myPassword123 ████████every keystroke recorded

Keyloggers

10 min lästSäkerhet

En keylogger registrerar vad du skriver - lösenord, meddelanden, kreditkortsnummer, sökfrågor - och vidarebefordrar det till den som installerat det. De kommer som skadlig programvara som körs på din dator, som hårdvarudonglar anslutna i linje med ditt tangentbord och som legitim programvara för föräldraövervakning. Att förstå varianterna förklarar både hotet och gränserna för vad andra försvar kan göra.

Hela artikeltexten finns på engelska nedan.

A keylogger (tangenttryckningslogger) är vilken programvara eller hårdvara som helst som fångar tangenttryckningar på en enhet. De har varit en av de äldsta och mest pålitliga formerna av identitetsstöld, och har överlevt som en kategori även när det bredare landskapet med skadlig programvara har förändrats dramatiskt.

Kategorierna

  • Software keyloggers — program som körs på operativsystemet som fångar upp tangentbordet. Mest utbredd. Moderna varianter integreras med bredare spionprogram/RAT-funktioner (trojaner med fjärråtkomst).
  • Kernel-level keyloggers — fungerar på OS-kärnnivå, svårare att upptäcka, kräver förhöjda behörigheter för att installera. Används i national-state-grade malware.
  • Hypervisor-level keyloggers — körs under operativsystemet i en hypervisor. Teoretiskt för allmän skadlig programvara, används i avancerad forskning och (påstås) vissa underrättelseoperationer.
  • Hårdvara keyloggers — fysiska enheter som sitter mellan tangentbordet och datorn. USB- och PS/2-versioner finns. De går inte att upptäcka enbart från programvaran – operativsystemet ser ett normalt tangentbord.
  • Akustiska/elektromagnetiska keyloggers – forskare har visat att tangenttryckningar återställs från skrivljud, elektromagnetiska emissioner och till och med smartphoneaccelerometeravläsningar nära ett tangentbord. Mindre vanligt men dokumenterat.
  • Webbläsarbaserad / form-grabbers — skadliga webbläsartillägg eller JavaScript som fångar indata från webbformulär. Ofta kopplat till autentiseringsstöld-botnät.

Hur installeras programvara keyloggers

  • Pphishing-bilagor — Office-makron, skadliga PDF-filer, körbara filer förklädda som dokument
  • B med crack nedladdningar
  • Drive-by-nedladdningar från komprometterade webbplatser (sällsynt nu tack vare webbläsarsandboxing)
  • Skadliga webbläsartillägg
  • USB tappar – lämnar infekterade USB-enheter för offren att plugga in
  • intent

Vad moderna keyloggers fångar

Kategoriet har utvecklats bortom bara tangenttryckningar:

  • Tangenttryckningar (den ursprungliga funktionen)
  • UpptrycksinnehållXPLZ56ScmellerXPLZ56x triggers händelser
  • Webbläsare autofyll data
  • Lagrade autentiseringsuppgifter i webbläsarlösenordshanterare (om skadlig programvara har åtkomst på användarnivå)
  • Webbkamera och mikrofonåtkomst
  • Surfning och exfiltrering av filsystem och exfiltrering
      action6bank och exfiltration engångslösenord när de skrivs in

    Vad som kallas en "keylogger" i modern hot intel är ofta en bredare spionprogramplattform.

    Hårdvarukeylogger i detalj

    A USB-keylogger ser ut som en liten USB-förlängare. Tangentbordet ansluts till ena sidan; den andra sidan ansluts till datorn. Inuti finns en liten mikrokontroller och flashminne. Varje tangenttryckning som passerar loggas. För att hämta data kommer angriparen tillbaka och ansluter enheten till en USB-port för att ladda ner — ofta fungerar keyloggern själv som en flyttbar enhet när den nås med en specifik tangentkombination.

    Hårdvarutangentlogger kan inte upptäckas av programvara. Försvaret är fysiskt: lägg märke till okända enheter bakom din dator, leta efter ovanliga USB-förlängare, installera USB-portskydd för känsliga arbetsstationer.

    Vad försvarar mot keyloggers

    • Endpoint security (EDR). Modern EDR upptäcker keyloggerbeteende (tangentbordskrokar, processinjektion, misstänkt dataexfiltrering) oavsett specifik signatur.
    • Anti-XPLZ-nyckelfamiljen8XPLZ skanner8XAnti-malwares. Mindre effektiv mot anpassade varianter.
    • Hårdvarunyckel 2FA. En FIDO2-nyckel signerar en utmaning med en hårdvaruskyddad nyckel. Keyloggern fångar inget användbart — signaturen är engångs- och ursprungsbunden.
    • Lösenordshanterare med autofyll. Lösenordshanteraren klistrar in autentiseringsuppgifter utan att skriva dem. Keyloggern fångar bara huvudlösenordet (vilket är anledningen till att skyddet av huvudlösenordet har stor betydelse).
    • Tangentbord på skärmen för känsliga poster. Besegrar hårdvaru-keyloggers; programvara keyloggers kan koppla beröringshändelser också, så partiellt försvar.
    • Fysisk säkerhet. Låt inte opålitliga personer ha fysisk åtkomst till din dator.
    • Bootkits / Secure Boot. Förhindrar att keyloggers genom kärnan hålls kvar. reboots.

    De legitima användningarna

    Det finns flera icke-skadlig användning:

    • Föräldraövervakning på familjeenheter. Lagligt i de flesta jurisdiktioner; etiskt ifrågasatt för äldre barn.
    • Arbetsgivarövervakning av arbetsenheter. Lagligt med anställdas meddelande i de flesta länder; krävs i vissa reglerade branscher.
    • Auktoriserade engagemang för röda team. Penetrationstestare använder keyloggers för att visa inverkan under säkerhetsbedömningar.
    • Research. Rättsmedicinska forskare och säkerhetsforskare studerar angriparfamiljer tekniker.

    Gränsen mellan "legitim övervakning" och "spionprogram" är ofta laglig (samtycke från enhetsägaren) snarare än teknisk.

    Mobila keyloggers

    Mobila plattformar gör tangentloggning svårare som standard – appar kan inte observera utanför sin egen yta. Försvar inkluderar:

    • Sandboxade appar som inte kan se vad andra appar tar emot
    • Tillgänglighetstjänster kräver uttrycklig användartillstånd och varningar
    • Stalkerware som utnyttjar tillgängligheten för övervakning finns men som i allt högre grad upptäcks av mobila säkerhetsverktygZPL7X66. nationalstatliga mobila spionprogram uppnår keylogging-ekvivalent kapacitet genom nolldagars utnyttjande, inte användartillåten övervakning. Försvar mot dessa kräver Lockdown Mode (iOS) eller motsvarande extrema åtgärder.

Vanliga frågor

Hur vet jag om jag har en keylogger?
Svårt att upptäcka manuellt. Symtom kan vara ovanlig CPU-användning, oförklarlig nätverkstrafik, antivirusvarningar. Den tillförlitliga kontrollen kör moderna EDR- eller anti-malware-skanningar. Om du har en misstanke om höga insatser är en ominstallation av OS från kända rena media det definitiva svaret.
Skyddar ett VPN mot keyloggers?
Nej. Keyloggers fungerar på din enhet innan någon nätverkstrafik lämnar den. En VPN krypterar det som går över tråden; det kan inte hjälpa när den skadliga programvaran redan finns i din dator.
Kan lösenordshanterare besegra keyloggers?
Delvis. Den automatiska fyllningen förbigår skrivning, så keyloggern fångar inte lösenordet. Men ditt huvudlösenord är fortfarande inskrivet; om en keylogger får det, äventyras managerns valv. Hårdvarunyckel 2FA på lösenordshanteraren motverkar detta.
Är hårdvara keyloggers fortfarande ett verkligt hot?
För mindre än två decennier sedan eftersom de flesta arbetar på bärbara datorer där USB-portar är synliga. Större oro för stationära arbetsstationer på delade kontor och för höginsatsmål. Detektion är fysisk inspektion.
Hur länge brukar keyloggers inte upptäckas?
Veckor till månader för välkonstruerade. Varukeyloggers fångas snabbt av signaturbaserad AV; anpassade varianter som används i riktade attacker undviker upptäckt längre. Medianuppehållstiden stämmer överens med bredare brottsdetektering - cirka 80 dagar från de senaste rapporterna.
Keyloggers förklarade: Programvara och hårdvara som fångar varje tangenttryckning