键盘记录器
10 最小阅读量安全
键盘记录器会记录您输入的内容——密码、消息、信用卡号、搜索查询——并将其转发给安装它的人。它们以在您的计算机上运行的恶意软件、与您的键盘插入的硬件加密狗以及合法的家长监控软件的形式出现。了解这些变体可以解释其他防御措施的威胁和限制。
完整的文章正文以英文提供如下。
A keylogger(击键记录器)是捕获设备上击键的任何软件或硬件。它们是最古老、最可靠的凭证盗窃形式之一,即使更广泛的恶意软件格局发生了巨大变化,它们仍然作为一个类别生存下来。
类别
- 软件键盘记录器 - 在操作系统上运行的程序,通过操作系统挂钩拦截键盘输入。最普遍。现代变体与更广泛的间谍软件/RAT(远程访问木马)功能集成。
- 内核级键盘记录器 - 在操作系统内核级别运行,更难以检测,需要提升的权限才能安装。用于国家级恶意软件。
- Hypervisor 级键盘记录器 — 在虚拟机管理程序中的操作系统下运行。一般恶意软件的理论,用于高级研究和(据称)一些情报操作。
- 硬件键盘记录器 - 位于键盘和计算机之间的物理设备。存在 USB 和 PS/2 版本。仅通过软件无法检测到它们 - 操作系统会看到普通键盘。
- 声学/电磁键盘记录器 - 研究人员已经证明了从打字声音、电磁发射甚至键盘附近的智能手机加速度计读数中恢复击键。不太常见,但有记录。
- 基于浏览器/表单抓取器 - 捕获 Web 表单输入的恶意浏览器扩展或 JavaScript。通常与凭据盗窃僵尸网络结合在一起。
如何安装软件键盘记录器
- 网络钓鱼附件 - Office 宏、恶意 PDF、伪装为文档的可执行文件
- 捆绑破解软件下载
- 从受感染网站进行的驾驶式下载(现在很少见,谢谢浏览器沙箱)
- 恶意浏览器扩展
- USB丢弃 - 留下受感染的USB供受害者插入
- 内部安装 - 有意者进行物理访问
现代键盘记录器捕获什么
该类别已经发展到不仅仅是击键:
- 击键(原始功能)
- 剪贴板内容
- 间隔或触发事件的屏幕截图
- 浏览器自动填充数据
- 在浏览器密码管理器中存储的凭据(如果恶意软件具有用户级访问)
- 网络摄像头和麦克风访问
- 文件系统浏览和渗漏
- 银行应用程序交互和输入的一次性密码
现代威胁情报中所谓的“键盘记录器”通常是一种更广泛的间谍软件平台。
硬件键盘记录器详细信息
A USB 键盘记录器看起来像一个小型 USB 扩展器。键盘插入一侧;另一端插入计算机。内部是一个小型微控制器和闪存。每次通过的击键都会被记录下来。为了检索数据,攻击者返回并将设备插入 USB 端口进行下载 - 当使用特定的击键组合访问时,键盘记录器本身通常充当可移动驱动器。
硬件键盘记录器无法被软件检测到。防御措施是物理的:注意计算机后面的不熟悉的设备,寻找不寻常的 USB 扩展器,为敏感工作站部署 USB 端口盖。
什么可以防御键盘记录器
- 端点安全(EDR)。 现代 EDR 可以检测键盘记录器行为(键盘挂钩、进程注入、可疑数据渗漏),无论具体签名如何。
- 反恶意软件扫描仪。 捕获已知的键盘记录器系列。针对自定义变体的效果较差。
- 硬件密钥 2FA. FIDO2 密钥使用受硬件保护的密钥来标记质询。键盘记录器捕获不到任何有用的信息 - 签名是一次性的且与源绑定。
- 具有自动填充功能的密码管理器。 密码管理器无需键入凭据即可粘贴凭据。键盘记录器仅捕获主密码(这就是主密码保护至关重要的原因)。
- 用于敏感条目的屏幕键盘。 击败硬件键盘记录器;软件键盘记录器也可以挂钩触摸事件,因此部分防御。
- 物理安全。 不要让不受信任的人物理访问您的计算机。
- Bootkits / Secure Boot. 防止内核级键盘记录器持续存在
合法用途
存在几种非恶意用途:
- 家庭设备上的家长监控。在大多数司法管辖区都是合法的;对年龄较大的儿童进行道德争议。
- 雇主监控工作设备。在大多数国家/地区均具有合法的员工通知;一些受监管行业需要。
- 授权红队参与。渗透测试人员部署键盘记录器以展示安全评估期间的影响。
- 研究。取证和安全研究人员研究键盘记录器系列以了解攻击者技术。
之间的界限“合法监控”和“间谍软件”通常是合法的(设备所有者的同意)而不是技术。
移动键盘记录器
移动平台默认情况下使键盘记录变得更加困难 - 应用程序无法观察其自身表面之外的输入。防御措施包括:
- 无法查看其他应用程序接收内容的沙盒应用程序
- 辅助功能服务需要明确的用户许可和警告
- 利用辅助功能进行监控的跟踪软件存在,但越来越多地被移动安全工具检测到
Pegasus 和类似的民族国家移动间谍软件实现通过零日漏洞实现键盘记录等效功能,而不是用户允许的监控。防御这些需要锁定模式(iOS)或同等的极端措施。
常见问题
- 我如何知道我是否有键盘记录器?
- 手动很难检测到。症状可能包括异常的 CPU 使用率、无法解释的网络流量、防病毒警报。可靠的检查是运行现代 EDR 或反恶意软件扫描。如果您有高度怀疑,从已知干净的介质重新安装操作系统是最终的解决办法。
- VPN 可以防止键盘记录程序吗?
- 不会。键盘记录器会在任何网络流量离开您的设备之前就开始运行。 VPN 对线路上传输的内容进行加密;当恶意软件已经存在于您的计算机中时,它就无济于事了。
- 密码管理器可以击败键盘记录器吗?
- 部分地。自动填充会绕过输入,因此键盘记录器不会捕获密码。但你的主密码仍然被输入;如果键盘记录器得到了该信息,则经理的金库就会受到损害。密码管理器上的硬件密钥 2FA 解决了这个问题。
- 硬件键盘记录器仍然是真正的威胁吗?
- 不到二十年前,因为大多数人使用 USB 端口可见的笔记本电脑工作。更关注共享办公室中的桌面工作站和高风险目标。检测是物理检查。
- 键盘记录程序通常多久不被发现?
- 对于精心设计的产品来说,需要几周到几个月的时间。商品键盘记录程序很快就会被基于签名的反病毒软件捕获;有针对性的攻击中使用的自定义变体逃避检测的时间更长。中位停留时间与更广泛的违规检测相一致——根据最近的报告,停留时间约为 80 天。