facebook
Czym jest keylogger?
04 sierpnia 2016

Dzisiejsze zaawansowane narzędzia należące do szkodliwych programów najczęściej składają się z kilku komponentów, z których każdy jest odpowiedzialny za inny aspekt szkodliwego działania. Programy te z pewnością bardziej przypominają szwajcarskie scyzoryki wojskowe niż pojedyncze narzędzia i umożliwiają atakującemu wykonywanie na zainfekowanym systemie wielu różnych działań. Jednym z takich elementów używanych podczas ataków jest keylogger. Jest to wyspecjalizowane narzędzie przeznaczone do rejestrowania naciśnięć klawiszy klawiatury, dzięki czemu atakujący może potajemnie ukraść ogromną ilość poufnych informacji.

Definicja keyloggera

Keylogger jest takim typem oprogramowania lub sprzętu, który potrafi przechwytywać i nagrywać aktywność wykonywaną przy użyciu klawiatury zaatakowanego komputera. Keylogger najczęściej rezyduje pomiędzy klawiaturą a systemem operacyjnym i przejmuje całą komunikację bez wiedzy użytkownika. Ponadto potrafi przechowywać zapisywane dane lokalnie na zaatakowanym komputerze. Jeżeli jest częścią bardziej zaawansowanego ataku i może komunikować się na zewnątrz, wysyła zapisane dane do zdalnego komputera kontrolowanego przez atakującego. Chociaż termin „keylogger” jest zwykle stosowany w odniesieniu do szkodliwych narzędzi, istnieją również legalne narzędzia do monitorowania posiadające cechy keyloggera, które są stosowane przez organy ścigania.

Rodzaje keyloggerów

Istnieje wiele odmian tego oprogramowania, jednak zasadniczo można je podzielić na dwie główne kategorie: występujące w postaci programu i jako specjalny sprzęt. Znacznie częściej stosowane są keyloggery programowe, które zazwyczaj są elementem większego szkodliwego oprogramowania, np. trojana czy rootkita. Są one łatwiejsze do zainstalowania na wybranym komputerze, ponieważ nie wymagają fizycznego dostępu do niego. Typową cechą keyloggerów systemowych jest zdolność do podszywania się pod interfejs programistyczny aplikacji w systemie zaatakowanej maszyny, co w konsekwencji umożliwia śledzenie każdego naciśnięcia klawisza. Istnieją również keyloggery jądra, man-in-the-browser oraz wiele innych, bardziej złożonych.

Keyloggery sprzętowe są mniej powszechne, ponieważ wymagają fizycznego zamontowania, a następnie odmontowania z danego urządzenia. Niektóre warianty sprzętowe mogą zostać zaimplementowane już na etapie produkcji sprzętu (także w BIOS-ie), mogą również zostać zainstalowane na pendrive’ach USB lub występować w postaci fałszywych złączy klawiatury (pomiędzy przewodem klawiatury a komputerem). Pomimo że ten wariant jest trudniejszy do zainstalowania, może zwiększać elastyczność działania atakującego, ponieważ jest całkowicie niezależny od systemu.

Metody infekowania

Keyloggery programowe często są dostarczane na urządzenia jako składowa większego szkodliwego oprogramowania. Maszyny mogą zostać zainfekowane poprzez atak typu drive-by download przeprowadzony ze szkodliwej strony internetowej, który wykorzystuje istniejącą lukę na komputerze i instaluje szkodliwe oprogramowanie. W niektórych przypadkach keyloggery mogą być również zainstalowane jako cześć legalnego programu – poprzez zainfekowanie ścieżki pobierania lub dodanie szkodnika do samego programu. Keyloggery sprzętowe najczęściej są instalowane przez atakującego, który posiada dostęp fizyczny do komputera.

Wykrywanie i usuwanie

Wykrywanie szkodliwych keyloggerów nie jest takie proste z racji tego, że aplikacje te nie zachowują się zazwyczaj jak inne szkodliwe programy. Nie wyszukują na komputerze ofiary cennych danych i nie wysyłają ich do serwerów kontrolujących.  Co więcej, w odróżnieniu do innych szkodników przeważnie nie niszczą danych zapisanych na zainfekowanym urządzeniu. Keyloggery są zaprogramowane tak, aby ich obecność pozostała niezauważona. Produkty zabezpieczające przed szkodliwymi programami wykrywają i usuwają znane już warianty keyloggerów, lecz w przypadku ataku wersji niestandardowych lub zaprojektowanych do konkretnego działania mogą ich nie rozpoznać odpowiednio szybko (w zależności od aktywności szkodnika na zainfekowanym komputerze). Gdy użytkownik podejrzewa, że na jego urządzeniu znajduje się keylogger, może spróbować go przechytrzyć, uruchamiając system za pomocą dysku CD, przenośnej pamięci USB lub używając wirtualnej klawiatury dotykowej, która chroni dane wprowadzane przez standardową klawiaturę.

Zostań naszym fanem!