Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1924 подписчика

Что такое кейлоггер?

8 мин
Кейлоггеры остаются популярным инструментом в кибератаках. Узнайте, что такое кейлоггер, как он работает (аппаратный и программный), какие данные собирает и как защититься от этого вида шпионского ПО. — csoonline.com Несмотря на то что кейлоггеры существуют уже много лет, они по-прежнему популярны и часто используются в рамках масштабных кибератак. Термин Keylogger (кейлоггер) обозначает тип программного обеспечения для слежения, которое записывает нажатия клавиш пользователем. Вредоносное ПО отправляет данные, собранные в процессе кейлоггинга, третьей стороне. Киберпреступники используют кейлоггеры для получения личных данных или конфиденциальной финансовой информации, которую затем могут продать или использовать иным образом с выгодой. Однако существуют и легитимные сценарии использования кейлоггеров в компаниях — например, для устранения неполадок, оптимизации удобства использования или для законного мониторинга сотрудников (в зависимости от применимого законодательства). Кроме того
Оглавление

Кейлоггеры остаются популярным инструментом в кибератаках. Узнайте, что такое кейлоггер, как он работает (аппаратный и программный), какие данные собирает и как защититься от этого вида шпионского ПО. — csoonline.com

Несмотря на то что кейлоггеры существуют уже много лет, они по-прежнему популярны и часто используются в рамках масштабных кибератак.

Кейлоггеры – Определение

Термин Keylogger (кейлоггер) обозначает тип программного обеспечения для слежения, которое записывает нажатия клавиш пользователем. Вредоносное ПО отправляет данные, собранные в процессе кейлоггинга, третьей стороне.

Киберпреступники используют кейлоггеры для получения личных данных или конфиденциальной финансовой информации, которую затем могут продать или использовать иным образом с выгодой. Однако существуют и легитимные сценарии использования кейлоггеров в компаниях — например, для устранения неполадок, оптимизации удобства использования или для законного мониторинга сотрудников (в зависимости от применимого законодательства). Кроме того, правоохранительные органы и спецслужбы используют кейлоггинг в целях наблюдения. Подробнее об этом читайте в разделе «Сферы применения».

Кейлоггеры – Принцип работы

«Кейлоггеры — это программы, которые используют алгоритмы для мониторинга нажатий клавиш посредством распознавания шаблонов и других методов», — объясняет Том Бэйн, вице-президент по стратегии безопасности в Morphisec. Объем информации, собираемой программным обеспечением кейлоггера, может варьироваться: простые формы фиксируют только данные, вводимые на (одном) веб-сайте или в приложении. Высокоразвитые программы кейлоггинга, напротив, записывают всё (включая данные, полученные при операциях копирования-вставки), независимо от приложения. Некоторые варианты кейлоггеров — особенно нацеленные на мобильные устройства — идут дальше и записывают звонки (как историю звонков, так и аудио), информацию из мессенджеров, GPS-координаты, скриншоты и даже записи с микрофона и камеры.

Кейлоггеры могут быть основаны на аппаратном или программном обеспечении:

  • Аппаратные кейлоггеры просто подключаются между клавиатурой и компьютером.
  • Программные кейлоггеры могут представлять собой приложения или инструменты, установленные легально или нелегально, в последнем случае заражая устройство вредоносным ПО без ведома пользователя.

Данные, собранные в процессе кейлоггинга, отправляются программным обеспечением обратно злоумышленнику по электронной почте или путем загрузки лог-файлов на заранее определенные веб-сайты, в базы данных или на FTP-серверы. Если кейлоггер является инструментом в крупной кибератаке, весьма вероятно, что преступники смогут войти через удаленный доступ для загрузки данных о нажатиях клавиш.

Кейлоггеры – Сферы применения

Первые кейлоггеры были использованы советскими спецслужбами еще в 1970-х годах (подробнее об этом позже). Эти ранние кейлоггеры также записывали то, что печаталось, и отправляли информацию по радиосигналам обратно в КГБ.

Как киберпреступники используют кейлоггеры

Сегодня кейлоггеры входят в стандартный арсенал киберпреступников для кражи финансовой информации, такой как банковские данные и данные кредитных карт, личной информации, такой как адреса электронной почты, пароли, или конфиденциальной деловой информации о процессах и интеллектуальная собственность. В зависимости от типа собранных данных (и мотивов злоумышленников) информация выставляется на продажу на рынках даркнета или повторно используется в рамках более крупной атаки.

«Если кейлоггер способен записывать нажатия клавиш системного администратора в крупной компании, это открывает злоумышленнику доступ к конечным точкам и серверам, которые, в свою очередь, могут раскрыть много конфиденциальной информации, которую можно превратить в деньги», — объясняет специалист по безопасности Бэйн.

Кейлоггеры на рабочем месте

Существует также большой рынок легальных приложений для кейлоггинга, хотя они часто вызывают этические вопросы. Их можно использовать, например, для слежки за членами семьи, партнерами или сотрудниками. Если пользователь устройства знает, что на нем запущено шпионское ПО, это во многих странах является законным. Однако приложения, собирающие информацию о поведении на работе, следует использовать с осторожностью не только по моральным, но и по соображениям безопасности. Например, поставщик шпионского ПО mSpy был уличен в непреднамеренной публикации миллионов наборов данных жертв слежки в нескольких случаях.

Программное обеспечение для мониторинга такого рода, иногда называемое «Корпоративный кейлоггинг», может быть полезно для тестирования, отладки и улучшения пользовательского опыта. «В надежной среде кейлоггеры, например, используются для проверки соблюдения норм ИТ-безопасности и комплаенса», — говорит Саймон Шарп, международный вице-президент у поставщика решений в области безопасности ObserveIT. «Администратор может немедленно определить, кто ввел определенное слово или значение, связанное с инцидентом безопасности. Таким образом, он может понять, кто, когда и почему нарушил политику».

ИТ-отдел может использовать данные о нажатиях клавиш для выявления и устранения проблем пользователей. Кроме того, данные кейлоггинга могут предоставить дополнительные криминалистические сведения после инцидента безопасности. Кейлоггеры также могут использоваться для выявления потенциальных инсайдеров, мониторинга производительности сотрудников или обеспечения того, чтобы ИТ-ресурсы компании использовались только в рабочих целях. Все собранные данные кейлоггинга должны шифроваться.

Кейлоггеры – Пути заражения

Существует несколько способов размещения кейлоггеров на целевой системе. Аппаратные кейлоггеры требуют физического присутствия злоумышленника. Это, как правило, сложно осуществить, но не невозможно. Кстати, беспроводные клавиатуры также могут прослушиваться удаленно.

Программные кейлоггеры более распространены и открывают несколько путей доступа:

  • Инфицированные домены — распространенный метод атаки: в октябре 2018 года домены .com и .eu офисного онлайн-ПО Zoho были заблокированы после того, как они доставили вредоносное ПО для кейлоггинга пользователям. Тысячи веб-сайтов WordPress также были заражены кейлоггерами через поддельные скрипты Google Analytics.
  • Приложения, зараженные вредоносным ПО, также являются проблемой. Google Play Store в прошлом неоднократно сталкивался с приложениями, содержащими кейлоггеры.
  • Как и многие другие виды вредоносного ПО, кейлоггеры часто встраиваются в фишинговые электронные письма. Например, одна из версий кейлоггера HawkEye распространялась через кампанию по электронной почте с зараженными документами Word.
  • Некоторые другие варианты кейлоггеров, такие как Fauxspersky, могут распространяться через зараженные USB-накопители.

«Самое большое новшество в кейлоггерах — это встроенные методы уклонения, которые позволяют обойти механизмы обнаружения, такие как антивирусное ПО», — говорит Бэйн. По словам эксперта, многие кейлоггеры теперь поставляются в сочетании с программами-вымогателями, вредоносным ПО для криптомайнинга или кодом ботнета.

6 способов обнаружить и удалить кейлоггеры

Следующие советы представляют собой наиболее эффективные шаги для минимизации последствий нежелательных кейлоггеров:

1. Мониторинг ресурсов, процессов и данных

Чтобы найти кейлоггер, может быть полезно проанализировать распределение ресурсов, фоновые процессы и данные, передаваемые с соответствующего устройства. Для работы кейлоггерам обычно требуется root-доступ к целевому компьютеру — это также верный признак заражения кейлоггером.

2. Обновление защиты

Поскольку кейлоггеры часто поставляются в комплекте с другими формами вредоносного ПО, обнаружение вредоносного ПО для кейлоггинга может указывать на более масштабную атаку. Актуальные антивирусные решения и средства защиты от руткитов удаляют известное вредоносное ПО для кейлоггинга. Тем не менее, рекомендуется провести дополнительное расследование, чтобы определить, было ли это событие частью более крупной атаки.

3. Использование антикейлоггерного ПО

Специализированное антикейлоггерное ПО шифрует нажатия клавиш, ищет известные кейлоггеры и удаляет их. Оно также подает сигнал тревоги при обнаружении необычного поведения, похожего на кейлоггер. Полезно также заблокировать root-доступ для неавторизованных приложений и внести известные шпионские программы в черный список ИТ-отдела.

4. Использование виртуальных клавиатур

Виртуальные экранные клавиатуры снижают риск заражения кейлоггером, поскольку они передают информацию иначе, чем физические клавиатуры. Однако это может сказаться на продуктивности пользователей. Кроме того, это не защищает от всех типов кейлоггеров и не устраняет первопричину проблемы.

5. Отключение автозапуска файлов

Риск заражения кейлоггером также можно снизить, отключив автозапуск файлов на внешних подключаемых устройствах, таких как USB-накопители, и ограничив копирование файлов на внешние компьютеры и с них.

6. Внедрение строгих политик

Лучший способ для компаний защититься от вредоносного ПО для кейлоггинга — это многоуровневые политики паролей и многофакторная аутентификация для всех учетных записей и устройств компании. В случае кейлоггинга средней антивирусной технологии уже недостаточно.

История кейлоггеров – известные примеры

  • Старейший известный кейлоггер появился еще до компьютерной эры: в 1970-х годах советские спецслужбы разработали устройство, которое можно было спрятать в электрических пишущих машинках IBM и которое передавало информацию о нажатиях клавиш по радио. Эти ранние кейлоггеры использовались в посольствах США в Москве и Ленинграде.
  • Первый компьютерный кейлоггер был разработан в 1983 году тогдашним аспирантом Перри Киволовицем в качестве доказательства концепции.
  • Особенно примечательный пример кейлоггера «в дикой природе» был распространен в 2015 году «в комплекте» с модификацией для видеоигры Grand Theft Auto V распространялся.
  • В 2017 году стало известно, что сотни моделей ноутбуков Hewlett-Packard поставлялись с кейлоггером. Однако компания настаивала на том, что это был инструмент для диагностики производительности клавиатуры, который должен был быть удален до отгрузки.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Dan Swinhoe

Оригинал статьи

Кибербезопасность
25,6 тыс интересуются