Кейлоггер: что это такое, цели применения, как от него защититься. Клавиатурный шпион. Способы внедрения клавиатурных шпионов в систему. Каким же образом keylogger распространяются
До сего дня мы рассматривали противодействие скрытному наблюдению за вами, осуществляемому с помощью относительно простых и распространённых средств. Давайте теперь посмотрим, как с помощью COVERT справиться с более сложными и мощными средствами кибер-шпионажа.
Антивирусное и анти-шпионское ПО должно регулярно обновлять свои базы данных, содержащие информацию о вирусах, троянах и другом зловредном ПО. И с появлением новой, ещё неизвестной угрозы, может пройти довольно значительное время, прежде чем новый зловред будет внесён в эти базы. А значит, ваш компьютер в это время будет находиться без защиты от keylogger. А что будет, если нет возможности внести зловредное ПО в базу данных, если такой компьютерный шпион постоянно меняется и мутирует?
Именно этим качеством обладают элитные клавиатурные шпионы. Они абсолютно невидимы. Сложнейшие программные кейлоггеры работают в скрытом режиме, и их невозможно обнаружить никакими анти-кейлоггерами, и тем более – антивирусами. Ядро такой шпионской программы обновляется ежедневно. Внутренний код элитного кейлоггера меняется постоянно, и никто, кроме кибер-преступника, установившего такой кейлоггер, не знает о том, что компьютер находится под наблюдением. В этом случае пасует любое классическое защитное ПО, будь то антивирусы, антикейлоггеры, антируткиты итп.
Как обнаружить элитного кейлоггера Elite Keylogger или другого шпиона, работающего на основе драйвера файловой системы в режиме ядра в вашем компьютере?
Запустите программу COVERT, нажмите на кнопку «Драйверный монитор».
В открывшимся окне, все пункты списка активных драйверов файловой системы должны быть выделены зелёным цветом. Это строки с именами драйверов и их адресами в системе, которые или являются системными, или одобрены разработчиком. Также зелёным выделены драйвера, которые одобрил сам пользователь.
В случае если у вас всё выглядит именно так, смело заходите в платформу защиты, нажав на большую кнопку с надписью COVERT в главном окне программы. И знайте, что в вашей системе нет активных шпионов, которые бы использовали драйвера в режиме ядра.
А вот что вы увидели бы в окне драйверного монитора, если бы вам кто-то установил на компьютер профессиональный кейлоггер Elite Keylogger.
Появился новый активный драйвер, он выделен желтым цветом. (Желтым цветом будут выделены драйвера, не внесённые в разрешённую базу и не относящиеся к в системным). Это говорит о том, что у вас в системе появился неизвестный драйвер, и его нужно проверить. Нажмите на него правой кнопкой мыши и в контекстном меню выберите пункт «Искать информацию в Интернет».
На специальном сервере, где собрана информация обо всех системных и известных файлах, вы получите ответ о происхождение этого драйвера. Если есть информация о программе, к которой он относится, известна компания-разработчик, и путь его установки совпадает с тем, по которому он находиться у вас, вы можете добавить его «Разрешённую базу», используя контекстное меню. После обновления списка он станет зелёным, одобренным драйвером. Но информации может и не быть, как в нашем случае.
«No Results» — в базах системных и известных драйверов такой файл не был обнаружен. Всё верно:это – драйвер программы-шпиона Elite Keylogger. Запоминать его название не стоит, так как при каждой установке на ваш или любой другой компьютер он генерирует новые имена и обновляет внутренний код программы, никогда не повторяясь. Благодаря этой особенности внести его в базу антивирусов или антишпионов просто невозможно. Именно поэтому его называют «элитным шпионом». Такие шпионы могут находиться на компьютерах пользователей долгие годы, не будучи обнаруженными классическими методами защиты.
Но для программы COVERT обнаружение таких шпионов – не проблема. Мы буквально за несколько секунд выявили существующую угрозу на нашем компьютере, и поверьте: для программы-маскировщика COVERT не имеет значения, ни название шпионского ПО, ни его внутренний функционал. COVERT не работает с базами зловредного ПО, определяя шпионское ПО по совершенно другим критериям. Никакой драйвер, не являющийся системным и не принадлежащий ни одной компании на земле не должен находиться в вашей системе. Тем более, если он появился внезапно.
Шпионская угроза в виде драйвера файловой системы обнаружена, теперь посмотрим, как от неё избавиться.
Нажмите на неизвестный драйвер правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».
Высветится сообщение с предупреждением об опасности такого рода действий.
Если вы уверены в своих действиях — нажимайте кнопку «Да».
После удаления шпионского драйвера перезагрузите компьютер и посмотрите снова в «Драйверном мониторе»: все пункты списка «Активных драйверов» должны быть зелёными. Если это так, шпион Elite Keylogger обезглавлен, он не сможет работать и тем более угрожать потерей информации внутри защищённой платформы COVERT.
PS. Если у вас есть COVERT – элитные шпионы становятся не такими уж и элитными .
В переводе с английского языка Keylogger - это регистратор нажатий клавиш. В большинстве статей можно найти следующую формулировку слова кейлоггер:
Что такое кейлоггер?
Кейлоггер (клавиатурный шпион) - небольшая программа, главным назначением которой является на клавиатуре и ведение журнала этих нажатий. Данное определение на самом деле не совсем правильно, так как в качестве кейлоггеров, клавиатурного шпиона может использоваться как программные, аппаратные так и акустические кейлоггеры.
В данной статье мы будем говорить о том какие существуют типы кейлоггеров. О плюсах и минусах каждого такого устройства и будем давать рекомендации в выборе клавиатурного шпиона.
Аппаратный кейлоггер
Аппаратные кейлоггеры встречаются намного реже, чем их программные собратья, но при защите конфиденциальных данных ни в коем случае не стоит забывать о них.
Аппаратный кейлоггер
Аппаратные кейлоггеры бывают внешние — они выглядят как обычное компьютерное оборудование, и внутренние, которые устанавливаются, непосредственно, в саму клавиатуру. Кейлоггер может работать неограниченное количество времени, так как для его работы не нужен дополнительный источник питания. Такой аппаратный кейлоггер может сохранять до 20 млн. нажатий клавиш.
Минусы:
- Нет возможности установить удалённо
- Ограничение памяти
- Для получения отчёта требуется физической доступ к компьютеру (если модель без Wi-Fi-модуля)
- Может быть использован только в тех случаях когда жертва не разбирается в компьютерном оборудовании
Плюсы:
- Клавиатурный шпион который не видят программные антивирусы и антишпионы
- Не высокая цена по сравнению с акустическими кейлоггерами (но программные клавиатурные шпионы дешевле)
- Передача отчетов через встроенный Wi-Fi (не во всех моделях)
Данные тип кейлоггеров используют секретные службы, шпионы и разведчики. Такие кейлоггеры представляют собой довольно большие по своим габаритам аппаратные устройства, которые предварительно записывают звуки, создаваемые пользователем за компьютером при нажатии на клавиши клавиатуры, а впоследствии анализируют эти звуки и преобразовывают их в текстовый формат
Минусы:
- Высокая цена
- Приобретение данного оборудования не законно
- Большой размер
- Бывают ошибки точности распознавания системы акустического криптоанализа
- Нет в свободной продаже
Плюсы:
- Кейлоггер который не видят программные антивирусы и антишпионы
- Работает на расстоянии
- Не требуется физический доступ к компьютеру
Программный кейлоггер
Программные кейлоггеры самые распространённые на рынке клавиатурных шпионов. Перехват нажатий клавиш на клавиатуре может применяться обычными приложениями и часто используется для вызова функций приложения из другой программы с помощью «горячих клавиш» (hotkeys) или, к примеру, для переключения неверной раскладки клавиатуры (как это реализовано в программах Punto Switcher и Keyboard Ninja).
Надо отметить, что клавиатурные шпионы довольно старый тип шпионских программ, который появилися еще во времена MS-DOS – в то время они представляли собой обработчики прерывания клавиатуры размером около 1 килобайта. Однако функции кейлоггеров за прошедшее время не сильно изменились – по-прежнему их основной задачей является скрытное фиксирование клавиатурного ввода с дальнейшей записью собранной информации на жесткий диск или передачей по сети.
Существует большое количество легального программного обеспечения, которое применяется админами для в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем рабочем или домашнем компьютере. Но где проходит граница между «законным» использованием «легального» ПО и его использованием в преступных целях? То же «легальное» ПО нередко применяется и в целях умышленного похищения конфиденциальной информации - к примеру, логинов и паролей.
Программный кейлоггерОсновная масса существующих на сегодняшний день кейлоггеров считаются легальными и продаются в сети в свободной продаже, так как создатели такого программного обеспечения декларируют множество оснований для применения клавиатурных шпионов, например:
- для родителей: отслеживание за действиями детей в сети и оповещение родителей в случае попыток зайти на страницы «18+» (родительский контроль);
- для ревнивых мужей и жен: наблюдение за действиями своей второй половины в сети в случае сомнения и подозрения на «виртуальную измену»;
- для службы безопасности разных организаций: отслеживание прецедентов нецелевого применения персональных компьютеров, их использования в нерабочее время;
- для службы безопасности компаний: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну данной компании, и разглашение которых способно привести к материальному или другому ущербу;
- для различных секретных служб и правоохранительных органов: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров;
Большое количество сегодняшних клавиатурных шпионов скрывают себя в системе (т.к. имеют ), что на много упрощает их внедрение и последующее использование. Это делает задачу выявления клавиатурных шпионов одной из приоритетных для антивирусных компаний.
В классификации вредоносных программ «Лаборатории Касперского» под кейлоггеры отведена специальная категория Trojan-Spy (скрытые шпионские программы), в которую входят программы, включающие в себя функции клавиатурных шпионов. Согласно определению Лабаратории Касперского Trojan-Spy, это программы которые осуществляют электронный шпионаж.
Минусы:
- Некоторые кейлоггеры занесены в сигнатурную базу данных антивирусов и определяются ими как вредонос, из-за этого в процессе работы могут быть удаленны.
Плюсы:
- Большой выбор
- Техническая поддержка разработчиков
- Для установки кейлоггера и получения отчётов не требуется наличие физического доступ к компьютеру
Какой кейлоггер лучше?
Для того чтобы отследить чем занимаются дети в ваше отсутствие или с кем общается жена или муж по интернету, вам хватит программного кейлоггера. На мой взгляд у такого типа кейлоггеров больше плюсов чем минусов, особенно в ситуации когда у вас есть возможность установить (в некоторых случаях настройка антивируса для работы с кейлоггером) и читать логи в спокойной обстановке, когда дома никого нет.
Какой выбрать кейлоггер решать вам. Главное не забывать что в некоторых случаях использование клавиатурных шпионов незаконно!
Как искать клавиатурных шпионов
Как бы хитры не были кейлоггеры, но и их можно обнаружить. Существует несколько способов.
- Поиск по сигнатурам
Этот метод позволяет точно определить наличие клавиатурных шпионов, правильный выбор сигнатур может свести вероятность ошибки к нулю. Но сигнатурный сканер способен обнаруживать уже известные и описанные в его БД объекты, поэтому это требует, чтобы база большой и постоянно обновлялась.
- Эвристические алгоритмы
Данный способ находит кейллогер по его характерным особенностям и позволяет обнаруживать стандартные клавиатурные ловушки. Как показывают исследования показали, сотни безопасных программ, не являющихся клавиатурными шпионами, устанавливают ловушки для слежения за мышью и вводом с клавиатуры. Например, известная программа Punto Switcher, ПО от мультимедийных клавиатур и мышей.
- Мониторинг API-функций, который используют шпионы
Способ основан на перехвате ряда функций, применяемых клавиатурными шпионами, таких, как SetWindowsHookEx, UnhookWindowsHookEx, GetAsyncKeyState, GetKeyboardState.
Отслеживание драйверов, процессов, сервисов, используемых системой
Способ годится не только для отслеживания кейлоггеров. Самый простой вариант использования - применение программы типа Kaspersky Inspector, отслеживающей появление в системе новых файлов.
Как защититься от кейлоггеров
Зачастую, известные кейлоггеры уже добавлены в базу данных , и поэтому методика защиты такая же, как от любого вредоносного софта:
- Установка антивирусного продукта;
- Поддержка актуальной базы данных.
Стоит заметить, большинство антивирусных программ относит кейлоггеры к классу потенциально опасного ПО, и тут необходимо уточниться, что в настройках по умолчанию антивирусный продукт детектирует наличие подобного рода программ. Если нет, то стоит произвести настройки вручную, чтобы защититься от большинства распространенных шпионов.
Вообще, так как кейлогееры нацелены на шпионаж за конфиденциальными данными, то следует прибегнуть к следующим способам безопасности:
Использование одноразовых паролей/двухфакторная аутентификация
Использование систем проактивной защиты , позволяющей предупреждать пользователя об установке /активизации программыхкейлоггеров
Использование виртуальной клавиатуры , представляющей клавиатуру на экране в виде изображения, позволяет защититься и от программных, и от аппаратных шпионов.
Поиск и удаление клавиатурных шпионов
Какими же способами защититься от этой нечистой силы?
- Любая антивирусная программа
- Утилиты с механизмами сигнатурного и эвристического поиска (например, AVZ).
- Утилиты и программы, направленные на обнаружение клавиатурных шпионов и блокировку их работы. Такой способ защиты наиболее эффективен, так как данное ПО блокирует,какправило, практически все виды кейлоггеров.
Стоит отметить, что софт, направленный на отлов клавиатурных шпионов, имеет две особенности: программное обеспечение такого рода по большей части платное и редко присутствует русский язык.
К примеру, англоязычный бесплатный софт Advanced Spyware Remover - избавляет от рекламных программ, звонильщиков, программ-шпионов, кейлоггеров, и т.д.
Установка стандартная, следует нажимать «Далее», ошибиться сложно. После установки предлагается запустить программу. Для сканирования жмем «Scan Now».
Правда, стоит заметить, что программа не обновлялась 3 года.
А вообще, данныя программа проводит проверку системного реестра на наличие в нем ключей вредоносных программ. Утилита имеет некоторые функциональные возможности, тем самым позволяя отображать список загружаемых программ при старте операционной системы (“HiJack Scan→Startup“), выводить список сервисов, показывать активные порты, просмотривать “куки” Internet Explorer и др. После сканирования появится подобное окно:
Если обратить внимание на что-то посвежее, то можно воспользоваться Spyware Terminator 2012 (правда, небезвозмездно). Утилита способна обнаружить и удалить почти все виды вредоносного ПО. Встроенная система безопасности активирует защиту приложений и системы, мониторит утилиты, непосредственно взаимодействующие с сетью.
- перехвата буфера обмена,
- перехвата нажатий клавиатуры,
- перехвата текста из окон
и многое другое. Anti-keylogger не использует сигнатурные базы, так как базируется только на эвристических алгоритмах. Anti-keylogger способна защитить от целенаправленных атак, которые весьма опасны и популярны у киберпреступников. Особенно эффективно в борьбе с клавиатурными шпионами, основанными на применении ловушек, циклического опроса и клавиатурного драйвера-фильтра.
Anti-keylogger имеет бесплатный вариант, ограниченный временем использования – 10 рабочих сессий, каждая по 2 часа, что вполне достаточно для проверки ПК за один раз.
Итак, что же имеем:
- Кейлоггеры позиционируются как легальное ПО, но многие из могут быть использованы для кражи персональной информации пользователей.
- Сегодня кейлоггеры, вместе с фишингом и и т.п., стали одним из основных методов электронного мошенничества.
- Отмечается рост числа вредоносных программ с функциональностью кейлоггеров.
- Распространение программных кейлоггеров на основе rootkit-технологий, что делает их невидимыми для пользователя и антивирусных сканеров.
- Для обнаружения факта шпионажа с помощью клавиатурных шпионов требуется использование специализированных средств защиты.
- Необходимость в многоуровневой защите (антивирусные продукты с функцией детектирования опасного ПО, средства проактивной защиты, виртуальная клавиатура).
Оставьте свой комментарий!
Некоторые основные разновидности компьютерных вирусов. Сегодня мы поговорим с вами про еще одну категорию вирусов – кейлоггеры, про которые обычные пользователи знают очень мало.
В переводе с английского Keylogger (Keyboard Logger) обозначает «клавиатурный регистратор». Однако на самом деле кейлоггер является программой-шпионом, отслеживающей все происходящие с клавиатурой действия.
Попав на компьютер пользователя, программы-кейлогеры перехватывают вводимую информацию и отправляют ее злоумышленникам. Другими словами вы, ничего не подозревая, можете отдать в чужие руки свои логины и пароли, а также данные банковских карт.
Опасность кейлоггеров в том, что многие антивирусные приложения не расценивают их как вредоносные программы. Для их обнаружения часто требуется специализированное программное обеспечение или дополнительные модули для вашего основного антивируса.
Принципы работы программных кейлоггеров
В основу работы данного вида вредоносных программ положен один общий принцип – они должны встать по пути прохождения сигнала от момента нажатия клавиши до появления символа на мониторе. Кейлоггеры используют следующие технические методы:
Аппаратные кейлоггеры
Помимо рассмотренных нами программных, существуют также и аппаратные кейлоггеры, которые невозможно обнаружить программным путем:
- Дополнительный «переходник» между клавиатурой и корпусом компьютера;
- Встроенное в клавиатуру устройство;
- Миниатюрная видеокамера, снимающая клавиатуру;
- Неизвестное USB-устройство и др.
Кстати: кейлоггеры обоих типов могут быть вполне легальными, и использоваться для:
- Родительского контроля;
- Слежения за использованием рабочего времени сотрудниками компании;
- Служб безопасности
- Ревнивых супругов.
Как не стать жертвой кейлоггера
Чтобы защититься от рассматриваемого типа вредоносных программ, следует соблюдать несложные правила:
- Активируйте в вашем антивирусе функцию обнаружения потенциально опасных программ (она обычно отключена по умолчанию);
- Для доступа к банковским данным пользуйтесь двухфакторной идентификацией или одноразовым паролем.
- Используйте проактивную защиту;
- Для ввода важных данных пользуйтесь виртуальной клавиатурой.