Keylogger

A keylogger (trình ghi thao tác gõ phím) là bất kỳ phần mềm hoặc phần cứng nào ghi lại các lần gõ phím trên thiết bị. Chúng là một trong những hình thức đánh cắp thông tin xác thực lâu đời nhất và đáng tin cậy nhất, tồn tại dưới dạng một danh mục ngay cả khi bối cảnh phần mềm độc hại rộng hơn đã thay đổi đáng kể.

Các danh mục

• Software keylogger — các chương trình chạy trên hệ điều hành chặn hoạt động nhập liệu từ bàn phím thông qua móc nối hệ điều hành. Phổ biến nhất. Các biến thể hiện đại tích hợp với chức năng phần mềm gián điệp/RAT (trojan truy cập từ xa) rộng hơn.
• Keylogger cấp hạt nhân — hoạt động ở cấp hạt nhân hệ điều hành, khó phát hiện hơn, yêu cầu đặc quyền nâng cao để cài đặt. Được sử dụng trong phần mềm độc hại cấp quốc gia.
• Hylogger cấp độ Hypervisor — chạy bên dưới hệ điều hành trong trình ảo hóa. Lý thuyết dành cho phần mềm độc hại nói chung, được sử dụng trong nghiên cứu nâng cao và (được cho là) ​​một số hoạt động tình báo.
• Hkeylogger phần cứng — thiết bị vật lý nằm giữa bàn phím và máy tính. Đã có phiên bản USB và PS/2. Chúng không thể bị phát hiện chỉ từ phần mềm — hệ điều hành nhìn thấy bàn phím bình thường.
• Acoustic/electromist keylogger — các nhà nghiên cứu đã chứng minh khả năng phục hồi thao tác nhấn phím từ âm thanh gõ, phát xạ điện từ và thậm chí cả kết quả đo gia tốc của điện thoại thông minh gần bàn phím. Ít phổ biến hơn nhưng được ghi lại.
• Dựa trên trình duyệt / trình lấy biểu mẫu — các tiện ích mở rộng trình duyệt độc hại hoặc JavaScript thu thập dữ liệu đầu vào từ các biểu mẫu web. Thường đi kèm với các botnet đánh cắp thông tin xác thực.

Cách cài đặt keylogger phần mềm

• Tệp đính kèm lừa đảo — Macro văn phòng, tệp PDF độc hại, tệp thực thi được ngụy trang dưới dạng tài liệu
• Đi kèm với các bản tải xuống phần mềm bẻ khóa
• Drive-bằng cách tải xuống từ các trang web bị xâm nhập (hiện nay hiếm nhờ trình duyệt) hộp cát)
• Tiện ích mở rộng trình duyệt độc hại
• USB rớt — để lại USB bị nhiễm độc cho nạn nhân cắm vào
• Cài đặt nội bộ — ai đó có mục đích truy cập vật lý

Những gì keylogger hiện đại nắm bắt được

Danh mục này đã phát triển vượt xa chỉ tổ hợp phím:

• Tổ hợp phím (tính năng gốc)
• Nội dung trong clipboard
• Ảnh chụp màn hình theo khoảng thời gian hoặc sự kiện được kích hoạt
• Dữ liệu tự động điền của trình duyệt
• Thông tin xác thực được lưu trữ trong trình quản lý mật khẩu trình duyệt (nếu phần mềm độc hại có cấp độ người dùng truy cập)
• Truy cập micrô và webcam
• Duyệt và lọc hệ thống tệp
• Tương tác ứng dụng ngân hàng và mật khẩu một lần khi chúng được nhập

Cái được gọi là "keylogger" trong intel về mối đe dọa hiện đại thường là một nền tảng phần mềm gián điệp rộng hơn.

Hkeylogger phần cứng chi tiết

A USB keylogger trông giống như một bộ mở rộng USB nhỏ. Bàn phím cắm vào một bên; đầu còn lại cắm vào máy tính. Bên trong là một bộ vi điều khiển nhỏ và bộ nhớ flash. Mỗi lần nhấn phím đi qua đều được ghi lại. Để lấy dữ liệu, kẻ tấn công quay lại và cắm thiết bị vào cổng USB để tải xuống — thường thì keylogger hoạt động như một ổ đĩa di động khi được truy cập bằng tổ hợp phím bấm cụ thể.

Phần mềm không thể phát hiện keylogger phần cứng. Các biện pháp bảo vệ mang tính vật lý: chú ý đến các thiết bị lạ phía sau máy tính của bạn, tìm kiếm các bộ mở rộng USB bất thường, triển khai nắp cổng USB cho các máy trạm nhạy cảm.

Điều gì bảo vệ chống lại keylogger

• Bảo mật điểm cuối (EDR). EDR hiện đại phát hiện hành vi keylogger (móc bàn phím, chèn quy trình, lọc dữ liệu đáng ngờ) bất kể chữ ký cụ thể.
• Trình quét phần mềm độc hại. Phát hiện các nhóm keylogger đã biết. Kém hiệu quả hơn so với các biến thể tùy chỉnh.
• HKhóa phần cứng 2FA. Khóa FIDO2 báo hiệu thử thách bằng khóa được bảo vệ bằng phần cứng. Keylogger không thu được gì hữu ích — chữ ký chỉ dùng một lần và có giới hạn nguồn gốc.
• Trình quản lý mật khẩu có tính năng tự động điền. Trình quản lý mật khẩu dán thông tin xác thực mà không cần nhập chúng. Keylogger chỉ ghi lại mật khẩu chính (đó là lý do tại sao việc bảo vệ mật khẩu chính lại quan trọng).
• Bàn phím ảo dành cho các mục nhập nhạy cảm. Đánh bại keylogger phần cứng; keylogger phần mềm cũng có thể móc nối các sự kiện chạm, vì vậy chỉ bảo vệ một phần.
• Bảo mật vật lý. Đừng để những người không đáng tin cậy có quyền truy cập vật lý vào máy tính của bạn.
• Bootkits / Khởi động an toàn. Ngăn chặn keylogger cấp hạt nhân tiếp tục tồn tại khởi động lại.

Các mục đích sử dụng hợp pháp

Tồn tại một số mục đích sử dụng không độc hại:

• Giám sát cha mẹ trên các thiết bị gia đình. Hợp pháp ở hầu hết các khu vực pháp lý; gây tranh cãi về mặt đạo đức đối với trẻ lớn hơn.
• Giám sát người sử dụng lao động của các thiết bị làm việc. Hợp pháp với thông báo dành cho nhân viên ở hầu hết các quốc gia; được yêu cầu trong một số ngành được quản lý.
• Sự tham gia của nhóm đỏ được ủy quyền. Người kiểm tra thâm nhập triển khai keylogger để chứng minh tác động trong quá trình đánh giá bảo mật.
• Research. Các nhà nghiên cứu pháp y và bảo mật nghiên cứu các họ keylogger để hiểu các kỹ thuật của kẻ tấn công.

Ranh giới giữa "hợp pháp" giám sát" và "phần mềm gián điệp" thường là hợp pháp (có sự đồng ý của chủ sở hữu thiết bị) chứ không phải là kỹ thuật.

Keylogger di động

Các nền tảng di động mặc định khiến việc ghi bàn phím khó hơn — các ứng dụng không thể quan sát dữ liệu đầu vào bên ngoài bề mặt của chính chúng. Các biện pháp bảo vệ bao gồm:

• Các ứng dụng được đóng hộp cát không thể thấy những gì các ứng dụng khác nhận được
• Các dịch vụ trợ năng yêu cầu sự cho phép và cảnh báo rõ ràng của người dùng
• Stalkerware khai thác khả năng truy cập để giám sát nhưng ngày càng bị các công cụ bảo mật di động phát hiện

Pegasus và phần mềm gián điệp di động cấp quốc gia tương tự đạt được mục tiêu này khả năng tương đương với keylogging thông qua việc khai thác zero-day, không theo dõi do người dùng cho phép. Để bảo vệ khỏi những điều này, cần có Chế độ khóa (iOS) hoặc các biện pháp cực đoan tương đương.