 캡처하는 악성 브라우저 확장 또는 JavaScript입니다. 자격 증명 도용 봇넷과 결합되는 경우가 많습니다.

소프트웨어 키로거 설치 방법

  • 피싱 첨부 파일 — Office 매크로, 악성 PDF, 문서로 위장한 실행 파일
  • 크랙된 소프트웨어 다운로드와 함께 번들
  • 손상된 웹 사이트에서 드라이브 바이 다운로드(현재는 거의 발생하지 않음) 브라우저 샌드박싱)
  • 악성 브라우저 확장
  • USB 드롭 — 피해자가 연결할 수 있도록 감염된 USB 남겨두기
  • 내부자 설치 — 의도를 가진 사람의 물리적 액세스

최신 키로거가 캡처하는 것

범주가 단순한 수준을 넘어 진화했습니다. 키 입력:

  • 키 입력(원래 기능)
  • 클립보드 콘텐츠
  • 간격에 따른 스크린샷 또는 트리거된 이벤트
  • 브라우저 자동 채우기 데이터
  • 브라우저 암호 관리자에 저장된 자격 증명(맬웨어에 사용자 수준이 있는 경우) 액세스)
  • 웹캠 및 마이크 액세스
  • 파일 시스템 탐색 및 추출
  • 뱅킹 앱 상호 작용 및 입력 시 일회용 비밀번호

현대 위협 인텔리전스에서 "키로거"라고 부르는 것은 종종 더 광범위한 스파이웨어입니다. 플랫폼.

하드웨어 키로거 자세히

A USB 키로거는 작은 USB 확장기처럼 보입니다. 키보드는 한쪽에 연결됩니다. 다른 쪽은 컴퓨터에 연결됩니다. 내부에는 작은 마이크로 컨트롤러와 플래시 메모리가 있습니다. 통과하는 모든 키 입력이 기록됩니다. 데이터를 검색하기 위해 공격자는 다시 돌아와 장치를 USB 포트에 연결하여 다운로드합니다. 특정 키 입력 콤보로 액세스할 때 키로거 자체가 이동식 드라이브 역할을 하는 경우가 많습니다.

하드웨어 키로거는 소프트웨어에서 감지할 수 없습니다. 방어 수단은 물리적입니다. 컴퓨터 뒤에 있는 익숙하지 않은 장치를 확인하고, 특이한 USB 확장기를 찾고, 민감한 워크스테이션을 위한 USB 포트 커버를 배치하십시오.

키로거를 방어하는 방법

  • 엔드포인트 보안(EDR). 최신 EDR은 특정 서명에 관계없이 키로거 동작(키보드 후크, 프로세스 삽입, 의심스러운 데이터 유출)을 탐지합니다.
  • 안티맬웨어 스캐너. 알려진 키로거 제품군을 포착합니다. 사용자 정의 변형에 대해서는 덜 효과적입니다.
  • 하드웨어 키 2FA. FIDO2 키는 하드웨어 보호 키를 사용하여 챌린지에 서명합니다. 키로거는 유용한 정보를 캡처하지 않습니다. 서명은 일회성이며 원본에 국한됩니다.
  • 자동 채우기 기능이 있는 비밀번호 관리자. 비밀번호 관리자는 자격 증명을 입력하지 않고 붙여넣습니다. 키로거는 마스터 비밀번호만 캡처합니다(이것이 바로 마스터 비밀번호 보호가 중요한 이유입니다).
  • 민감한 항목을 위한 온스크린 키보드. 하드웨어 키로거를 물리칩니다. 소프트웨어 키로거도 터치 이벤트를 연결할 수 있으므로 부분적인 방어가 가능합니다.
  • 물리적 보안. 신뢰할 수 없는 사람이 컴퓨터에 물리적으로 접근하지 못하게 하세요.
  • Bootkits / Secure Boot. 재부팅을 통해 커널 수준 키로거가 지속되는 것을 방지합니다.

The 합법적인 사용

몇 가지 비악의적인 사용이 존재합니다:

  • 가족 장치의 부모 모니터링. 대부분의 관할권에서 합법적입니다. 나이가 많은 어린이를 대상으로 윤리적으로 경쟁합니다.
  • 작업 장치의 고용주 모니터링. 대부분의 국가에서 직원 통지에 대한 법적 근거; 일부 규제 산업에 필요합니다.
  • 승인된 레드팀 참여. 침투 테스터는 보안 평가 중 영향을 입증하기 위해 키로거를 배포합니다.
  • Research. 법의학 및 보안 연구원은 공격자 기술을 이해하기 위해 키로거 제품군을 연구합니다.

사이의 경계 "합법적인 모니터링" 및 "스파이웨어"는 기술적인 것이 아니라 합법적인 경우가 많습니다(장치 소유자의 동의).

모바일 키로거

모바일 플랫폼은 기본적으로 키로깅을 더 어렵게 만듭니다. 앱은 자체 표면 외부의 입력을 관찰할 수 없습니다. 방어에는 다음이 포함됩니다:

  • 다른 앱이 수신하는 내용을 볼 수 없는 샌드박스 앱
  • 접근성 서비스에는 명시적인 사용자 권한 및 경고가 필요합니다
  • 모니터링을 위해 접근성을 이용하는 스토커웨어가 존재하지만 모바일 보안 도구에 의해 점점 더 탐지되고 있습니다

페가수스 및 유사한 국가 모바일 스파이웨어는 다음을 수행합니다. 사용자가 허용한 모니터링이 아닌 제로데이 익스플로잇을 통한 키로깅과 동등한 기능입니다. 이를 방어하려면 잠금 모드(iOS) 또는 이에 상응하는 극단적인 조치가 필요합니다.

자주 묻는 질문

키로거가 있는지 어떻게 알 수 있나요?
수동으로 감지하기가 어렵습니다. 증상에는 비정상적인 CPU 사용량, 설명할 수 없는 네트워크 트래픽, 바이러스 백신 경고 등이 포함될 수 있습니다. 신뢰할 수 있는 검사는 최신 EDR 또는 맬웨어 방지 검사를 실행하는 것입니다. 큰 위험이 의심되는 경우 알려진 깨끗한 미디어에서 OS를 재설치하는 것이 확실한 대응입니다.
VPN은 키로거로부터 보호하나요?
아니요. 키로거는 네트워크 트래픽이 장치를 떠나기 전에 장치에서 작동합니다. VPN은 유선을 통해 이동하는 내용을 암호화합니다. 악성 소프트웨어가 이미 컴퓨터 내부에 있으면 도움이 되지 않습니다.
비밀번호 관리자가 키로거를 물리칠 수 있나요?
부분적으로. 자동 채우기는 입력을 우회하므로 키로거가 비밀번호를 캡처하지 않습니다. 하지만 마스터 비밀번호는 여전히 입력되어 있습니다. 키로거가 이를 얻으면 관리자의 저장소가 손상됩니다. 비밀번호 관리자의 하드웨어 키 2FA가 이를 무효화합니다.
하드웨어 키로거가 여전히 실제 위협입니까?
20년 전만 해도 대부분의 사람들이 USB 포트가 보이는 노트북에서 작업했기 때문입니다. 공유 사무실의 데스크톱 워크스테이션과 고위험 대상에 대한 관심이 더 커졌습니다. 탐지는 물리적 검사입니다.
키로거는 일반적으로 얼마나 오랫동안 감지되지 않습니까?
잘 설계된 제품의 경우 몇 주에서 몇 달이 걸립니다. 상품 키로거는 서명 기반 AV에 빠르게 포착됩니다. 표적 공격에 사용되는 맞춤형 변종은 탐지를 더 오랫동안 회피합니다. 평균 체류 시간은 최근 보고에 따르면 약 80일로 광범위한 침해 탐지와 일치합니다.
키로거 설명: 모든 키 입력을 캡처하는 소프트웨어 및 하드웨어