myPassword123 ████████every keystroke recorded

Keyloggers

10 min citireSecuritate

Un keylogger înregistrează ceea ce introduceți - parole, mesaje, numere de card de credit, interogări de căutare - și îl redirecționează oricui l-a instalat. Acestea vin ca programe malware care rulează pe computerul dvs., ca dongle hardware conectate la tastatura dvs. și ca software legitim de monitorizare parentală. Înțelegerea variantelor explică atât amenințarea, cât și limitele a ceea ce pot face alte apărări.

Întregul articol al articolului este oferit în limba engleză mai jos.

A keylogger (registrator de taste) este orice software sau hardware care captează apăsările de taste pe un dispozitiv. Au fost una dintre cele mai vechi și mai fiabile forme de furt de acreditări, supraviețuind ca categorie, chiar dacă peisajul mai larg de malware s-a schimbat dramatic. Cel mai răspândit. Variantele moderne se integrează cu o funcționalitate mai largă de spyware/RAT (troian de acces la distanță). Folosit în programe malware de nivel național.

  • Loggeri de taste la nivel de hypervisor — rulează sub sistemul de operare într-un hypervisor. Teoretic pentru malware general, folosit în cercetări avansate și (presupuse) unele operațiuni de informații.
  • Inregistratoare de tastaturi hardware — dispozitive fizice care stau între tastatură și computer. Există versiuni USB și PS/2. Sunt nedetectabili numai din software – sistemul de operare vede o tastatură normală.
  • Inregistratoare de tastaturi acustice/electromagnetice – cercetătorii au demonstrat recuperarea apăsării tastelor din sunete de tastare, emisii electromagnetice și chiar citiri ale accelerometrului smartphone lângă o tastatură. Mai puțin obișnuit, dar documentat.
  • Browser-based/form-grabbers — extensii de browser rău intenționate sau JavaScript care captează informații din formularele web. Adesea, cuplate cu rețele botnet de furt de acreditări.

    • Cum se instalează aplicațiile de înregistrare a tastelor software

    • Atașamente de phishing — Macro-uri de birou, PDF-uri rău intenționate, executabile deghizate în documente
    • Descărcări de software-ul descărcat XXPL
    • PLZ-PLZ38X descărcări de pe site-uri web compromise (rare acum datorită sistemului de testare a browserului)
    • Extensii de browser rău intenționate
    • USB scade — lăsând USB-urile infectate pentru ca victimele să le conecteze capture

      Categoria a evoluat dincolo de simpla apăsare a tastelor:

      • Apăsări de taste (funcția originală)
      • Conținut clipboard
      • Capturi de ecran la intervale sau evenimente declanșatePLZ58XXPLZ date
      • Acreditări stocate în managerii de parole ale browserului (dacă malware-ul are acces la nivel de utilizator)
      • Acces la camera web și la microfon
      • Răsfoirea și exfiltrarea sistemului de fișiere
      • Interacțiunile aplicației bancare și ca parolă unică introdus

      Ceea ce se numește „keylogger” în inteligența modernă pentru amenințări este adesea o platformă de spyware mai largă.

      Keylogger hardware în detaliu

      A Keylogger USB arată ca un mic prelungitor USB. Tastatura se conectează într-o parte; cealaltă parte se conectează la computer. În interior se află un mic microcontroler și o memorie flash. Fiecare apăsare de tastă care trece prin este înregistrată. Pentru a prelua datele, atacatorul revine și conectează dispozitivul într-un port USB pentru a-l descărca - adesea keylogger-ul însuși acționează ca o unitate detașabilă atunci când este accesat cu o anumită combinație de apăsare a tastei. Apărările sunt fizice: observați dispozitive necunoscute în spatele computerului, căutați extensii USB neobișnuite, instalați capace pentru porturi USB pentru stațiile de lucru sensibile.

      Ce se apără împotriva aplicațiilor de înregistrare a tastelor

      • Endpoint security (EDR). Modern EDR detectează comportamentul keylogger-ului (cârlige de la tastatură, injecție de proces, exfiltrare de date suspecte) indiferent de semnătura specifică.
      • Familii de scanere de keylogger anti-malware CaXPLZ. Mai puțin eficient împotriva variantelor personalizate.
      • Cheie hardware 2FA. O cheie FIDO2 semnează o provocare cu o cheie protejată de hardware. Keylogger-ul nu captează nimic util – semnătura este unică și legată de origine.
      • Manager de parole cu completare automată. Managerul de parole lipește acreditările fără a le introduce. Keylogger-ul captează doar parola principală (de aceea protecția prin parolă principală contează în mod dramatic).
      • Tastaturi pe ecran pentru intrări sensibile. Înfrânge aplicatoarele de tastatură hardware; Keyloggerii software pot conecta și evenimentele tactile, deci apărare parțială.
      • Securitate fizică. Nu permiteți persoanelor neîncrezătoare să aibă acces fizic la computerul dvs. repornește.

      Utilizările legitime

      Există mai multe utilizări non-răuitoare:

      • Monitorizare parentală pe dispozitivele familiei. Legal în majoritatea jurisdicțiilor; contestat etic pentru copiii mai mari.
      • Emonitorizarea angajatorului a aparatelor de lucru. Legal cu notificare angajaților în majoritatea țărilor; necesar în unele industrii reglementate.
      • Angajamente autorizate din echipă roșie. Testerii de penetrare implementează keylogger pentru a demonstra impactul în timpul evaluărilor de securitate.
      • Research. Cercetătorii criminalistici și de securitate pentru a înțelege familiile de keylogger tehnici.

      Linia dintre „monitorizare legitimă” și „spyware” este adesea legală (consimțământul proprietarului dispozitivului) mai degrabă decât tehnică.

      Inregistratoarele de taste mobile

      Platformele mobile îngreunează în mod implicit înregistrarea tastaturii — aplicațiile nu pot observa intrarea în afara propriei suprafețe. Apărările includ:

      • Aplicații cu nisip care nu pot vedea ce primesc alte aplicații
      • Serviciile de accesibilitate necesită permisiunea explicită a utilizatorului și avertismente
      • Stalkerware care exploatează accesibilitatea pentru monitorizare există, dar este din ce în ce mai detectat de securitatea mobilă instrumente

      Pegasus și programele spion mobile similare din statul național realizează o capacitate echivalentă de keylogging prin exploit-uri zero-day, fără monitorizare permisă de utilizator. Apărarea împotriva acestora necesită Modul de blocare (iOS) sau măsuri extreme echivalente.

    Întrebări frecvente

    Cum știu dacă am un keylogger?
    Greu de detectat manual. Simptomele pot include utilizarea neobișnuită a procesorului, trafic de rețea inexplicabil, alerte antivirus. Verificarea de încredere este rularea EDR moderne sau scanări anti-malware. Dacă aveți o suspiciune cu mize mari, o reinstalare a sistemului de operare de pe un mediu cunoscut-curat este răspunsul definitiv.
    Un VPN protejează împotriva keylogger-urilor?
    Nu. Keylogger-urile operează pe dispozitivul dvs. înainte ca orice trafic de rețea să părăsească acesta. Un VPN criptează ceea ce trece prin cablu; nu poate ajuta atunci când software-ul rău intenționat este deja în interiorul computerului dvs.
    Pot managerii de parole să învingă keyloggerii?
    Parţial. Completarea automată ocolește tastarea, astfel încât keyloggerul nu captează parola. Dar parola dvs. principală este încă introdusă; dacă un keylogger primește asta, seiful managerului este compromis. Cheia hardware 2FA din managerul de parole învinge acest lucru.
    Sunt keylogger-urile hardware încă o amenințare reală?
    Cu mai puțin de două decenii în urmă, deoarece majoritatea oamenilor lucrează pe laptopuri unde sunt vizibile porturile USB. O preocupare mai mare pentru stațiile de lucru desktop din birourile partajate și pentru ținte cu mize mari. Detectarea este o inspecție fizică.
    Cât timp rămân de obicei nedetectați keyloggererii?
    Săptămâni până la luni pentru cei bine proiectați. Registratorii de taste pentru mărfuri sunt prinși rapid de AV bazat pe semnătură; variantele personalizate utilizate în atacurile țintite eludează detectarea mai mult timp. Timpul mediu de așteptare se aliniază cu detectarea mai amplă a încălcării - aproximativ 80 de zile din rapoartele recente.
    Keyloggers explicat: software și hardware care captează fiecare apăsare de tastă