###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Защита от кейлоггеров. COVERT — защита от элитных клавиатурных шпионов (кейлоггеров)

    23.04.2019 Ios

    Программный кейлоггер

    • англ. keylogger
    • англ. key logger
    • англ. keystroke logger
    • англ. key recorder
    • англ. key trapper
    • англ. key capture program
    • англ. key snooper
    • русск. кейлоггер

    Аппаратный кейлоггер

    • англ. keystroke recording device
    • англ. hardware keylogger
    • русск. аппаратный кейлоггер

    Виды информации, которые могут контролироваться

    • нажатия клавиш на клавиатуре
    • нажатия клавиш мышки
    • дата и время нажатия

    Классификация

    по типу

    Программные кейлоггеры принадлежат к той группе программных продуктов, которые осуществляют контроль над деятельностью пользователя персонального компьютера. Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (Log-файл), который впоследствии изучался человеком, установившим эту программу. Log-файл мог отправляться по сети на сетевой диск, ftp сервер в сети Интернет, по Email и т.д. В настоящее время программные продукты, сохранившие "по старинке" данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, перехват буфера обмена, "фотографирование" снимков экрана и активных окон, ведение учета всех полученных и отправленных Email, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и т.д., т.е. они, на самом деле, относятся к совершенно другому классу программных продуктов, а именно к мониторинговым программным продуктам .

    Аппаратные кейлоггеры представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Они регистрируют все нажатия клавиш, сделанные на клавиатуре. Процесс регистрации абсолютно невидим для конечного пользователя. Аппаратные кейлоггеры не требуют установки какой-либо программы на компьютере, чтобы успешно перехватывать все нажатия клавиш. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Время его работы не ограничено, т.к. он не требует для своей работы дополнительного источника питания. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 20 миллионов нажатий клавиш, причем с поддержкой юникода. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита. В зависимости от места прикрепления аппаратные кейлоггеры подразделяются на внешние и внутренние.

    Акустические кейлоггеры представляют собой аппаратные устройства, которые вначале записывают звуки, создаваемые пользователем при нажати на клавиши клавиатуры компьютера, а затем анализирующие эти звуки и преобразовывающие их в текстовый формат.

    по месту хранения Log файла

    • жесткий диск
    • память
    • реестр
    • расшаренный, т.е. общедоступный (shared) сетевой диск
    • удаленный сервер

    по методу отправки Log файла

    • e-mail (без участия пользователя)
    • ftp (без участия пользователя)
    • http (https - безопасное соединение по Интернет) (без участия пользователя)
    • любой вариант беспроводной связи (радиодиапазон, инфракрасный диапазон, Bluetooth, WiFi и т.п.)
    • по локальной сети

    по методу применения

    Только метод применения кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет увидеть грань между управлением безопасностью и нарушением безопасности .

    Несанкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Несанкционированно применяемые кейлоггеры (программные или аппаратные) именуются как или шпионские устройства. Несанкционированное применение, как правило, связано с незаконной деятельностью (illegal activity). Как правило, несанкционированно устанавливаемые шпионские программные продукты имеют возможность конфигурирования и получения "скомплектованного" исполнимого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране, а также имеют встроенные средства доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя, т.е. процесс инсталлирования происходит без непосредственного физического доступа к компьютеру пользователя и зачастую не требует наличия прав администратора системы;

    Санкционированное применение - установка кейлоггера (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые кейлоггеры (программные или аппаратные) именуется как мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs и т.п.) Как правило, санкционированно устанавливаемые программые продукты требуют физического доступа к компьютеру пользователя и обязательного наличия прав администратора для конфигурирования и инсталляции;

    по включению в сигнатурные базы

    Известные кейлоггеры. К данной категории кейлоггеры, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

    Неизвестные кейлоггеры. К данной категории относятся кейлоггеры, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:

    • кейлоггеры (модули), разрабатываемые под эгидой различных правительственных организаций;
    • кейлоггеры (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы;
    • кейлоггеры, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды кейлоггеров, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру кейлоггера;
    • коммерческие, особенно, включенные в качестве модулей в корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может способствовать в превращению последнего в шпионский программный продукт , который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
    • кейлоггеры, представляющие собой модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

    Цели применения

    Санкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет владельцу (администратору безопасности) автоматизированной системы или владельцу компьютера:

    • определить все случаи набора на клавиатуре критичных слов и словосочетаний, передача которых третьим лицам приведет к материальному ущербу;
    • иметь возможность получить доступ к информации, хранящейся на жестком диске компьютера, в случае потери логина и пароля доступа по любой причине (болезнь сотрудника, преднамеренные действия персонала и т.д.);
    • определить (локализовать) все случаи попыток перебора паролей доступа;
    • проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить что набиралось на клавиатуре в данное время;
    • исследовать компьютерные инциденты;
    • проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
    • восстановить критическую информацию после сбоев компьютерных систем;

    Применение модулей, включающих в себя кейлоггер, разработчиками коммерческих программных продуктов, позволяет последним:

    Несанкционированное применение кейлоггеров (в том числе аппаратных или программных продуктов, включающих в себя кейлоггер в качестве модуля) позволяет злоумышленнику:

    • перехватывать чужую информацию, набираемую пользователем на клавиатуре;
    • получить несанкционированный доступ к логинам и паролям доступа в различные системы, включая системы типа «банк-клиент»;
    • получить несанкционированный доступ к системам криптографической защиты информации пользователя компьютера - парольным фразам;
    • получить несанкционированный доступ к авторизационным данным кредитных карточек;

    Методы защиты от несанкционированно установленных кейлоггеров

    Защита от "известных" несанкционированно установленных программных кейлоггеров:

    • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

    Защита от "неизвестных" несанкционированно установленных программных кейлоггеров:

    • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.

    Защита от "известных" и "неизвестных" несанкционированно установленных программных кейлоггеров включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

    • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
    • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

    Защита от несанкционированно установленных аппаратных кейлоггеров:

    • тщательный внешний и внутренний осмотр компьютерных систем;
    • использование виртуальных клавиатур;

    Ссылки

    • HARDWARE KEYLOGGER PS/2 and USB Example of Hardware Keylogger PS/2 and USB
    • Keylogger.Org Независимое сравнение самых популярных кейлоггеров
    • First Step Data Capture - Key Stroke Loggers Кейлоггеры - первый шаг сбора данных. SANS Institute.
    • W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя модуль программного кейлоггера.
    • Наблюдаемость вычислительных систем как неотъемлемая часть комплекса средств защиты в автоматизированной системе
    • The Extent of Systematic Monitoring of Employee E-mail and Internet Use Обзор мониторинговых программных продуктов, применяемых для контоля за действиями сотрудников в корпорациях США. Andrew Schulman
    • Computer And Internet Surveillance in the Workplace: Rough Notes Компьютерное и интернет наблюдение за рабочими местами. Andrew Schulman
    • Детальное описание конструкции аппаратного кейлоггера

    Некоторые основные разновидности компьютерных вирусов. Сегодня мы поговорим с вами про еще одну категорию вирусов – кейлоггеры, про которые обычные пользователи знают очень мало.

    В переводе с английского Keylogger (Keyboard Logger) обозначает «клавиатурный регистратор». Однако на самом деле кейлоггер является программой-шпионом, отслеживающей все происходящие с клавиатурой действия.

    Попав на компьютер пользователя, программы-кейлогеры перехватывают вводимую информацию и отправляют ее злоумышленникам. Другими словами вы, ничего не подозревая, можете отдать в чужие руки свои логины и пароли, а также данные банковских карт.

    Опасность кейлоггеров в том, что многие антивирусные приложения не расценивают их как вредоносные программы. Для их обнаружения часто требуется специализированное программное обеспечение или дополнительные модули для вашего основного антивируса.

    Принципы работы программных кейлоггеров

    В основу работы данного вида вредоносных программ положен один общий принцип – они должны встать по пути прохождения сигнала от момента нажатия клавиши до появления символа на мониторе. Кейлоггеры используют следующие технические методы:

    Аппаратные кейлоггеры

    Помимо рассмотренных нами программных, существуют также и аппаратные кейлоггеры, которые невозможно обнаружить программным путем:

    • Дополнительный «переходник» между клавиатурой и корпусом компьютера;
    • Встроенное в клавиатуру устройство;
    • Миниатюрная видеокамера, снимающая клавиатуру;
    • Неизвестное USB-устройство и др.

    Кстати: кейлоггеры обоих типов могут быть вполне легальными, и использоваться для:

    • Родительского контроля;
    • Слежения за использованием рабочего времени сотрудниками компании;
    • Служб безопасности
    • Ревнивых супругов.

    Как не стать жертвой кейлоггера

    Чтобы защититься от рассматриваемого типа вредоносных программ, следует соблюдать несложные правила:

    • Активируйте в вашем антивирусе функцию обнаружения потенциально опасных программ (она обычно отключена по умолчанию);
    • Для доступа к банковским данным пользуйтесь двухфакторной идентификацией или одноразовым паролем.
    • Используйте проактивную защиту;
    • Для ввода важных данных пользуйтесь виртуальной клавиатурой.

    В этой статье мы рассмотрим такой очень важный вопрос, особенно в наше неспокойное время - что такое кейлоггер или как его ещё называют клавиатурный шпион.

    Изначально они имели простой функционал вроде - запись всех нажатий клавиш в специальный файл и впоследствии извлечение из этого файла злоумышленниками, паролей, логинов и другой подобной информации. Потом же список функций заметно расширился.

    Сейчас они могут не только фиксировать клавиатурные нажатия, но и:

    1. Регистрировать список запущенных приложений
    2. Записывать историю посещения интернет сайтов (как её удалить читаем в статье как очистить историю посещений)
    3. Производить снимки экрана
    4. Контролировать содержимое буфера обмена
    5. Отмечать файлы, отправляемые на печать и так далее

    То есть, как можно видеть данные шпионы могут регистрировать всю деятельность пользователя, не оставляя без внимания почти ничего.

    С одной стороны данной программное обеспечение очень часто используется в незаконных целях. К примеру, деятельность для незаконного получения паролей, логинов и другой информации, как обычных пользователей, так и фирм и организаций.

    И применение их впоследствии в целях получения выгоды, в том числе и материальной. Но с другой стороны сегодня этот вид программ является легальным и может быть использован, в целях информирования не нанося никого вреда.

    К примеру, кейлоггеры могут быть полезны:

    • Администраторы организаций, фирм и так далее. В данных учреждениях, особенно имеющих важную экономическую, стратегическую и другую информацию, важно контролировать персонал на сохранении её в конфиденциальности.

    То есть получаем, данное семейство программ клавиатурных шпионов можно применять, как в хороших целях, так и в плохих незаконных, следствием, которых очень часто может стать не только административное, но и уголовное наказание. Теперь давайте разберём, техническую сторону этого вопроса. Дело в том, что кейлоггер в простом смысле — это шпион, в том числе и клавиатурный. Что это значит?

    Значит то, что крохотные незаметные программки, собирают важную информацию (пароли, историю посещений веб сайтов и так далее) о пользователе компьютера незаметно для него. Проблемным местом в данном вопросе является то, что их часто не видят антивирусы. Опасность в том, что они не всегда расценивают их, как запрещённое ПО и в результате чего, просто пропускают их без внимания.

    Есть много разновидностей кейлоггеров

    Причём написать их не так уж и сложно, чем и пользуются многие злоумышленники, внося время от времени различные изменения и нововведения.

    После тестирования более 60 распространённых кейлоггеров можно сделать такие выводы:

    • Метод работы. Большая часть клавиатурных шпионов использует самые примитивные методы сбора информации. То есть это говорит, о том, что при своей работе они никак не маскируются и имеют примитивную защиту. То есть понятно, обычный пользователь их скрытой работы не видит, но стоит только провести элементарную проверку и они элементарно вычисляются. Но, как мы наблюдали описания многих из них - все они якобы полностью незаметны, как видим это далеко не так.
    • Лишь около 10% имеют более сложную структуру работы, в том числе методы защиты.

    Что интересно есть так же и аппаратные кейлоггеры. То есть они устанавливаются не программно, а технически. К примеру, размещение шпиона непосредственно в самой клавиатуре. Это достаточно популярное устройство. Следующее, аппаратный кейлоггер может встраиваться прямо в кабель, при этом маскируется под удлинитель или фильтр.

    Но вернёмся к программным кейлоггерам. Это семейство клавиатурных шпионов очень разнообразно и очень часто, конкретный экземпляр может быть написан в единственном варианте профессиональным хакером для выполнения определённой задачи. Плюс то, что их достаточно легко скрыть от антивирусов, делает их очень опасной угрозой для личных данных.

    На борьбу с ними выступают такие типы программ:
    • Антикейлоггеры
    • Antispyware-приложения

    Самыми продуктивными являются антикейлоггеры. Они могут оградить почти от всех разновидностей кейлоггеров, в том числе от аппаратных. В этом можно убедиться по независимым результатам тестирования независимой организации Anti-Keylogger.Org.

    Что до антивирусов, то поначалу они могли обнаружить лишь те кейлоггеры, которые содержались в их базах. Но впоследствии начали выходить обновленные версии антивирусов, которые имели проактивную защиту. Она направлена на блокировку новых типов угроз, в том числе модификаций старых без наличия их в базах.

    Стоит отметить, что клавиатурные шпионы вирусами не являются, поскольку не могут размножить себя. В виду этого они именуются, как потенциально опасное программное обеспечение. Иногда функция обнаружения такого ПО может быть отключена в антивирусе, поэтому, если считаете, что лишняя осторожность не помешает то следуют её всё таки включить.

    Подытожив, можно сделать некоторые выводы

    Кейлоггеры достаточно простые в написание программы. Новые, изменённые версии появляются с завидной скоростью. В результате, чего выявление их силами антивирусов на основе имеющихся баз часто достаточно затруднительно.

    Наиболее эффективным методом борьбы с ними будет применение антикейлоггера. Но даже это не может гарантировать Вам полную защиту. Полностью очистить систему от клавиатурных шпионов можно лишь вручную, имея необходимые знания и опыт.

    В данной статье мы рассмотрели вопрос - что такое кейлоггер, для чего он используется, в чем его суть, как можно от него защититься.

    Доброго времени суток, всем тем, кто зашел к нам на "огонек". Сегодня речь пойдет о том, что есть keylogger и как оно вообще работает.

    Сегодня речь пойдет не о всем известных обычных «зловредах» ( , и т.п.), а о малознакомой (широкому кругу пользователей), но не менее опасной заразе, чем всякие другие.

    Разобраться, что это такое, для чего они не нужны (чем опасны), какие бывают и как с ними бороться, - вот поистине достойная цель, которую нам и предстоит сегодня осилить.

    Что ж, работы непочатый край, засучиваем рукава и вперед.
    Читаем.

    Вводная

    Думаю, те из Вас, кто дружит с английским, уже догадались, что keylogger (в переводе, от сокращения keyboard logger ) означает – клавиатурный регистратор, можно сказать, что это так и есть, однако официальное их название (по науке) – клавиатурные шпионы.

    Относится сия «нечисть» к классу – программ-шпионов, т.е. попадая на компьютер (ноутбук/нетбук/планшет и т.п.) пользователя, она выполняет свои грязные дела шпионские функции без Вашего на то ведома, согласия и участия.

    Выглядит это примерно так:

    Вы ничего не подключали, например, из дополнительных услуг своего сотового оператора и вообще знать ничего не знаете про эти услуги, однако денежки с Вашего баланса полегоньку списываются и поступают куда следует.

    Вообще, большинство пользователей недооценивают keylogger как класс угроз, а между тем он несет серьезную опасность, т.к. его главное назначение – сохранять и передавать логины с учетных записей пользователей, кошельков и т.д.

    По сути, keylogger фиксирует все действия пользователя на клавиатуре, т.е. это некий «репитер» (повторитель), готовый в любой момент «слить» (куда следует) все то, что он за Вами нафиксировал.

    Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» (hotkeys ) или, например, для переключения неправильной раскладки клавиатуры (как Keyboard Ninja ).

    Посмотрим на концепцию keylogger "ов глужбе

    Также стоит отметить, что современные клавиатурные шпионы не просто записывают коды вводимых клавиш – они "привязывают" клавиатурный ввод к текущему окну и элементу ввода.

    Многие же keylogger ’ы отслеживают список запущенных приложений, умеют делать "снимки" экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем.

    Хотите знать и уметь, больше и сами?

    Мы предлагаем Вам обучение по направлениям: компьютеры, программы, администрирование, сервера, сети, сайтостроение, SEO и другое. Узнайте подробности сейчас!

    Записываемая информация сохраняется на диске, и большинство современных клавиатурных шпионов могут формировать различные отчеты (записывая их в специализированный журнал регистрации, т.е Log -файл), могут передавать их или http/ .

    Кроме того, ряд современных keylogger ’ов пользуются RootKit- технологиями для маскировки следов своего присутствия в системе.

    В общем, вот такая многогранная «зараза», при наличии которой на Вашем компьютере Вы даже чихнуть спокойно не сможете без её ведома:)

    Примечание:
    Стоит сказать, что кейлоггеры довольно древний тип проклятия появились еще во времена MS-DOS – тогда они представляли собой обработчики прерывания клавиатуры размером около 1 кб.

    Однако функции клавиатурных шпионов за прошедшее время не изменились, – по-прежнему их первичной задачей является скрытная регистрация клавиатурного ввода с последующей записью собранной информации на диск или передачей по сети.

    Вы скажите, что сейчас на рынке куча антивирусных пакетов, как платных, так и бесплатных (о которых мы писали в своих обзорах, это и и и т.п.), неужели так сложно отловить какой-то «неказистый» клавиатурный шпион?

    Порой-таки да, сие весьма проблематично, ибо с точки зрения антивируса это не вирус (т.к. он не обладает способностью к размножению) и не троянская программа, поэтому многие «защитники» если и ловят кейлоггеры, то только со специальной, расширенной базой и дополнительными модулями, на то нацеленными.

    Другая проблема связана с тем, что кейлоггеров известно превеликое множество (да и написать его не составляет особого труда) - как следствие, сигнатурный поиск против них малоэффективен.

    Вообще, вариантов реализации клавиатурного шпиона преогромное множество, однако у всех них есть общий принцип работы,– это внедрение в процесс прохождения сигнала от нажатия клавиши до появления символа на экране.

    Самым распространенным вариантом реализации является кейлоггер, устанавливающий клавиатурные ловушки, хуки (с ударом в боксе нет ничего общего:)).

    В Windows хуком называется механизм перехвата сообщений системы, использующий особую функцию:

    • Для этой функции используют механизм Win32API . Большинство клавиатурных шпионов данного вида используют хук WH_Keyboard ;
    • Кроме хука WH_KEYBOARD используют также хук WH_JOURNALRECORD ;
    • Отличие между ними заключается в том, что WH_JOURNALRECORD не требуется наличия отдельной динамической библиотеки (DLL ), что упрощает распространение сей гадости по сети.

    Клавиатурные хуки считывают информацию с системной очереди аппаратного ввода, находящейся в системном процессе. Особую популярность данный метод приобрел в связи с тем, что фильтрующая ловушка позволяет перехватить абсолютно все нажатия клавиш, так как хук контролирует все потоки системы.

    Также для создания такого шпиона не требуется особых знаний, кроме знания Visual C++ или Delphi и Win32API . Однако использование данного способа вынуждает программиста-хакера создавать отдельную динамическую библиотеку DLL .

    Стоит сказать, что методика ловушек достаточно проста и эффективна, но у нее есть ряд недостатков. Первым недостатком можно считать то, что DLL с ловушкой отражается в адресное пространство всех GUI -процессов, что может применяться для обнаружения клавиатурного шпиона.

    Вариация 2. Периодический опрос состояния клавиатуры

    Примитивный до смешного метод, состоящий в циклическом опросе состояния клавиатуры с большой скоростью. Данный метод не требует внедрения DLL в GUI -процессы, и в результате шпион менее заметен.

    Недостатком клавиатурных шпионов такого типа является необходимость периодического опроса состояния клавиатуры с достаточно высокой скоростью, не менее 10-20 опросов в секунду.

    Этот метод применяется некоторыми коммерческими продуктами.

    Вариация 3. Клавиатурный шпион на базе драйвера

    Данный метод наиболее эффективен в сравнении с описанными выше. Возможны как минимум два варианта реализации этого метода – написание и клавиатуры вместо штатного или установка драйвера-фильтра. Этот метод (равно как и ловушка) является документированным методом слежения за клавиатурным вводом.

    Вообще, чтобы было нагляднее ориентироваться, какие кейлоггеры наиболее популярны, приведу примерный процент их распространенности (см. изображение выше).

    Вариация 4. Шпион-руткит

    Может реализовываться как в UserMode , так и в режиме ядра (KernelMode ). В UserMode слежение за клавиатурным вводом может быть построено за счет перехвата обмена процесса csrss.exe драйвером клавиатуры или при помощи слежения за вызовами API -функций типа GetMessage и PeekMessage .

    Во многих случаях от руткита-кейлоггера не спасает даже экранная клавиатура, которая часто преподносится как панацея от кейлоггера любого типа.

    Аппаратные клавиатурные устройства

    В последние годы получили страшное развитие, миниатюрнейшие размеры и чрезвычайную разумность. на вид их иногда сложно заметить, реже, - отличить от флешки, а в случае с банкоматами их вообще можно различать лишь профессионал.

    В старом варианте выглядело это как-то так:

    Т,е помимо программных средств шпионажа за работой пользователя существуют и аппаратные, которые обладают несомненным достоинством – их нельзя обнаружить программными методами.

    Варианты реализации аппаратных кейлоггеров:

    • Установка устройства слежения в "разрыв" кабеля клавиатуры;
    • Встраивание устройства слежения в клавиатуру;
    • Установка USB -устройства, вроде "флешки", карты памяти и тп;
    • Визуальное "наблюдение" за клавиатурой/экраном;
    • Прочее.

    Мило, не так ли? Надо признать, что такая гадость наиболее зловредна, но и подсадить её несколько сложнее, - она требует непосредственного физического доступа к устройству.

    Способы распространения кейлоггеров

    Не стоит ждать от клавиатурных шпионов эксцентричных способов распространения, они в целом такие же, как и у других вредоносных программ.

    Можно выделить следующие методы распространения кейлоггеров (без учета случаев покупки и установки их заботливым супругом/ой и использования кейлоггеров службами безопасности организаций):

    • При открытии файла, присоединенного к электронному письму;
    • При запуске файла из каталога, находящегося в общем доступе в peer-to-peer сети;
    • С помощью скрипта на веб-страницах, который использует особенности интернет-браузеров, позволяющие программам запускаться автоматически при заходе пользователя на данные страницы;
    • С помощью ранее установленной вредоносной программы, которая умеет скачивать и устанавливать в систему себе подобные аналоги.

    Ну и еще несколько. Для аппаратных, думаю, способ распостранения очевиден.

    Методики поиска клавиатурных шпионов

    Несмотря на всю изощренность клавиатурных шпионов для их «отлова» (поиска) существуют свои, довольно успешные методики. Приведем самые распространенные из них:

    1. Поиск по сигнатурам.
      Данный метод не отличается от типовых методик поиска вирусов. Сигнатурный поиск позволяет однозначно идентифицировать клавиатурные шпионы, при правильном выборе сигнатур вероятность ошибки практически равна нулю. Однако сигнатурный сканер сможет обнаруживать заранее известные и описанные в его базе данных объекты, так что эта база должна быть большой и ее нужно постоянно обновлять;
    2. Эвристические алгоритмы.
      Это методики поиска клавиатурного шпиона по его характерным особенностям. Эвристический поиск носит вероятностный характер, и он наиболее эффективен для поиска клавиатурных шпионов самого распространенного типа – основанного на ловушках, однако подобные методики дают много ложных срабатываний. Некоторые исследования показали, что существуют сотни безопасных программ, не являющихся клавиатурными шпионами, но устанавливающих ловушки для слежения за клавиатурным вводом и мышью. Наиболее распространенные примеры – программа , программное обеспечение от мультимедийных клавиатур и мышей;
    3. Мониторинг API-функций, используемых клавиатурными шпионами.
      Данная методика основана на перехвате ряда функций, применяемых клавиатурным шпионом, в частности, функций SetWindowsHookEx , UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState . Вызов данных функций каким-либо приложением позволяет вовремя поднять тревогу, однако проблемы многочисленных ложных срабатываний будут аналогичны методу 2 ;
    4. Отслеживание используемых системой драйверов, процессов и сервисов.
      Это универсальная методика, применимая не только против клавиатурных шпионов. В простейшем случае можно применять программы типа Kaspersky Inspector , которые отслеживают появление в системе новых файлов.

    Чаще всего, - это всё то, что касается методик поиска, теперь пройдемся по способам защиты как от программных, так и от аппаратных кейлоггеров.

    Обобщенные способы защиты от keylogger

    Большинство антивирусных компаний добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения:

    • Устанавливается антивирусный продукт;
    • Поддерживается актуальное состояние баз.

    Что, впрочем, помогает не всегда, ибо, т.к. большинство антивирусных продуктов относит кейлоггеры к классу потенциально опасного программного обеспечения, то следует удостовериться, что при настройках по умолчанию используемый антивирусный продукт детектирует наличие программ данного класса. Если это не так, то для их детектирования необходимо выставить подобную настройку вручную. Это позволит защититься от большинства широко распространенных кейлоггеров.

    Рассмотрим подробнее методы защиты с неизвестными кейлоггерами или кейлоггерами, изготовленными специально для атаки конкретной системы.

    Подробнее про методологию безопасности

    Так как основной целью использования клавиатурных шпионов является получение конфиденциальной информации (номера банковских карт, паролей и т.п.), то разумными методами защиты от них являются следующие:

    • Использование одноразовых паролей/двухфакторная аутентификация;
    • Использование систем проактивной защиты;
    • Использование виртуальных клавиатур;
    • Использование расширений для браузеров.

    Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться.

    Поэтому даже если такой пароль будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации.

    Аппаратная защита

    Для получения одноразовых паролей могут использоваться специальные аппаратные устройства:

    • В виде "брелка"-токена (например, Blizzard eToken ):

    • В виде «калькулятора»:

    В случае использования устройства генерации пароля в виде "брелка", алгоритм получения доступа к защищенной информационной системе таков:

    1. Пользователь подключается к интернету и открывает диалоговое окно для ввода персональных данных;
    2. Далее пользователь нажимает на кнопку ключа для генерации одноразового пароля, после этого пароль на 15 секунд появляется на ЖК -дисплее брелка;
    3. Пользователь вводит в диалоговом окне свой логин, персональный PIN -код и сгенерированное значение одноразового пароля (обычно PIN -код и ключ вводятся последовательно в одно поле passcode);
    4. Введённые значения проверяются на стороне сервера, после чего принимается решение о том, имеет ли право их владелец на работу с закрытыми данными.

    При использовании устройства в виде калькулятора для генерации пароля пользователь набирает свой PIN -код на клавиатуре устройства и нажимает кнопку.

    Наиболее разумное и современное решение

    Для получения одноразовых паролей могут также использоваться системы, основанные на отправке SMS с мобильного телефона, но это решение давно и прочно считается безопасниками не самым разумным и безопасным решением, поэтому рекомендуется, при прочих равных, избегать его использования.

    Но вообще говоря самым надежным вариантом сейчас являются системы двухфакторной авторизации основанной на генерации временных кодов.

    По сути они являются аппаратными, т.к для генерации используется отдельное устройство (телефон, планшет и тп) с установленным на него ПО, вроде .

    Немного про проактивную защиту

    Наиболее "распространенным" решением является использование систем проактивной защиты, которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

    Главный недостаток этого способа - необходимость активного участия пользователя для определения дальнейших действий с подозрительным кодом.

    • Если пользователь недостаточно технически подготовлен, из-за его некомпетентного решения кейлоггер может быть пропущен;
    • Если же участие пользователя в принятии решения системой проактивной защиты минимизировать, то keylogger может быть пропущен в следствии недостаточно жесткой политики безопасности системы.

    Вот такая палка о двух концах. И чуть чуть выделим еще кое-что.

    Виртуальная клавиатура как решение

    Последний из рассматриваемых способов защиты как от программных, так и от аппаратных кейлоггеров - использование виртуальной клавиатуры.

    Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши.

    В целом, экранная клавиатура плохо применима для обмана кейлоггеров, так как она создавалась не как средство защиты, а как средство помощи людям с ограниченными возможностями, и передача данных после ввода с помощью данной клавиатуры может быть очень легко перехвачена вредоносной программой.

    Экранная клавиатура может быть использована для того, чтобы обойти keylogger , однако, она должна быть разработана специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи (как правило, применяется алгоритм смены позиции кнопок и цифр, а так же шифрование конечного результата).

    Как искать клавиатурных шпионов

    Как бы хитры не были кейлоггеры, но и их можно обнаружить. Существует несколько способов.

    • Поиск по сигнатурам

    Этот метод позволяет точно определить наличие клавиатурных шпионов, правильный выбор сигнатур может свести вероятность ошибки к нулю. Но сигнатурный сканер способен обнаруживать уже известные и описанные в его БД объекты, поэтому это требует, чтобы база большой и постоянно обновлялась.

    • Эвристические алгоритмы

    Данный способ находит кейллогер по его характерным особенностям и позволяет обнаруживать стандартные клавиатурные ловушки. Как показывают исследования показали, сотни безопасных программ, не являющихся клавиатурными шпионами, устанавливают ловушки для слежения за мышью и вводом с клавиатуры. Например, известная программа Punto Switcher, ПО от мультимедийных клавиатур и мышей.

    • Мониторинг API-функций, который используют шпионы

    Способ основан на перехвате ряда функций, применяемых клавиатурными шпионами, таких, как SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.

    Отслеживание драйверов, процессов, сервисов, используемых системой

    Способ годится не только для отслеживания кейлоггеров. Самый простой вариант использования - применение программы типа Kaspersky Inspector, отслеживающей появление в системе новых файлов.

    Как защититься от кейлоггеров

    Зачастую, известные кейлоггеры уже добавлены в базу данных , и поэтому методика защиты такая же, как от любого вредоносного софта:

    • Установка антивирусного продукта;
    • Поддержка актуальной базы данных.

    Стоит заметить, большинство антивирусных программ относит кейлоггеры к классу потенциально опасного ПО, и тут необходимо уточниться, что в настройках по умолчанию антивирусный продукт детектирует наличие подобного рода программ. Если нет, то стоит произвести настройки вручную, чтобы защититься от большинства распространенных шпионов.

    Вообще, так как кейлогееры нацелены на шпионаж за конфиденциальными данными, то следует прибегнуть к следующим способам безопасности:

    Использование одноразовых паролей/двухфакторная аутентификация

    Использование систем проактивной защиты , позволяющей предупреждать пользователя об установке /активизации программыхкейлоггеров

    Использование виртуальной клавиатуры , представляющей клавиатуру на экране в виде изображения, позволяет защититься и от программных, и от аппаратных шпионов.

    Поиск и удаление клавиатурных шпионов

    Какими же способами защититься от этой нечистой силы?

    • Любая антивирусная программа
    • Утилиты с механизмами сигнатурного и эвристического поиска (например, AVZ).
    • Утилиты и программы, направленные на обнаружение клавиатурных шпионов и блокировку их работы. Такой способ защиты наиболее эффективен, так как данное ПО блокирует,какправило, практически все виды кейлоггеров.

    Стоит отметить, что софт, направленный на отлов клавиатурных шпионов, имеет две особенности: программное обеспечение такого рода по большей части платное и редко присутствует русский язык.

    К примеру, англоязычный бесплатный софт Advanced Spyware Remover - избавляет от рекламных программ, звонильщиков, программ-шпионов, кейлоггеров, и т.д.

    Установка стандартная, следует нажимать «Далее», ошибиться сложно. После установки предлагается запустить программу. Для сканирования жмем «Scan Now».

    Правда, стоит заметить, что программа не обновлялась 3 года.

    А вообще, данныя программа проводит проверку системного реестра на наличие в нем ключей вредоносных программ. Утилита имеет некоторые функциональные возможности, тем самым позволяя отображать список загружаемых программ при старте операционной системы (“HiJack Scan→Startup“), выводить список сервисов, показывать активные порты, просмотривать “куки” Internet Explorer и др. После сканирования появится подобное окно:

    Если обратить внимание на что-то посвежее, то можно воспользоваться Spyware Terminator 2012 (правда, небезвозмездно). Утилита способна обнаружить и удалить почти все виды вредоносного ПО. Встроенная система безопасности активирует защиту приложений и системы, мониторит утилиты, непосредственно взаимодействующие с сетью.

    • перехвата буфера обмена,
    • перехвата нажатий клавиатуры,
    • перехвата текста из окон

    и многое другое. Anti-keylogger не использует сигнатурные базы, так как базируется только на эвристических алгоритмах. Anti-keylogger способна защитить от целенаправленных атак, которые весьма опасны и популярны у киберпреступников. Особенно эффективно в борьбе с клавиатурными шпионами, основанными на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.

    Anti-keylogger имеет бесплатный вариант, ограниченный временем использования – 10 рабочих сессий, каждая по 2 часа, что вполне достаточно для проверки ПК за один раз.

    Итак, что же имеем:

    1. Кейлоггеры позиционируются как легальное ПО, но многие из могут быть использованы для кражи персональной информации пользователей.
    2. Сегодня кейлоггеры, вместе с фишингом и и т.п., стали одним из основных методов электронного мошенничества.
    3. Отмечается рост числа вредоносных программ с функциональностью кейлоггеров.
    4. Распространение программных кейлоггеров на основе rootkit-технологий, что делает их невидимыми для пользователя и антивирусных сканеров.
    5. Для обнаружения факта шпионажа с помощью клавиатурных шпионов требуется использование специализированных средств защиты.
    6. Необходимость в многоуровневой защите (антивирусные продукты с функцией детектирования опасного ПО, средства проактивной защиты, виртуальная клавиатура).

    Оставьте свой комментарий!