myPassword123 ████████every keystroke recorded

Keyloggere

10 min lestSikkerhet

En keylogger registrerer hva du skriver – passord, meldinger, kredittkortnumre, søk – og videresender det til den som installerte det. De kommer som skadelig programvare som kjører på datamaskinen din, som maskinvaredongler koblet til tastaturet ditt, og som legitim programvare for foreldreovervåking. Å forstå variantene forklarer både trusselen og grensene for hva andre forsvar kan gjøre.

Hele artikkelen er gitt på engelsk nedenfor.

A keylogger (tastetrykklogger) er all programvare eller maskinvare som fanger opp tastetrykk på en enhet. De har vært en av de eldste og mest pålitelige formene for legitimasjonstyveri, og overlever som en kategori selv om det bredere skadevarelandskapet har endret seg dramatisk.

Kategoriene

  • Programvaretasteloggere — programmer som kjører på operativsystemet som fanger opp tastaturet. Mest utbredt. Moderne varianter integreres med bredere spyware/RAT-funksjonalitet (trojaner med fjerntilgang).
  • Kernel-nivå nøkkelloggere — opererer på OS-kjernenivå, vanskeligere å oppdage, krever forhøyede rettigheter for å installere. Brukes i nasjonal-statlig skadelig programvare.
  • Hypervisor-nivå nøkkelloggere — kjør under OS i en hypervisor. Teoretisk for generell skadelig programvare, brukt i avansert forskning og (angivelig) noen etterretningsoperasjoner.
  • Hardware keyloggers — fysiske enheter som sitter mellom tastaturet og datamaskinen. USB- og PS/2-versjoner finnes. De er uoppdagelige fra programvare alene – operativsystemet ser et normalt tastatur.
  • Akustiske/elektromagnetiske tasteloggere – forskere har demonstrert tastetrykkgjenoppretting fra skrivelyder, elektromagnetiske utslipp og til og med smarttelefonakselerometeravlesninger nær et tastatur. Mindre vanlig, men dokumentert.
  • Nettleserbasert / form-grabbers — ondsinnede nettleserutvidelser eller JavaScript som fanger inn input fra nettskjemaer. Ofte kombinert med botnett for legitimasjonstyveri.

Hvordan programvaretasteloggere blir installert

  • Phishing-vedlegg — Office-makroer, ondsinnede PDF-er, kjørbare filer forkledd som dokumenter nedlastinger
  • Drive-by-nedlastinger fra kompromitterte nettsteder (sjelden nå takket være nettlesersandboxing)
  • Ondsinnede nettleserutvidelser
  • USB faller – etterlater infiserte USB-er for ofre å plugge inn
  • intent

Hva moderne tasteloggere fanger

Kategorien har utviklet seg utover bare tastetrykk:

  • Tasttrykk (den originale funksjonen)
  • Clipboard contents
  • X triggerscreenshots eller hendelser
  • Browser autofyll data
  • Lagret legitimasjon i nettleserpassordbehandlere (hvis skadelig programvare har tilgang på brukernivå)
  • Webkamera- og mikrofontilgang
  • Filsystemsurfing og eksfiltrering
      aksjon6bank-app engangspassord etter hvert som de legges inn

    Det som kalles en "keylogger" i moderne trusselinformasjon er ofte en bredere spionvareplattform.

    Hardware keylogger i detalj

    A USB-keylogger ser ut som en liten USB-forlenger. Tastaturet kobles til den ene siden; den andre siden kobles til datamaskinen. Inni er en liten mikrokontroller og flashminne. Hvert tastetrykk som går gjennom logges. For å hente dataene, kommer angriperen tilbake og kobler enheten til en USB-port for å laste ned — ofte fungerer selve keyloggeren som en flyttbar stasjon når den åpnes med en bestemt tastetrykkkombinasjon.

    Maskinvaretasteloggere kan ikke oppdages av programvare. Forsvaret er fysisk: legg merke til ukjente enheter bak datamaskinen din, se etter uvanlige USB-forlengere, installer USB-portdeksler for sensitive arbeidsstasjoner.

    Hva forsvarer seg mot keyloggers

    • Endpoint security (EDR). Moderne EDR oppdager keylogger-oppførsel (tastaturkroker, prosessinjeksjon, mistenkelig dataeksfiltrering) uavhengig av spesifikk signatur.
    • Anti-malware-scanners.XPLZ-familien. Mindre effektiv mot tilpassede varianter.
    • Hardware-key 2FA. En FIDO2-nøkkel signerer en utfordring med en maskinvarebeskyttet nøkkel. Keyloggeren fanger ikke opp noe nyttig – signaturen er engangs- og opprinnelsesbundet.
    • Passordadministratorer med autofyll. Passordbehandlingen limer inn legitimasjon uten å skrive dem. Tasteloggeren fanger bare opp hovedpassordet (det er grunnen til at beskyttelse av hovedpassord er dramatisk).
    • Skjermtastaturer for sensitive oppføringer. Bekjemper maskinvaretasteloggere; programvaretasteloggere kan også koble berøringshendelser, så delvis forsvar.
    • Fysisk sikkerhet. Ikke la upålitelige personer ha fysisk tilgang til datamaskinen din.
    • Bootkits / Secure Boot. Hindrer gjennom kjerne-logging reboots.

    De legitime bruksområdene

    Det finnes flere ikke-ondsinnede bruksområder:

    • Foreldreovervåking på familieenheter. Lovlig i de fleste jurisdiksjoner; etisk bestridt for eldre barn.
    • Arbeidsgiverovervåking av arbeidsenheter. Lovlig med varsel fra ansatte i de fleste land; kreves i enkelte regulerte bransjer.
    • Authorized red-team-engasjement. Penetrasjonstestere distribuerer nøkkelloggere for å demonstrere innvirkning under sikkerhetsvurderinger.
    • Research. Rettsmedisinske og sikkerhetsforskere studerer nøkkelloggerfamilier teknikker.

    Grennen mellom "legitim overvåking" og "spyware" er ofte lovlig (samtykke fra enhetseier) snarere enn teknisk.

    Mobile keyloggers

    Mobile plattformer gjør tastelogging vanskeligere som standard – apper kan ikke observere. Forsvar inkluderer:

    • Sandboxed-apper som ikke kan se hva andre apper mottar
    • Tilgjengelighetstjenester krever eksplisitt brukertillatelse og advarsler
    • Stalkerware som utnytter tilgjengelighet for overvåking, finnes, men som i økende grad blir oppdaget av mobile sikkerhetsverktøyZPL7X6 og Pegas-sikkerhetsverktøyZPL7XX6. nasjonalstatlige mobilspyware oppnår keylogging-ekvivalent evne gjennom nulldagers utnyttelser, ikke brukertillatt overvåking. Forsvar mot disse krever låsemodus (iOS) eller tilsvarende ekstreme tiltak.

Ofte stilte spørsmål

Hvordan vet jeg om jeg har en keylogger?
Vanskelig å oppdage manuelt. Symptomer kan inkludere uvanlig CPU-bruk, uforklarlig nettverkstrafikk, antivirusvarsler. Den pålitelige sjekken kjører moderne EDR- eller anti-malware-skanninger. Hvis du har en mistanke om høy innsats, er en ominstallering av OS fra kjente rene medier det definitive svaret.
Beskytter en VPN mot keyloggere?
Nei. Tasteloggere fungerer på enheten din før nettverkstrafikk forlater den. En VPN krypterer det som går over ledningen; det kan ikke hjelpe når den skadelige programvaren allerede er inne på datamaskinen din.
Kan passordbehandlere beseire keyloggere?
Delvis. Autofyllet omgår skriving, så keyloggeren fanger ikke opp passordet. Men hovedpassordet ditt er fortsatt skrevet inn; hvis en keylogger får det, er managerens hvelv kompromittert. Maskinvarenøkkel 2FA på passordbehandleren beseirer dette.
Er maskinvaretasteloggere fortsatt en reell trussel?
For mindre enn to tiår siden fordi de fleste jobber på bærbare datamaskiner der USB-porter er synlige. Større bekymring for stasjonære arbeidsstasjoner i delte kontorer og for høyinnsatsmål. Deteksjon er fysisk inspeksjon.
Hvor lenge blir keyloggere vanligvis uoppdaget?
Uker til måneder for godt konstruerte. Vare-keyloggere blir raskt fanget av signaturbasert AV; tilpassede varianter som brukes i målrettede angrep unngår oppdagelse lenger. Median dvaletid stemmer overens med bredere brudddeteksjon - rundt 80 dager fra de siste rapportene.
Tasteloggere forklart: Programvare og maskinvare som fanger opp hvert tastetrykk