Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

W H I T E P A P E RKeylogger: Funktionen undErkennungsmethoden•Technische Umsetzung vonKeyloggern unter Windows•Schutz vor Keyloggern mitProdukten von Kaspersky Lab

Keylogger: Funktionen und ErkennungsmethodenIm Februar 2005 reichte der Geschäftsmann Joe Lopezaus Florida Klage gegen die Bank of America ein, nachdemunbekannte Hacker dem amerikanischen Unternehmer90.000 US-Dollar von seinem Konto bei derBank of America gestohlen und nach Lettland transferierthatten.Die Ermittlungen ergaben, dass sich auf dem Computervon Lopez der Virus Backdoor.Win32.Apdoor (Backdoor.Coreflood)befand, der alle Tastatureingaben desAnwenders registriert und diese via Internet an die Virenautorenweiterleitet. Auf diese Weise gelangten dieHacker in den Besitz seines Passworts und Logins zurKontoverwaltung.Das Gericht lehnte die Schadensersatzforderung allerdingsab, und zwar mit der Begründung, dass Lopezdie elementarsten Sicherheitsmaßnahmen bei der Online-Verwaltungseines Bankkontos außer Acht gelassenhatte, denn die Signatur des entsprechenden Viruswurde bereits im Jahr 2003 in die Datenbanken fast allerAntivirus-Hersteller aufgenommen. Abgesehen vonLopez’ eigenem Leichtsinn hat ein gewöhnlicher Keyloggerzum Verlust von 90.000 US-Dollar geführt.Was sind Keylogger?Der Begriff Keylogger ist neutral. In der wörtlichenÜbersetzung aus dem Englischen bedeutet er etwa„Protokollierer von Tastatureingaben“. In den meistenQuellen findet sich die folgende Definition: „Ein Keylogger(Tastaturspion) ist eine Software, die im Wesentlichendazu verwendet wird, Tastatureingaben zuüberwachen und zu protokollieren.“ Diese Definitionist allerdings nicht völlig richtig, da Keylogger auch alsHardware eingesetzt werden. Zwar sind Hardware-Keylogger wesentlich seltener anzutreffen, doch sollteman sie beim Schutz wichtiger Informationen ebenfallsberücksichtigen.Das Abfangen der Tastatureingaben kann von gewöhnlichenProgrammen genutzt werden, etwa zum Aufrufenvon Programmfunktionen aus anderen Anwendungenmit Hilfe von Tastaturbefehlen (Hotkeys) oder zumUmschalten falscher Tastaturbelegungen (wie etwaKeyboard Ninja). Es existiert eine Vielzahl legaler Software,die von Administratoren zur Überprüfung der Mitarbeiteraktivitätund von Anwendern zur Kontrolle derTätigkeiten Dritter auf ihrem Computer genutzt wird. Allerdingsist der moralische Grat zwischen berechtigterBeobachtung und krimineller Spionage sehr schmal.So wird auch legale Software sehr häufig zum vorsätzlichenDiebstahl geheimer Anwenderdaten benutzt.Ein großer Teil der derzeit existierenden Keylogger giltals legal und kann käuflich erworben werden, da vonden Entwicklern dieser Programme eine Vielzahl vonlegalen Einsatzmöglichkeiten angeführt wird.Unter anderem werden Keylogger angeboten für:► Eltern: Verfolgung der Aktivitäten ihrer Kinder imInternet und Benachrichtigung der Eltern beim Versuch,auf nicht jugendfreie Sites zu gelangen (ParentalControl)► eifersüchtige Ehepartner: Verfolgung der Aktivitätendes Partners im Netz► Firmen: zur Aufdeckung nicht zweckgemäßer oderunerlaubter privater Nutzung des PC► Organisationen: Verfolgung der Eingabe kritischerWörter oder Verbindungen, die Geschäftsgeheimnisseenthalten können oder deren Verbreitung demUnternehmen materiellen oder anderen Schadenzufügen könnte► Sicherheitsdienste: Durchführung von Analysen undErmittlung bei Diebstaht oder anderen FällenDoch das ist keine objektive Sicht der Dinge, da für alleaufgeführten Fälle durchaus andere Mittel zur Verfügungstehen. Andererseits kann jeder legale Keyloggerauch zu unlauteren Zwecken eingesetzt werden.So ist in jüngster Zeit leider gerade der Diebstahl vonUser-Daten verschiedener Online-Bezahlsysteme zumam weitesten verbreiteten Anwendungsgebiet von Keyloggerngeworden (und zu genau diesem Zweck entwickelnVirenschreiber ständig neue Trojan-Keylogger).Darüber hinaus verbergen sich viele Keylogger im System(da sie über Rootkit-Funktionalität verfügen), wassie zu vollwertigen trojanischen Programmen macht.Da Keylogger zu kriminellen Zwecken verwendetwerden können, hat deren Entdeckung für Antiviren-Hersteller mittlerweile höchste Priorität. In der Klassifizierungvon Schadprogrammen von Kaspersky Labexistiert die spezielle Kategorie Trojan Spy, zu der auchProgramme mit der Funktionalität von Tastaturspionenzählen. Entsprechend der Definition „spionieren dieseTrojaner den Anwender des infizierten Computers aus,indem sie über die Tastatur eingegebene Informationen,Screenshots, Listen der aktiven Programme undder Aktivität des Anwenders in einer Datei auf der Festplattespeichern und in bestimmten Abständen an denHacker versenden.“Warum sind Keylogger gefährlich?Im Gegensatz zu anderen Schadprogramm-Typen sindKeylogger für das System selbst absolut ungefährlich.Für den Anwender jedoch kann ein Keylogger durchauszu einer Bedrohung werden, da die vom Anwenderüber die Tastatur eingegebenen Passwörter und sonstigevertrauliche Daten abgefangen werden können.Auf diese Weise kommen Kriminelle in den Besitz vonPasswörtern und Kontonummern, Zugangscodes zuSpieler-Accounts von Online-Spielen sowie Adressen,Logins und Passwörtern von E-Mail-Programmen undvielen anderen Anwendungen.Keylogger2

Verfügen die Kriminellen erst einmal über die entsprechendenDaten, beschränken sie sich nicht unbedingtdarauf, Geld vom Konto des Anwenders abzubuchenoder die Accounts von Online-Gamern zu nutzen, dennsolche Daten können in den falschen Händen weitausernstere Folgen nach sich ziehen als den Verlust einerbestimmten Summe. Der Einsatz von Keyloggernermöglicht vielmehr auch politische und wirtschaftlicheSpionage und ermöglicht den Zugang zu Dokumenten,die nicht nur Geschäfts-, sondern auch Staatsgeheimnisseenthalten können. Überdies sind sie in der Lage,Sicherheitssysteme außer Kraft zu setzen (etwa durchden Diebstahl versteckter Schlüssel in kryptografischenSystemen).Neben Phishing und Methoden des Social Engineeringist das Ausspionieren mit Hilfe von Keyloggern zu einerder am weitesten verbreiteten Arten elektronischen Betrugsgeworden. Kann sich der aufmerksame Anwenderim Fall von Phishing jedoch noch selbst schützen– indem er eindeutig als Phishing zu erkennende Mailsignoriert und keine persönlichen Daten auf verdächtigenSites eingibt –, so können Tastaturspione einzigdurch die Verwendung spezieller Schutzmechanismenentdeckt werden.Nach den Worten von Cristine Hoepers, Managerin desBrazil‘s Computer Emergency Response Team, tätigunter der Egide des Internet Steering Committee, habenKeylogger als am weitesten verbreitete Methodezum Raub vertraulicher Informationen dem Phishingden Rang abgelaufen und werden zudem immer wählerischer.Denn sie verfolgen nun, welche Web-Sitesder User besucht, um erst dann mit der Aufzeichnungder Tastatureingaben zu beginnen, wenn eine für denKriminellen interessante Site aufgerufen wurde.In den letzten Jahren wurde ein bedeutender Zuwachsverschiedener Schadprogramme mit Keylogger-Funktionalitätverzeichnet. Vor dem Risiko, in die Fänge vonCyberkriminellen zu geraten, ist kein Anwender mehrsicher, ganz egal in welchem Teil der Erde er sich befindetoder für welche Organisation er tätig ist.Einsatz von Keyloggern durch KriminelleEiner der bekanntesten Fälle von Keylogger-Missbrauchaus jüngster Vergangenheit ist der Diebstahlvon über einer Million Dollar von Kunden der skandinavischenBank Nordea. Im August 2006 erhielten Kundender schwedischen Bank Nordea wiederholt E-Mailsim Namen ihrer Bank mit dem Angebot, ein Anti-Spam-Produkt zu installieren, das sich angeblich im E-Mail-Anhang befand. Beim Versuch des Empfängers, dieangehängte Datei auf den Computer zu überspielen,installierte sich eine spezielle Variante des bekanntenTrojaners Haxdoor. Dieser aktivierte sich bei der Registrierungdes Opfers im Online-Service der Bank undöffnete ein Fenster mit einer Fehlermeldung und derBitte, das Login zu wiederholen. Daraufhin zeichneteder im Trojaner enthaltene Tastaturspion die eingegebenenDaten auf und versandte sie an den Server derHacker. Die auf diese Weise zusammengetragenenpersönlichen Daten wurden von den Kriminellen genutzt,um Geld von den Konten der vertrauensseligenBankkunden abzuheben. Den Angaben des Trojaner-Autors zufolge kam Haxdoor auch bei Attacken gegenaustralische und verschiedene andere Banken zumEinsatz.Am 27. Januar 2004 nahm die Epidemie eines derbekanntesten Schadprogramme – des Wurms Mydoom– ihren Anfang. Mydoom brach den Rekord desWurms Sobig und löste die bisher größte Epidemie inder Geschichte des Internet aus. Der Wurm bedientesich der Methode des Social Engineering, organisierteeinen Angriff auf die Site www.sco.com – die daraufhinausfiel – und hinterließ auf den infizierten Computernein trojanisches Programm, das zur Verbreitung neuerVersionen des Virus benutzt wurde, die der erstenHauptepidemie folgten. Es ist jedoch weitestgehendunbekannt, dass Mydoom neben der Funktionalitäteines Netzwurms, einer Backdoor und neben der Fähigkeitzur Organisation von DoS-Attacken auch überdie Funktion eines Keyloggers zum Sammeln vonKredit kartennummern verfügte.Anfang 2005 verhinderte die Londoner Polizei einender am größten angelegten Diebstahl-Versuche in England.Mit Attacken auf das Bankensystem planten Kriminelle,423 Millionen Dollar aus der Londoner Filialeder Sumitomo Mitsui Bank zu entwenden. Die Hauptkomponentedes vom 32-jährigen Israeli Yeron’om Bolondientwickelten Trojaners war ein Keylogger, der esermöglichte, alle Tastatureingaben während der Arbeitmit dem Kundenprogramm aufzuzeichnen.Im Mai 2005 wurde in London von der israelischenPolizei ein Ehepaar festgenommen und der Entwicklungvon Schadprogrammen beschuldigt, mit denenisraelische Firmen Konkurrenzunternehmen ausspionierten.Die Ausmaße derartiger Betriebsspionage sinderstaunlich: In den Ermittlungsunterlagen der israelischenBehörden fanden sich so namhafte Firmen wiedie Mobilfunk-Betreiber Cellcom und Pelephone sowieder TV-Anbieter YES. Den Unterlagen zufolge richtetesich die Überwachung gegen die PR-Agentur Rani Rahav,zu deren Kunden unter anderem der zweitgrößteHandybetreiber Israels, Partner Communications, undder Kabelnetzbetreiber HOT gehören. Der israelischeImporteur von Volvo und Honda, die Firma Mayer, wirdder Spionage gegen die Firma Champion Motors, denisraelischen Importeur von Audi und Volkswagen, verdächtigt.Ruth Haefrati, die den Vertrieb des von ihremMann Michael Haefrati entwickelten Trojaners mit Keylogger-Funktionenübernommen hatte, wurde zu vierJahren Freiheitsstrafe verurteilt. Michael Haefrati selbstwar für zwei Jahre inhaftiert.Keylogger3

Technische Umsetzung von Keyloggern unterWindowsDieser Abschnitt wendet sich an IT-Experten und anfortgeschrittene Anwender. Er enthält eine detaillierteAnalyse der technischen Aspekte bei der Entwicklungvon Keyloggern. Wie bereits im vorangegangenen Abschnitterläutert, besteht das Prinzip von Keyloggerndarin, zwischen zwei beliebigen Gliedern der Signalübertragungsketteeinzudringen – vom Drücken derTaste durch den Anwender bis zum Erscheinen desSymbols auf dem Bildschirm. Im Folgenden wird analysiert,welche Glieder in dieser Kette enthalten sind,zudem werden verschiedene Varianten von Soft- undHardware-Keyloggern genauer untersucht.An dieser Stelle sei darauf hingewiesen, dass in dervorliegenden Analyse keine Beispiele von Keylogger-Quellcode enthalten sind. Anders als manch andereFachleute auf dem Gebiet der IT-Sicherheit sind wirnicht der Meinung, dass es zweckmäßig wäre, derartigenCode zu veröffentlichen.Bearbeitung der Tastatureingaben unter Windowsder Tastatureingaben gewährleisten: Einer befindetsich auf dem Motherboard, der andere in der Tastaturselbst. Daher stellt die PC-Tastatur an sich schon einselbständiges Computersystem dar. Dieses basiert aufdem Mikrocontroller 8042, der die Tastatureingabenfortwährend scannt – unabhängig von der Aktivität aufdem zentralen Prozessor x86.Für jede Taste des Keyboards ist eine bestimmteNummer festgelegt, die eindeutig der Aufteilung derTastatur matrix zugeordnet und nicht direkt von dem aufder Oberfläche der Taste dargestellten Zeichen abhängigist. Diese Nummer wird als Scan-Code bezeichnet(diese Benennung verdeutlicht, dass der Computer dieTastatur auf der Suche nach Tasten-Betätigung scannt).Der Scan-Code ist ein zufälliger Wert, der von IBM festgelegtwurde, als das Unternehmen die erste Tastaturfür einen PC herstellte. Der Scan-Code entspricht nichtdem ASCII-Code der Tastatur. Weitere Infos und eineÜbersicht aller Scan-Codes finden Sie unter http://de.wikipedia.org/wiki/Scancode.Es existieren verschiedene grundlegende Technologienzum Abfangen von Tastatureingaben oder mit der Mausausgeführten Aktionen, auf die die meisten Keyloggeraufbauen. Vor einer näheren Untersuchung der konkretenKeylogger-Typen ist es allerdings unumgänglich,sich zunächst einmal mit dem Bearbeitungs schema derTastatureingaben im Windows-Betriebssystem vertrautzu machen. Zur Beschreibung des gesamten Schemas– von der Betätigung einer Taste auf dem Keyboardbis hin zur Auslösung des Systeminterrupts desTastatur-Controllers und der Darstellung der NachrichtWM_KEYDOWN in einem aktiven Fenster – wurdendrei Quellen hinzugezogen: das Buch „Apparatnoe obespečenie IBM PC“ vonAlexander Frolov, Grigorij Frolov, Band 2, Buch 1:Dialog-MIFI, 1992 (Kapitel 2 „Tastatur“ beschreibtdie Funktionsprinzipien der Tastatur, die verwendetenPorts und den Hardware-Interrupt der Tastatur) der Abschnitt „Human Input Devices“ der MSDNLibrary, in dem der Teil der unteren Ebene (Treiber)des Bearbeitungsschemas von Tastatureingabenbeschrieben wird das Buch „Entwicklung effektiver WIN32-Anwendungenunter Berücksichtigung der Besonderheitender 64-Bit Windows-Versionen“ von Jeffrey Richter(in Kapitel 27 „Das Hardware-Eingabemodell undder lokale Eingabezustand“ wird die obere Ebenedes Bearbeitungsschemas der Tastatureingaben imUser-Mode beschrieben)Funktionsprinzip der Tastatur als physisches GerätHeutzutage sind die meisten Tastaturen eigenständigeGeräte, die über Schnittstellen – zumeist PS/2 oderUSB – mit dem Computer verbunden werden. Es gibtzwei Mikrocontroller, die den BearbeitungsprozessDie Tastatur generiert zwei Scan-Codes für jede Taste,einen beim Drücken, den anderen beim Loslassen.Das Vorhandensein von zwei Scan-Codes ist wichtig,weil einige Tasten nur dann sinnvoll sind, wenn sie gedrücktwerden (Shift, Control, Alt).Vereinfachtes TastaturschemaBetätigt der Anwender eine Taste auf dem Keyboard,löst er einen elektrischen Kontakt aus. Als Folge registriertder Mikrokontroller beim nächsten Scan-Vorgangdie Betätigung einer bestimmten Taste und schickt denScan-Code der gedrückten Taste und eine Interrupt-Anfrage an die CPU. Analoge Aktionen werden durchgeführt,wenn der Anwender die vorher gedrückte Tasteloslässt.Der zweite Mikrocontroller empfängt den Scan-Code,wandelt ihn um und macht ihn am Eingabe-Ausgabe-Port 60h verfügbar, woraufhin er einen Hardware-Interrupt des zentralen Prozessors generiert. Danachkann die Interrupt-Behandlungsroutine (ISR = InterruptService Routine) den Scan-Code aus dem genanntenEingabe-Ausgabe-Port empfangen. Die Tastatur verfügtüber einen internen 16-Byte-Puffer, über den derDatenaustausch mit dem Computer realisiert wird.Keylogger8

Interaktion auf der unteren Ebene mit der Tastaturüber Eingabe-Ausgabe-PortsDas Zusammenspiel mit dem Systemcontroller derTastatur erfolgt über den Eingabe-Ausgabe-Port 64h.Mit dem Lesen von Bytes aus diesem Port kann derStatus des Tastaturcontrollers bestimmt werden, mitdem Schreiben von Bytes wird dem Controller ein Befehlübermittelt.Die Kommunikation mit dem Mikrocontroller in derTastatur selbst wird mittels der Eingabe-Ausgabe-Ports60h und 64h umgesetzt. Die Bits 0 und 1 im Statusbyte(Port 64 im Lesemodus) ermöglichen die Steuerung derInteraktions-Routine: Vor dem Schreiben von Daten indiese Ports muss Bit 0 des Ports 64 auf 0 stehen. Sinddie Daten aus Port 60h zum Lesen verfügbar, ist Bit 1des Ports 64h gleich 1. Die On/Off-Bits der Tastatur imBefehlsbyte (Port 64h im Schreibemodus) bestimmen,ob die Tastatur aktiviert ist und ob der Tastaturcontrollereinen Interrupt im System auslöst, wenn der Anwendereine Taste drückt.In den Port 60h geschriebene Bytes werden an den Tastaturcontrollergesendet, wogegen in den Port 64h geschriebeneBytes an den Systemkontroller der Tastaturgeschickt werden. Eine Übersicht der erlaubten Befehle,die an den Tastaturcontroller geschickt werdenkönnen, finden Sie beispielsweise in dem Dokument„8042 Keyboard Controller IBM Technical ReferenceManual“ oder aber unter www.arl.wustl.edu/~lockwood/class/cs306/books/artofasm/Chapter_20/CH20-2.html.Aus Port 60h gelesene Bytes kommen von der Tastatur.Während des Lesens enthält Port 60h den Scan-Code der als letztes gedrückten Taste, und im Schreibmoduswird er zur erweiterten Steuerung der Tastaturverwendet. Bei Verwendung des Ports zum Schreibenstehen dem Programm die zusätzlichen Optionen zurVerfügung:► Einstellen der Zeitspanne, nach der die Tastatur inden Modus Autowiederholung übergeht► Einstellen der Tastatur-Wiederholungsrate des Scan-Codes im Modus Autowiederholung► Steuerung der auf der Außenabdeckung der Tastaturgelegenen Lichtdioden – Scroll Lock, Num Lock,Caps Lock.Zusammenfassend lässt sich also feststellen, dasses ausreichend ist, die Werte der Eingabe-Ausgabe-Ports 60h und 64h ablesen zu können, um die über dieTastatur eingegebenen Daten zu lesen. Im Windows-Betriebssystem ist es den Anwendungen im Benutzermodusallerdings nicht erlaubt, mit Ports zu arbeiten.Daher übernehmen die Treiber des Betriebssystemsdiese Aufgabe.Die Architektur interaktiver EingabegeräteWodurch werden nun die Hardware-Interrupts bearbeitet,die erzeugt werden, sobald auf Port 60h Daten vonder Tastatur empfangen werden? Offensichtlich durchdasselbe Programm, das die Behandlungsroutine desHardware-Interrupts der Tastatur registriert hat. UnterWindows wird die Bearbeitung von dem Treiber i8042.sys durchgeführt. Anders als zu MS-DOS-Zeiten, alsjede Systemkomponente praktisch eigenständig war,folgt der Aufbau der Komponenten unter Windows einergenauen Architektur. Sie funktionieren nach striktenRegeln, die in den Programmschnittstellen verankertsind. Bevor wir uns also genauer mit dem Treiberi8042pr beschäftigen, betrachten wir die Architekturvon interaktiven Eingabegeräten, im Rahmen dereralle Programmkomponenten funktionieren, die mit derBearbeitung von Eingaben über die Tastatur (oder derMaus) in Zusammenhang stehen.Geräte, die zur direkten Steuerung von Operationenauf dem Computer verwendet werden, heißen im Windows-Betriebssysteminteraktive Eingabegeräte (InteractiveInput Devices). Neben Maus, Joystick, Trackball,Cyberhelm und anderen gehört auch die Tastatur zudieser Gerätekategorie.Die Steuerungsarchitektur für interaktive Eingabegerätebasiert auf dem Standard USB Human InterfaceDevice (HID), vorgeschlagen vom USB ImplementersForum. Allerdings ist die Architektur nicht allein aufUSB-Geräte beschränkt, sondern unterstützt auchandere Typen von Eingabegeräten wie etwa die Bluetooth-Tastatur,über den PS/2-Port angeschlosseneTastaturen und „Mäuse“ sowie über den Spiele-Port(I/O-Port 201) verbundene Geräte.Im Folgenden werden unter anderem die Aufbauprinzipiendes Treiber-Stacks und des Geräte-Stacks fürPS/2-Tastaturen näher betrachtet, da diese historischgesehen die ersten Gerätetypen sind. USB-Tastaturenverwenden eine Reihe von Elementen, die mit der Entwicklungder Programmunterstützung von PS/2-Tastatureneingeführt wurden.Kernel-Mode-Treiber für PS/2-TastaturenTreiber-Stack für System-EingabegeräteTastaturtreiber verwenden unabhängig von der Art desphysischen Anschlusses Systemtreiber der Tastaturklassezur Bearbeitung von Operationen, die nicht vomHardwareteil abhängig sind. Solche Treiber werdenKlassentreiber genannt, weil sie die vom System geforderten,von der Hardwareumsetzung unabhängigen Anforderungenan die konkrete Geräte-Klasse erfüllen.Der entsprechende Funktionstreiber (Porttreiber) realisiertdie vom konkreten Gerät abhängige Durchführungder Eingabe-Ausgabe-Operation. In Windows-Keylogger9

x86-Plattformen ist nur ein einziger Treiber der Tastatur(i8042) und der Maus umgesetzt.Im Betriebssystem Windows 2000 und niedriger istKbd class der Tastaturklassentreiber, dessen wichtigsteAufgaben im Folgenden aufgelistet sind:► Durchführung allgemeiner und Hardware-unabhängigerOperationen der Geräteklasse► Unterstützung von Plug and Play, Unterstützung derEinspeisungssteuerung und von Windows ManagementInstrumentation (WMI)► Unterstützung von Operationen für Legacy-Geräte► gleichzeitige Durchführung von Operationen aufmehr als einem Gerät► Realisierung der Class Service Callback Routine,die vom Funktionstreiber zur Übermittlung der Datenaus dem Eingangspuffer des Gerätes in den Datenpufferdes Geräteklassentreibers ausgelöst wirdTreiber-Stacks für die Systemeingabegeräte Tastatur und MausTreiber-Stack für Plug & Play von PS/2-TastaturenIm Betriebssystem Windows 2000 und niedriger isti8042prt der Funktionstreiber für Eingabegeräte, dieden PS/2-Port benutzen (Tastatur und Maus). Seinewichtigsten Funktionen sind:► Durchführung von Hardware-abhängigen, gleichzeitigenOperationen von PS/2-Eingabegeräten ( Tastaturund Maus nutzen gemeinsame Ein- und Ausgabeports,verwenden aber verschiedene Interrupts, Interrupt-Behandlungsroutinen(ISR) und verschiedeneRoutinen zur Vollendung der Interruptbehandlung)► Unterstützung von Plug and Play, Unterstützung derEinspeisungssteuerung und von Windows ManagementInstrumentation (WMI)► Unterstützung von Operationen für Legacy-Geräte► Auslösen der „Class Service Callback“-Routine fürdie Tastatur- und Mausklassen zur Übermittlung vonDaten aus dem Eingangsdatenpuffer i8042prt in denDatenpuffer des KlassentreibersKeylogger► Auslösen verschiedener Rückruf-Funktionen, dievon den Treiberfiltern der oberen Ebene zur flexiblenSteuerung der Geräte realisiert werden können.Treiber-Stack für PS/2-TastaturenDer Treiber-Stack enthält die folgenden Elemente (vonoben nach unten): Kbdclass – einen Filter-Tastaturklassentreiber deroberen Ebene einen optionalen Filter-Tastaturklassentreiber deroberen Ebene i8042 – einen Funktionstreiber der Tastatur einen Kerneltreiber des BussesListe der vom Treiber i8042prt verwendetenHardware-RessourcenObige Abbildung zeigt eine Liste der Hardware-Ressourcen,die vom Treiber i8042prt verwendet werden,die unter anderem mit dem Tool Device Tree der FirmaOpen Systems Resources. Wer die vorangegangenenAbschnitte gelesen hat, den werden die Werte der Eingabe-/Ausgabe-Ports(IO) 60h und 64h und des Hardware-Interrupts(IRQ) 1 nicht überraschen.Der im dargestellten Treiber-Stack neue Treiberfilterkann beispielsweise zur spezifischen Bearbeitung derTastatureingabe oberhalb der Tastaturklassentreiberergänzt werden. Dieser Treiber muss dieselbe Bearbei-10

tung aller Typen von Ein- und Ausgabe-Aufträgen (IRP)und von IOCTL-Befehlen unterstützen wie ein Tastaturklassentreiber.Im vorliegenden Fall werden die Datenvor der Übermittlung in das Subsystem des User-Modezur Bearbeitung an den Treiberfilter geleitet.Geräte-Stack für Plug & Play von PS/2-TastaturenIm Folgenden werden die Stacks der Geräte, die dieoben beschriebenen Treiber im Treiber-Stack der Tastaturerzeugen, genauer betrachtet. Auf der folgendenAbbildung sind links die in der MSDN Library für PS/2-Tastaturen aufgeführten Geräte-Stacks dargestellt.Rechts sieht man einen Screenshot des ProgrammsDevice Tree, das die reale Situation auf einem gewöhnlichenComputer zeigt.Bearbeitung der Tastatureingaben durch die AnwendungenRaw Input Thread (Datenempfang vom Treiber)Der vorhergehende Abschnitt beschäftigte sich mitBeispielen zum Aufbau von Tastatur-Stacks im Kernel-Mode des Betriebssystems. Nun soll der Daten-Transfervom Tastendruck zu den Anwendungen des User-Modegenauer betrachtet werden. Das Microsoft-SubsystemWin32 erhält mit Hilfe des Raw Input Threads (RIT) Zugriffauf die Tastatur. Der RIT ist Teil des Systemprozessescsrss.exe (User-Mode des Win32-Subsystems).Beim Start erzeugt das Betriebssystem den RIT unddie System-Hardware-Eingabe-Queue (System HardwareInput Queue, SHIQ).Der RIT öffnet das Objekt Gerät im Tastaturklassentreiberzur exklusiven Nutzung und sendet diesem mitHilfe der Funktion ZwReadFile eine Eingabe-Ausgabe-Anforderung (IRP = Input/Output Request Packets) wiezum Beispiel IRP_MJ_READ. Der Treiber Kbdclass registriertdie Anfrage als unerledigt (pending), reiht siein die Warteschleife ein und sendet den RückkehrcodeSTATUS_PENDING zurück. Der RIT muss nun auf dieErledigung der IRP warten, was durch einen asynchronenProzeduraufruf umgesetzt wird (AsynchronousProcedure Call, APC).Konfiguration der Geräteobjekte für Plug and Play von PS/2-TastaturenDer Geräte-Stack (richtiger wäre es, vom Stack der Geräteobjektezu sprechen) besteht insgesamt aus denfolgenden Komponenten: dem Physical Device Object der Tastatur (PDO), dasvon dem Bustreiber erzeugt wird (in diesem Fall BusPCI) – \Device\00000066 dem Functional Device Object der Tastatur (FDO),das von dem Treiber i8042prt erzeugt und dem PDOhinzugefügt wird – unbenanntes Objekt (unnamed) optionalen Filter-Objekten der Tastatur, die durchvon Programmierern entwickelte Filtertreiber derTastatur erzeugt werden einem Filter-Objekt der Geräteklasse Tastatur deroberen Ebene, das vom Klassentreiber Kbdclass erzeugtwird – \Device\KeyboardClass0Drückt oder löst der Anwender eine Taste, so erzeugtder System-Tastaturkontroller einen Hardware-Interrupt.Sein Editor löst die vom Driver i8042prt im Systemregistrierte spezielle Interrupt-BehandlungsroutineIRQ 1 aus (Interrupt Service Routine, ISR). DieseRoutine liest die erscheinenden Daten aus der internenQueue des Tastaturkontrollers. Die Verarbeitung desHardware-Interrupts muss so schnell wie möglich erfolgen,daher speichert die ISR den Deferred ProcedureCall (DPC) I8042KeyboardIsrDpc in einer Queueund beendet ihre Arbeit. Sobald es möglich ist (IRQLsinkt auf DISPATCH_LEVEL ab), wird ein DPC vomSystem ausgelöst. In diesem Moment wird die Rückruf-Routine KeyboardClassServiceCallback ausgelöst, dievom Treiber Kbdclass des Treibers i8042prt bereitgestelltwird. Die Routine KeyboardClassServiceCallbackzieht aus ihrer Queue den unerledigten IRP-Aufruf, fülltdie maximale Menge der KEYBOARD_INPUT_DATA-Strukturen aus, die alle notwendigen Informationenüber das Drücken und Lösen von Tasten enthalten underledigt die IRP. Der Raw Input Thread wird nun aktiviert,bearbeitet die empfangenen Informationen undsendet dem Klassentreiber erneut eine IRP des TypsIRP_MJ_READ, welche bis zum nächsten Drückenoder Lösen einer Taste wiederum in einer Queue gespeichertwird. Daher ist im Tastatur-Stack immer mindestenseine unerledigte IRP vorhanden, die sich in derQueue des Treibers Kdbclass befindet.Keylogger11

Tastatur umwandelt und sie in der VIQ des Threads derAnwendung Microsoft Word anlegt.Bearbeitung der Meldungen durch ein konkretesFensterReihenfolge der RIT-Anfragen an den TastaturtreiberMit Hilfe des Tools IrpTracker des bereits erwähntenUnternehmens Open Systems Resources kann mandie Reihenfolge der während der Bearbeitung derTastatureingaben erfolgenden Aufrufe einsehen.Bearbeitung der Tastatureingabe im User-ModeEs stellt sich nun die Frage, wie der Thread die Meldungenverarbeitet, die in seiner Message-Queue einlaufen.Der Standard-Verarbeitungs-Zyklus von Meldungensieht für gewöhnlich folgendermaßen aus:while(GetMessage(&msg, 0, 0, 0)){TranslateMessage(&msg);DispatchMessage(&msg);}Mit Hilfe der Funktion GetMessage werden die Tastaturereignisseaus der Queue gezogen und mittels derFunktion DispatchMessage in eine Fensterroutine weitergeleitet,die die Meldungen für das Fenster bearbeitet,wo im gegebenen Augenblick der Input-Fokuskonzentriert ist. Der Input-Fokus ist ein von der Anwendungoder von Windows erzeugtes Attribut, das demFenster hinzugefügt werden kann. Verfügt ein Fensterüber einen Input-Fokus, empfängt die entsprechendeFunktion dieses Fensters alle Tastaturmeldungen ausder System-Queue. Anwendungen können den Input-Fokus von einem Fenster zu einem anderen weiterreichen,wie etwa beim Wechsel von einer Anwendungzur anderen mit Hilfe der Tastenkombination Alt+Tab.Wie bearbeitet der RIT nun die eingehenden Informationen?Alle Tastaturereignisse werden in die SHIQ eingereiht,woraufhin sie nacheinander in Windows-Meldungenumgewandelt werden (wie etwa WM_KEY*,WM_?BUTTON* oder WM_MOUSEMOVE) und sichans Ende der virtualisierten Eingabe-Queue (VIQ =Virtualized Input Queue) des Vordergrund-Threadseinreihen. In den Windows-Meldungen werden dieTasten-Scan-Codes durch virtuelle Tastencodes ersetzt,die nicht der Anordnung der Tasten auf der Tastatur,sondern der Aktion, die die jeweilige Taste ausführt,entsprechen. Der Mechanismus der Codeumwandlunghängt vom jeweils aktiven Tastaturlayout, von dergleichzeitigen Betätigung anderer Tasten (wie etwaSHIFT) und anderen Faktoren ab.Geht der Anwender ins System, generiert der WindowsExplorer einen Thread, der eine Aufgabenliste und einenArbeitstisch (WinSta0_RIT) erzeugt. Dieser Threadwird an den RIT gekoppelt. Startet der Anwender MicrosoftWord, so fügt sich der Thread dieser Anwendung,der das Fenster erzeugt, sofort zu dem RIT hinzu. Daraufhinlöst sich der zum Explorer gehörende Threadvom RIT, da immer nur ein Thread zur Zeit an den RITgekoppelt sein kann. Bei der Betätigung von Tastenerscheint in der SHIQ ein entsprechendes Element,das dafür sorgt, dass der RIT aktiviert wird, dass er dieEreignisse der Hardware-Eingabe in Mitteilungen derNoch vor der Funktion DispatchMessage wird für gewöhnlichdie Funktion TranslateMessage ausgelöst, dieauf der Grundlage der Meldungen WM_KEYDOWN,WM_KEYUP, WM_SYSKEYDOWN und WM_SYS-KEYUP die „symbolischen“ Meldungen WM_CHAR,WM_SYSCHAR, WM_DEADCHAR und WM_SYS-DEADCHAR generiert. Diese symbolischen Meldungenreihen sich in die Message-Queue der Anwendung ein,wobei die originalen Tastatur-Meldungen nicht aus derQueue gelöscht werden.Datenfelder des Tastenzustands der TastaturBei der Entwicklung des Hardware-Eingabemodellsin Windows war die Gewährleistung der Ausfallunempfindlichkeitein wichtiger Punkt. Diese wird durcheine unabhängige Verarbeitung der Eingabe durch dieThreads gewährleistet, wodurch ungünstige Wechselwirkungender Threads miteinander verhindert werden.Eine zuverlässige Isolation der Threads voneinanderist dadurch allerdings noch nicht gegeben, daher unterstütztdas System noch eine zusätzliche Konzep tion,den lokalen Eingabezustand. Jeder Thread verfügtüber einen eigenen Eingabezustand, der in der StrukturTHREADINFO dokumentiert ist. Die Informationenüber den Zustand enthalten Daten über die virtualisierteEingabe-Queue des Threads sowie eine Gruppe vonVariablen. Letztere enthalten steuernde InformationenKeylogger12

über den Eingabe-Zustand. Bezüglich der Tastaturwerden die folgenden Angaben unterstützt: welchesFenster befindet sich im Fokus der Tastatur, welchesist gegenwärtig aktiv, welche Tasten sind gedrückt, inwelchem Zustand befindet sich der Eingabecursor.Angaben dazu, welche Tasten gedrückt sind, werdenim Datenfeld des synchronen Tastenzustandes gespeichert.Alle Variablen des lokalen Eingabezustands desThreads enthalten einen Synchronous Key State Array,während sich alle Threads nur ein Datenfeld des asynchronenEingabezustands teilen, welches analoge Informationenenthält. Diese Datenfelder geben Auskunftüber den Zustand aller Tasten zu jedem beliebigen Zeitpunkt,und mit der Funktion GetAsyncKeyState lässtsich bestimmen, ob eine einzelne Taste gegenwärtiggedrückt ist. Die Funktion GetAsyncKeyState sendetstets 0 (nicht gedrückt) zurück, wenn der Thread, derdie Funktion aufruft, nicht derjenige ist, der das Fenstermit dem derzeitigen Input-Fokus erzeugt hat.von Filterfunktionen erleichtert und die Performancedes Betriebssystems verbessert wird.Windows unterstützt einzelne Ketten für jeden Hook-Typ. Unter einer Hook-Kette versteht man eine Listevon Verweisen auf Filterfunktionen (spezielle von derAnwendung definierbare Rückruf-Funktionen). Findetein bestimmtes Ereignis statt, das mit einem konkretenHook-Typ in Verbindung steht, so sendet das Systemnacheinander jeder Filterfunktion in der Hook-Ketteeine Meldung. Welche Aktion von der jeweiligen Filterfunktiondurchgeführt werden kann, hängt von demHook-Typ ab: Einige Funktionen können lediglich dasEreignis an sich verfolgen, andere sind in der Lage, dieParameter einer Meldung zu modifizieren oder gar dieVerarbeitung einer Meldung zu stoppen, indem sie denAufruf der nächsten Filterfunktion in der Hook-Ketteoder die Verarbeitungsfunktionen der Fenster-Meldungenblockieren.Die folgende Funktion GetKeyState unterscheidet sichdadurch von der Funktion GetAsyncKeyState, dass sieden Tastaturzustand in dem Moment zurücksendet, indem die letzte Tastaturmeldung aus der Thread-Queueentfernt wird. Diese Funktion kann jederzeit aufgerufenwerden, unabhängig davon, welches Fenster sich geradeim Fokus befindet.TastaturhooksAls Hook wird im Windows-Betriebssystem ein Mechanismusbezeichnet, der Ereignisse unter Verwendungeiner bestimmten Funktion (wie etwa der Übermittlungvon Windows-Meldungen, der Eingabe über die Mausoder die Tastatur) abfängt, bis diese zu den Anwendungengelangen. Diese Funktion kann daraufhin aufdie Ereignisse reagieren und sie unter Umständen verändernoder außer Kraft setzen.Funktionen, denen die Ereignisse gemeldet werden,heißen Filterfunktionen und werden nach Typen entsprechendder von ihnen abzufangenden Ereignisseunterschieden. Damit Windows eine Filterfunktion aufrufenkann, muss diese Funktion an einen Hook gekoppeltsein, etwa an einen Tastatur-Hook. Die Anbindungeines oder mehrerer Filterfunktionen an einen beliebigenHook nennt man Hook-Installation. Zum Installierenund Löschen von Funktionsfiltern einer Anwendungwerden die Win32-API-Funktionen SetWindowsHookExund UnhookWindowsHookEx verwendet. Einige Hookskönnen sowohl für das gesamte System als auch füreinen konkreten Thread installiert werden.Werden an einen Hook mehrere Filterfunktionen gekoppelt,realisiert Windows eine Funktionen-Queue,wobei die als letzte angekoppelte Funktion an den Anfangund die allererste Funktion ans Ende der Queuegestellt wird. Die Queue der Filterfunktionen wird vonWindows selbst unterstützt, wodurch das SchreibenFunktionsfilter-Kette in WindowsWenn eine oder mehrere Filterfunktionen an einenHook gekoppelt sind und ein Ereignis stattfindet, dasszur Aktivierung des Hooks führt, ruft Windows die ersteFunktion aus der Funktionsfilter-Queue auf, womitdessen Verantwortlichkeit beendet ist. Im Folgenden istdie Funktion dafür verantwortlich, die nächste Funktionin der Kette aufzurufen, wofür die Win32-API-FunktionCallNextHookEx verwendet wird.Das Betriebssystem unterstützt verschiedene Hook-Typen, von denen jeder einzelne Zugriff auf einen derAspekte des Bearbeitungsmechanismus von Windows-Meldungen ermöglicht. Für einen Keylogger-Autorensind fast alle Hook-Typen von Interesse: WH_KEY-BOARD, WH_KEYBOARD_LL (Abfangen der Tastaturereignisseund deren Hinzufügen in die Ereignis-Queuedes Threads), WH_JOURNALRECORD und WH_JOURNALPLAYBACK (Aufzeichnung und Wieder gabeder Maus- und Tastaturereignisse), WH_CBT (Abfangeneiner Vielzahl von Ereignissen, einschließlich desLöschens der Tastaturereignisse aus der System-Hardware-Eingabe-Queue),WH_GETMESSAGE ( Abfangender aus der Ereignis-Queue des Threads empfangenenEreignisse).Keylogger13

Allgemeines BearbeitungsschemaDas Raw-Input-ModellDie bis hier dargestellten Abläufe der Tastatureingaberoutinelassen sich in einem einzigen Algorithmus derSignalübertragung zusammenfassen – von der Betätigungeiner Taste durch den Anwender bis zum Erscheineneines Zeichens auf dem Bildschirm: Beim Starten erzeugt das Betriebssystem im Systemprozesscsrss.exe einen Raw Input Thread und eineSystem-Hardware-Eingabe-Queue. Der RIT sendet dem Tastaturklassentreiber Leseanfragen,die bis zum Eintreten eines Tastaturereignissesim Wartezustand verbleiben. Drückt oder löst der Anwender eine Taste auf derTastatur, wird das Drücken oder Lösen vom Mikrocontrollerder Tastatur festgehalten, und der Scan-Code der gedrückten Taste sowie eine Interruptanforderungwerden an die CPU gesendet. Der System-Tastaturcontroller empfängt den Scan-Code, wandelt ihn um, macht ihn am Eingabe-Ausgabe-Port60h verfügbar und generiert einen Hardware-Interruptder CPU. Der Interrupt-Controller ruft die Interrupt-Behandlungs-RoutineIRQ 1 auf, eine IRS, die im Systemdes Tastaturfunktionstreibers i8042prt registriert ist. Die IRS liest die aus der inneren Queue des Tastaturkontrollerserscheinenden Daten, übersetzt denScan-Code in einen virtuellen Tastencode (unabhängige,vom System definierte Werte) und stellt denAufruf des Deferred Procedure Calls I8042Keyboard-IsrDpc in die Queue. Sobald wie möglich ruft das System den DPC auf,welcher wiederum die Callback-Routine Keyboard-ClassServiceCallback erzeugt, die im TastaturklassentreiberKbdclass registriert ist. Die Routine KeyboardClassServiceCallback ziehtaus ihrer Queue die zu erledigende Anfrage des RITund sendet in ihm die Informationen über die gedrückteTaste zurück. Der RIT speichert die empfangenen Informationenin der System-Queue der Hardware-Eingabe und erstelltauf deren Basis die grundlegenden Windows-Tastaturmeldungen WM_KEYDOWN und WM_KEYUP, die ans Ende der VIQ des aktiven Threads gestelltwerden. Der Bearbeitungszyklus der Threadmeldungenlöscht die Meldung aus der Queue und leitet sie andie entsprechende Fensterroutine zur Bearbeitungweiter. Dabei kann die Systemfunktion TranslateMessage ausgelöst werden, die auf der Basis dergrundlegenden Tastaturmeldungen die zusätzlichen„symbolischen“ Meldungen WM_CHAR, WM_SYSCHAR, WM_DEADCHAR und WM_SYSDEADCHAR erzeugt.Die oben beschriebenen Modelle der Tastatureingabesind aus der Sicht von Anwendungs-Programmierernin mancherlei Hinsicht unzureichend. Zum Eingabe-Empfang von Nicht-Standardgeräten muss eine Anwendungnämlich eine ganze Reihe von Operationendurchführen: Das Gerät öffnen, es periodisch abfragen,die Möglichkeit einer parallelen Nutzung des Gerätesdurch eine andere Anwendung sicherstellen und so weiter.Deshalb wurde in den letzten Windows-Versionenein alternatives Eingabe-Modell – das Raw-Input-Modell– angeboten, welches die Entwicklung von Anwendungenerleichtert, die Nicht-Standard-Eingabegeräteverwenden.Das Raw-Input-Modell unterscheidet sich von demOriginal-Eingabemodell von Windows. Beim herkömmlichenModell empfängt die Anwendung eine geräteunabhängigeEingabe in Form von Meldungen (wieetwa WM_CHAR), die an die Fenster der Anwendunggesendet werden. Das Raw-Input-Modell sieht vor,dass die Anwendung die Geräte registriert, von denensie Eingabe empfangen will. Weiterhin empfängt dieAnwendung die User-Eingabe über die Meldung WM_INPUT.Zwei Arten der Datenübertragung werden unterstützt,und zwar „Standard“ und „Gepuffert“. Zur Interpretationder eingegebenen Daten muss die Anwendung Informationenüber die Art des Eingabegerätes erhalten,was mit Hilfe der Funktion GetRawInputDeviceInfo ermöglichtwird.Verschiedene Umsetzungen von KeyloggernAusgehend von den oben beschriebenen Bearbeitungsmodellenvon Tastatureingaben unter Windowswerden im Folgenden die grundlegenden Methodenzur Umsetzung von Keyloggern näher betrachtet. Istder Aufbau des Modells klar, ist auch leichter zu verstehen,welche Mechanismen von Keyloggern ausgenutztwerden können.Keylogger können an jeder beliebigen Stelle des Bearbeitungszykluseindringen und Daten über gedrückteTasten abfangen, die von einem Bearbeitungs-Subsystemzu dem nächsten Subsystem in der Editor-Chainübermittelt werden. Wir haben die zu untersuchendenMethoden der Umsetzung von Software-Keyloggern insolche des User-Mode und in solche des Kernel-Modeunterteilt. In der Abbildung auf der folgenden Seite linksoben sind alle Bearbeitungs-Subsysteme der Tastatureingabeund ihre Wechselbeziehungen miteinanderdargestellt.Keylogger14

Installation des Hooks für TastaturmeldungenHierbei handelt es sich um den wohl am weitesten verbreitetenTyp von Keyloggern. Durch den Aufruf derFunktion SetWindowsHookEx installiert der Keyloggereinen globalen Hook auf die Tastaturereignisse füralle Threads im System. Die Filterfunktion des Hookspositioniert sich in diesem Fall in einer einzelnen dynamischenBibliothek, die in alle Prozesse eindringt, diean der Bearbeitung der Meldungen beteiligt sind. Beider Auswahl aus der Message-Queue eines beliebigenThreads der Tastaturmeldung ruft das System die installierteFilterfunktion auf.Der Vorteil dieser Abfang-Methode liegt unter anderemin ihrer Einfachheit und der Garantie, dass sämtlicheTastenbetätigungen abgefangen werden. Die Nachteilebestehen darin, dass eine Datei der dynamischenBiblio thek vorhanden sein muss, und dass die Entdeckungauf Grund des Eindringens in alle Systemprozesserecht einfach ist.Allgemeines Bearbeitungsschema von Tastatureingaben imBetriebssystem WindowsDieser Abschnitt beschäftigt sich nicht mit Hardware-Methoden zur Umsetzung von Keyloggern. Es sei lediglicherwähnt, dass es drei grundlegende Spielartenvon Hardware-Keyloggern gibt: Keylogger, die in dieTastatur selbst eingebaut werden, Keylogger, die ineine Unterbrechung des Kabels gebaut werden, dasdie Tastatur und den Systemblock miteinander verbindetund Keylogger, die in den Systemblock des Computersmontiert werden. Am weitesten verbreitet ist derzweitgenannte Typ von Hardware-Keyloggern. Einesder bekanntesten Beipiele hierfür ist der KeyGhostUSB Keylogger.Leider sind derzeit nur wenige Antivirus-Lösungen aufdem Markt erhältlich, die das Sicherheitsniveau gewährleisten,das zum Schutz vor der potentiellen Gefahr,die Keylogger in sich bergen, dringend notwendigist. Zu diesen Lösungen gehören die Produkte vonKaspersky Lab. Genauere Informationen hierzu findenSie in dem dritten und letzten Abschnitt dieses Whitepapersüber den „Schutz vor Keyloggern mit den Produktenvon Kaspersky Lab“ ab Seite 19.User-Mode-KeyloggerKeylogger, die im User-Mode arbeiten, sind sowohl inder Umsetzung als auch in der Entdeckung die simpelstenihrer Art. Zum Abfangen nutzen sie Aufrufe bekannterund wohl dokumentierter Funktionen der ProgrammierschnittstelleWin32 API.Zu Keyloggern dieser Machart gehören unter anderem:AdvancedKeyLogger, KeyGhost, Absolute Keylogger,Actual Keylogger, Actual Spy, Family Key Logger,GHOST SPY, Haxdoor, MyDoom.Kaspersky Internet Security erkennt derartige Keyloggermit Hilfe des proaktiven Schutzmechanismus alsInvader (Loader) (die Option Eindringen von Hooksin Fenster des Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviertsein).Zyklische Abfrage des TastaturzustandsDie im Folgenden beschriebene Methode zur Umsetzungvon Keyloggern rangiert bezüglich ihrer Verbreitungauf Platz zwei. Der Zustand aller Tasten wird inkurzen Intervallen mit Hilfe der Funktionen GetAsyncKeyState oder GetKeyState abgefragt. Diese Funktionensenden die Datenfelder des asynchronen odersynchronen Tastaturzustands zurück. Deren Analysegibt Aufschluss darüber, welche Tasten nach der letztenAbfrage gedrückt oder gelöst wurden.Von Vorteil ist, dass diese Methode einigermaßen einfachumzusetzen ist und kein zusätzliches Modul benötigtwird. Die Nachteile liegen darin, dass die Aufzeichnungaller Tastenbetätigungen nicht garantiert istund es zu Lücken kommen kann. Überdies kann einsolcher Keylogger leicht entdeckt werden – durch dieÜberwachung der Prozesse, die die Tastatur mit hoherFrequenz abfragen.Diese Methode wird unter anderem in den folgendenKeyloggern eingesetzt: Computer Monitor, KeyboardGuardian, PC Activity Monitor Pro, Power Spy, PoweredKeylogger, Spytector, Stealth KeyLogger, Total Spy.Keylogger15

Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen des Subsystems Aktivitätsanalyse fürAnwendungen im Modul Proaktiver Schutz muss aktiviertsein).Eindringen in den Prozess und Abfangen der FunktionenGetMessage/PeekMessageDiese Methode zur Umsetzung von Keyloggern wirdselten verwendet. Der Keylogger dringt in alle Prozesseein und fängt in ihnen die Funktionen GetMessageoder PeekMessage aus der Bibliothek user32.dll ab.Hierfür können verschiedene Methoden zum Einsatzkommen: Splicing, Modifikationen der Adress-Listender in die IAT importierten Funktionen, Abfangen derFunktion GetProcAddress, die die Adresse der Funktionaus der geladenen Bibliothek zurücksendet. DerKeylogger kann als DLL realisiert werden oder durchdas direkte Eindringen von Code in einen speziellenProzess. Splicing ist übrigens eine Methode, die zumAbfangen des Aufrufs von API-Funktionen genutzt wird.Dazu tauscht sie die ersten (normalerweise die erstenfünf) Bytes der Instruktionsfunktion JMP, die die Steuerungan den Keylogger-Code weiterleitet.Egal welche der genannten Methoden zum Einsatzkommt, das Ergebnis bleibt dasselbe: Ruft eine Anwendungbeispielsweise die Funktion GetMessagezum Empfang der nächsten Meldung aus der Message-Queueauf, gelangt dieser Aufruf in den Code desTastaturspions. Dieser ruft GetMessage aus user32.dll auf und analysiert die zurückgesendeten Resultatehinsichtlich der Meldungstypen. Sobald eine Tastaturmeldungempfangen wird, werden alle sie betreffendenInformationen aus den Parametern der Meldung herausgezogenund vom Keylogger protokolliert.Zu den Vorteilen dieser Methode gehört zweifellos ihreEffektivität: da sie nur wenig verbreitet ist, ist nur einegeringe Anzahl von Programmen in der Lage, derartigeKeylogger zu finden. Hinzu kommt, dass auchherkömmliche Bildschirmtastaturen nicht gegen diesenKeylogger-Typ schützen, da die von ihnen versendetenMeldungen ebenso von ihm abgefangen werden.Ausnutzung des Raw-Input-ModellsZum gegenwärtigen Zeitpunkt ist lediglich ein Beispielfür die Realisierung dieser Methode bekannt, und zwarein Tool zum Austesten der Schutzfunktionen vor Keyloggernim System. Das Wesen dieser Methode bestehtin der Ausnutzung des neuen Raw-Input-Modells, wobeider Keylogger die Tastatur als ein Gerät registriert,von dem er Eingaben empfangen will. Daraufhin beginntder Keylogger, Daten über gedrückte und gelösteTasten über die Meldung WM_INPUT zu empfangen.Die Vorteile dieser Methode liegen in ihrer Einfachheitund Effektivität: Da die gegebene Methode erstvor kurzem allgemein bekannt geworden ist, ist bisherkaum eine Sicherheitslösung in der Lage, vor derartigenKeyloggern zu schützen.Der Nachteil besteht darin, dass Keylogger dieserMachart sehr einfach aufzuspüren sind, da eine spezielleRegistrierung zum Empfang des Raw Input durchdie Anwendung unerlässlich ist (in der Standardeinstellungwird der Raw Input von keinem einzigen Prozessim System empfangen).Kaspersky Internet Security erkennt Keylogger dieserArt proaktiv (die Option Erkennen von Tastaturspionendes Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviert sein).Kernel-Mode-KeyloggerKeylogger des Kernel-Mode sind weitaus komplexerund komplizierter als Keylogger des User-Mode – sowohlin der Umsetzung als auch bezüglich ihrer Entdeckung.Ihre Entwicklung erfordert spezielle Programmier-Kenntnisse,doch das Ergebnis sind Keylogger,die für alle Anwendungen des User-Mode absolut unbemerktbleiben. Zum Abfangen können sowohl die imMicrosoft Driver Development Kit dokumentierte alsauch andere, nicht dokumentierte Methoden verwendetwerden.Verwendung eines Treiberfilters des TastaturklassentreibersKbdclassKeyloggerNachteile: Modifikationen der IAT-Tabellen könnendas Abfangen nicht garantieren, da die Adressen derFunktionen der Bibliothek user32.dll so lange gespeichertwerden könnten, bis der Keylogger eindringt. DasSplicing ist ebenfalls mit Schwierigkeiten verbunden,etwa auf Grund der Notwendigkeit, den Programmcode„on-the-fly“ zu überschreiben.Kaspersky Internet Security erkennt derartige Keyloggermit Hilfe des proaktiven Schutzmechanismus alsInvader (die Option Eindringen in Prozess (Invaders)des Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviert sein).Hierbei handelt es sich um den im DDK dokumentiertenAnsatz zum Abfangen der Tastatureingabe. Nach diesemModell konstruierte Keylogger fangen die Anfragenan die Tastatur durch die Installation eines Filtersoberhalb des Gerätes \Device\KeyboardClass0 ab, dervon dem Treiber Kbdclass erzeugt wird. Es werden ausschließlichAnfragen des Typs IRP_MJ_READ gefiltert,da gerade diese den Empfang der Codes gedrückterund gelöster Tasten ermöglichen.16

Die Vorteile dieses Ansatzes: Alle Tastenbetätigungenwerden garantiert abgefangen, und eine Entdeckungist ohne den Einsatz eines Treibers nicht möglich, weshalbviele Anti-Keylogger derartige Tastaturspione nichterkennen.Der Nachteil liegt in der Notwendigkeit, einen eigenenTreiber zu installieren.Die bekanntesten Keylogger dieser Art sind ELITE Keyloggerund Invisible KeyLogger Stealth.MJ_DEVICECONTROL.B ab. In diesem Fall ähnelt derKeylogger dem Treiberfilter des Treibers i8042.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz aktiviertsein).Modifikation der Tabelle der SystemdiensteKeServiceDescriptorTableShadowKaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger durch ein Monitoring desTastatur-Stacks der Geräte (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen des Moduls Proaktiver Schutz aktiviertsein).Verwendung eines Treiberfilters des Funktionstreibersi8042prtAuch dies ist eine im DDK dokumentierte Abfang-Methode.Nach diesem Modell konstruierte Keylogger fangendie Anfragen an die Tastatur durch die Installationeines Filters \Device\KeyboardClass0 oberhalb einesnamenlosen Gerätes ab, erzeugt vom Treiber i8042prtunter dem Gerät. Der Treiber i8042prt ist eine Programmierschnittstellezur Ergänzung einer zusätzlichenFunktion zur Bearbeitung des IRQ 1 (IsrRoutine), in dereine Analyse der von der Tastatur empfangenen Datenmöglich ist.Die Vor- und Nachteile entsprechen denen im Punktzuvor. In diesem Fall gibt es allerdings noch ein zusätzlichesManko, nämlich die Abhängigkeit vom jeweiligenTastatur-Typ: Der Treiber i8042prt bearbeitet ausschließlichAnfragen von PS/2-Tastaturen. Aus diesemGrund ist die dargestellte Methode nicht zum Abfangenvon über USB- oder Funk-Tastaturen übermittelten Datengeeignet.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger durch ein Monitoring desTastatur-Stacks der Geräte (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen des Moduls Proaktiver Schutz aktiviertsein).Modifikation der Bearbeitungstabelle der Systemanfragenim Treiber KbdclassNach dieser Methode konstruierte Keylogger fangendie Anfragen an die Tastatur ab, indem sie den EingabepunktIRP_MJ_READ in der Bearbeitungstabelleder Systemanfragen (Dispatch Table) des TreibersKbdclass austauschen. Der Funktionalität nach ist diesdem Treiberfilter des Treibers Kdbclass sehr ähnlich.Auch die Vor-und Nachteile sind dieselben. Eine andereVariante fängt die Funktion des Anfrage-Editors IRP_Hierbei handelt es sich um ein recht verbreitetes Keylogger-Modell,welches analog zu der Methode desUser-Mode funktioniert. Keylogger dieser Machartrealisieren das Abfangen der Anfragen an die Tastaturdurch Patchen des Einsprungspunktes NtUserGetMessage/PeekMessage in der zweiten Tabelle der Systemdienste (KeServiceDescriptorTableShadow) desTreibers win32k.sys. Die Informationen über Tastenbetätigungengelangen in den Keylogger, wenn in irgendeinemThread die Funktionen GetMessage oderPeekMessage aufgerufen werden.Die Methode hat den Vorteil, dass auf diese Weiserealisierte Keylogger nur sehr schwer entdecktwerden, ihre Nachteile liegen in der Notwendigkeit,einen separaten Treiber zu installieren,sowie in der relativ komplizierten Umsetzung:Die Suche nach der Tabelle KeServiceDescriptorTableShadow selbst ist nicht einfach. Hinzu kommt dasProblem, dass andere Treiber den Einsprungspunkt indieser Tabelle bereits gepatcht haben können.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz aktiviertsein).Modifikation der Funktionen NtUserGetMessage /NtUserPeekMessage durch SplicingKeylogger dieses Typs sind höchst selten anzutreffen.Nach dieser Methode realisierte Keyloggerfangen die Anfragen an die Tastatur ab, indem sieden Code der Funktionen NtUserGetMessage oderNtUserPeekMessage mit Hilfe von Splicing modifizieren.Die genannten Funktionen sind im Systemkernelim Treiber win32k.sys realisiert und werden aus denentsprechenden Funktionen der Bibliothek user32.dllaufgerufen. Wie bereits beschrieben, ermöglichen dieseFunktionen das Filtern aller von den Anwendungenempfangenen Meldungen und den Empfang von Informationenüber das Drücken und Lösen von Tasten ausden Tastaturmeldungen.Der Vorteil dieser Art von Keylogger: Sie werden nursehr schwer entdeckt. Die Nachteile liegen in der kompliziertenUmsetzung (der Programmcode muss „on-Keylogger17

the-fly“ überschrieben werden, Keylogger dieser Artsind abhängig von der Version des Betriebssystemsund der installierten Software) und der Notwendigkeiteinen Treiber zu installieren.Treiber-Austausch im Tastatur-Stack der TreiberDiese Methode basiert auf dem Austausch des TreibersKbdclass oder eines Tastaturtreibers der unterenEbene mit einem selbst entwickelten Treiber. Der eindeutigeNachteil dieser Methode besteht in der kompliziertenUmsetzung, da im Vorfeld nicht bekannt ist, welcherTastatur-Typ vom User verwendet wird, und derAustausch des Treibers daher recht einfach entdecktwird. Aus diesem Grund wird diese Methode in der Praxisso gut wie nie umgesetzt.Entwicklung eines Treibers zur Bearbeitung desInterrupts IRQ 1Zur Realisierung dieser Methode ist das Programmiereneines eigenen Kernel-Treibers notwendig, derden Tastaturinterrupt (IRQ 1) abfängt und direkt an dieEingabe-Ausgabe-Ports (60h, 64h) geleitet wird. AufGrund der komplizierten Umsetzung dieser Methodeund der nicht ganz klaren Art von Wechselwirkungenmit dem im System integrierten „Bearbeiter“ des Interrupts(Treiber i8042prt.sys) ist diese Methode zum gegenwärtigenZeitpunkt noch reine Theorie.► Die breite Masse der derzeit existierenden Keyloggerist ein mächtiges Instrument, das problemlos zuunlauteren Zwecken eingesetzt werden kann – inerster Linie zum Diebstahl von über die Tastatur eingegebenenvertraulichen Informationen.► Antiviren-Hersteller müssen ihre Kunden unbedingtvor den Bedrohungen schützen, die von Keyloggernin den Händen von Kriminellen ausgehen können.Da die Schutzmechanismen immer ausgereifter werden,sind die Keylogger-Autoren gezwungen, sich mitder Umsetzung immer komplizierterer Tastaturspione– unter anderem solcher, die die Kernel-Treiber desBetriebssystems Windows nutzen – auseinanderzusetzen.In diesem Bereich eröffnet sich ihnen noch eineVielzahl von Möglichkeiten.Nikolay GrebennikovStellvertretender Direktor der Abteilung fürinnovative Technologien, Kaspersky LabFazitIn der vorliegenden Analyse wurde der Algorithmusder Datenübertragung vom Drücken einer Taste aufder Tastatur durch den Anwender bis zum Erscheineneines Zeichens auf dem Bildschirm dargestellt. Desweiteren wurden die einzelnen Glieder der Signal-Bearbeitungsketteanalysiert und die verschiedenen Umsetzungenvon Keyloggern, die auf dem Abfangen vonTastatureingabe auf bestimmten Etappen des beschriebenenAlgorithmus basieren, genauer beschrieben.► Das hier untersuchte Schema der Tastatureingabeim Betriebssystem Windows ist hinreichend kompliziert,und in praktisch jedem Schritt könnte ein Keyloggerinstalliert werden.► Es besteht eindeutig ein Verhältnis zwischen demVerbreitungsgrad von Keyloggern und der Komplexitätihrer Entwicklung. Daher gehören die am weitestenverbreiteten Realisierungs-Methoden vonKeyloggern – nämlich die Installation von Hooksauf Eingabeereignisse und die zyklische Abfrageder Tastaturzustände – auch gleichzeitig zu den ameinfachsten umsetzbaren Keylogger-Typen. Ein derartigerTastaturspion kann selbst von jemandem geschriebenwerden, der erst vor einer Woche mit demProgrammieren angefangen hat.Keylogger18

Schutz vor Keyloggern mit Produkten vonKaspersky LabAngesichts der Möglichkeiten, die Keylogger Kriminelleneröffnen, muss deren Entdeckung für jeden Antiviren-Herstelleroberste Priorität haben. Im Folgendenwird aufgezeigt, wie die Produkte von Kaspersky Labvor dem Spy Lantern Keylogger und dessen neuenoder modifizierten Versionen schützen.Allgemeine Merkmale von Spy Lantern KeyloggerSpy Lantern Keylogger verfügt über funktionale Merkmale,die für die breite Masse der existierenden Keyloggercharakteristisch sind. Er sticht dadurch hervor,dass er Rootkit-Technologie verwendet und so seineAnwesenheit im System verbirgt.Allgemeine Angaben:► Archivname: spy-lantern-keylogger-pro.zip► Grundlegendes Funktionsprinzip: Standard-Hookauf Tastaturereignisse► Zusätzliches Funktionsprinzip: Periodische Abfragedes Tastaturzustands► Rootkit-Schutz über einen Kernel-Mode-Treiber► Eine verborgene Installation ist in der untersuchtenVersion 5.4.2 des Keyloggers nicht vorgesehen.► URL des Entwicklers: www.spy-lantern.com Sonstiges:• Programmzugriff über Hotkeys• Unterstützung von Fast User Switch, WindowsTerminal Services• benutzerfreundliches Interface• Tool „Reports Viewer“ zum Lesen der ProtokolleUnterstützung der Betriebssysteme WindowsXP/2000/2003 ServerIm Folgenden werden die Suchergebnisse nach derzu Spy Lantern Keylogger gehörenden Treiberdateidargestellt, die mit Hilfe von Scannern verschiedenerAntiviren-Hersteller auf der Site www.virustotal.com erzieltwurden.Laut Beschreibung auf der Site des Autors verfügt SpyLantern Keylogger über die folgenden Funktionen: Überwachung und Protokollierung:• Tastenbetätigungen• besuchte Web-Sites• mit Hilfe von Instant-Messangern gesendeteund empfangene Mitteilungen (ICQ, Yahoo, AIM,MSN)• Passwörter• geöffnete Anwendungen• An- und Ausschalten des Computers, Übergangdes Computers in den Standby-Modus• Logins und Logouts des Users Speicherung von Screenshots Übermittlung der Protokolle:• per E-Mail• Speicherung in einem bestimmten Ordner Sicherheit:• absolut unsichtbar• Passwort-geschützte Konfiguration, PasswortgeschützteDeinstallation• verschlüsselte ProtokolldateienDie oben aufgeführten Daten zeigen, dass einige Antiviren-Programme(zum Beispiel jenes von Symantec)das Programm Spy Lantern Keylogger als Spywareklassifizieren. Kaspersky Lab hingegen stuft die vorliegendeVersion des Keyloggers als potentiell gefährlicheSoftware (mit dem Präfix not-a-virus) ein, da diefehlende Möglichkeit einer verborgenen Installation esKriminellen erschwert, die laufende Version auf demComputer eines potentiellen Opfers zu installieren.Nach Angaben der Entwickler auf der offiziellen Sitedes Produktes ist für die kommende Version übrigensdie Option „verborgene Installation“ geplant.Die folgenden Aspekte werden nun nacheinander genaueruntersucht:► die funktionalen Möglichkeiten des Keyloggers, dieAufschluss über seine für Kriminelle interessantenEigenschaften geben► eine Möglichkeiten zum Verbergen im System► die Mechanismen zur Neutralisierung des Keyloggersmit Hilfe der Produkte von Kaspersky LabKeylogger19

Funktionen des Spy Lantern KeyloggerBei der Testversion erfolgt die Installation des Keyloggersnicht im verborgenen Modus. Nach erfolgreicherInstallation wird ein Eintrag im Menü Start/Programme erstellt. Allerdings ist nun ein Neustart desComputers nötig. Der einzige Grund hierfür liegt in derNotwendigkeit, den Treiber zu laden, der die Dateienund Prozesses des Keyloggers im System verbirgt.Unter dem zweiten Reiter ist nur eine einzige Einstellungmöglich, nämlich der Takt, in dem vom Keyloggerein Screenshot gemacht werden soll.Das Hauptfenster des Keyloggers kann entweder übereinen Befehl im Startmenü oder über die TastenkombinationCTRL+ALT+SHIFT+L aufgerufen werden. Vonhier aus gelangt man zur Programmkonfiguration (ControlCenter) und zu den Protokollen (Reports Viewer).Der dritte Reiter ermöglicht Einstellungen zur Übermittlungder vom Keylogger erstellten Protokolle an denjenigen,der den Keylogger im System installiert hat – anden Administrator, an Eltern... oder an Kriminelle.KonfigurationsmöglichkeitenDie Konfiguration des Keyloggers ist in fünf Reiter unterteilt.Unter dem ersten Reiter Spy Module lässt sichdie Größe der Protokoll-Datei einstellen sowie dasautomatische Laden des Programms beim Start vonWindows. Überdies hat man hier die Möglichkeit, dieaktuelle Datei auf der Festplatte zu speichern und dieAufzeichnung von neuem zu beginnen.Unter dem vierten Reiter Security Options könnenPasswort und Hotkey für den Zugang zur Konfigurationeingegeben werden. Außerdem lässt sich die Ansichtder Programmpunkte im Startmenü konfigurieren. MitHilfe der zwei letztgenannten Einstellungen lässt sichder Keylogger im System verbergen, wodurch dieserohne Wissen des Anwenders aktiv werden kann.Keylogger20

Der letzte, fünfte Reiter enthält einen Warnhinweis, welcherdem Anwender beim Login gezeigt werden kann.In diesem, von den Entwicklern des Keyloggers MonitoringPolicy genannten Text, wird darauf hingewiesen,dass das Sammeln von Daten ohne Wissen des Benutzersdes entsprechenden Computers in manchenStaaten der USA und anderen Ländern ungesetzlichist. Allerdings wird dieser Hinweis in der Standardeinstellungnicht gezeigt, was neben den möglichen Konfigurationenunter dem vorherigen Reiter dazu beiträgt,den Keylogger vor dem Anwender zu verbergen. Geöffnete Web-Sites: Zeigt eine Auflistung der Web-Sites, die vom Anwender besucht wurden. Die Web-Sites sind alphabetisch nach den Domain- Namender oberen Ebene geordnet. Passworteingabe: Zeigt eine Aufstellung der vomUser in verschiedenen Anwendungen eingegebenenPasswörter, die nach den Namen der entsprechendenAnwendungen geordnet sind.Reports ViewerDie Protokolle der vom Keylogger aufgezeichneten Ereignissekönnen mit Hilfe des Moduls Reports Viewereingesehen werden, welches über das Hauptfensterdes Programms aufgerufen werden kann. Im linken Teildes Fensters Reports Viewer befindet sich eine Navigationsleiste,die eine Auswahl aus 7 verschiedenenArten überwachter Daten anbietet: Tastenbetätigungen: Zeigt eine Aufstellung der gedrücktenTasten inklusive der entsprechenden Zeitangaben,geordnet nach den Namen der jeweiligenAnwendungen, innerhalb derer die Tastenbetätigungenvorgenommen wurden: Chats: Zeigt die Mitteilungen, die der Anwender mittelsunterschiedlicher Instant-Messanger-Systeme(ICQ und andere) versendet oder empfangen hat. Screenshots: Zeigt eine Aufstellung der Screen shots,die vom Programm in bestimmten, durch die Konfigurationfestgelegten Abständen erstellt wurden.Keylogger21

Anwendungslisten: Zeigt eine Auflistung der im Systemgeöffneten Anwendungen sowie deren Gesamt-und aktive Zeit.Möglicherweise sind ein Zugangspasswort zu einemSchachserver und die Züge von bereits gespieltenPartien für einen Durchschnitts-User nicht gleichermaßenbedeutend wie etwa Informationen über seineBankkonten. Doch man stelle sich nur einmal vor, beidem entsprechenden User handelte es sich um einenTeilnehmer der Schach-Weltmeisterschaft, der seinenächste Partie vorbereitet, und es wird klar, dass unterbestimmten Umständen auch solche Informationen vongroßem Wert sein können. Es sei darauf hingewiesen,dass die während eines Besuchs von Online-Banking-Sites dargestellten vertraulichen Informationen ebensowie die Daten im oben beschriebenen Beispiel vomKeylogger protokolliert werden können.Auswirkungen des in Spy Lantern Keylogger integriertenRootkits auf ein ungeschütztes System PC-Aktivität: Zeigt eine Aufstellung von Ereignissen,wie etwa das Anschalten, den Zeitpunkt des Herunterfahrens,den Übergang des Computers in denStandby-Modus, Logins und Logouts des Users.Abschließend folgt nun eine Gesamtaufstellung derInfor mationen, die ein potentieller Verbrecher mit Hilfedes Spy Lantern Keyloggers sammeln könnte. Diedazu gehörigen Screenshots sind weiter oben dargestellt.Ein Krimineller würde erfahren, dass:► der Anwender mit dem Benutzernamen Mamushaam 9. Februar 2007 zweimal ins System gegangenist, nämlich um 23:13 Uhr und um 23:26 Uhr► der Anwender dabei verschiedene Anwendungengeladen hat, unter anderem Acrobat Reader, MicrosoftExcel, Far und PlayChess► der Anwender auf der Site www.google.com im Internetrecherchiert, seine E-Mails unter www.mail.ruabgerufen und sich bei WebPlanet über das Weltgescheheninformiert hat► der Anwender Daten in verschiedene Anwendungeneingegeben hat – vom simplen Kopieren des ArtikelsUnsichtbar in Windows NT in den Texteditor notepadbis hin zur Eingabe des User-Passworts im Schach-Client PlayChess► der Anwender einige Partien Online-Schach gespielthat, wobei die Aufnahme-Funktion von Screenshotsdes Keyloggers nahezu jeden einzelnen Spielzugder Partien nachvollziehbar macht.An dieser Stelle werden die Mechanismen der zumKeylogger gehörenden Verbergungsfunktion genaueruntersucht. Im Abschnitt über die Konfiguration desKeyloggers wurden bereits zwei simple Verbergungsmethodenbeschrieben, nämlich die Möglichkeit, imStartmenü den Verweis auf den Keylogger zu unterbindenund den Warnhinweis beim Systemstart nichtanzuzeigen. In diesem Abschnitt hingegen geht es umVerbergungsfunktionen, die durch ein in Spy LanternKeylogger integriertes Rootkit erzeugt werden. Da derleiFunktionen in einem völlig legalen, für Kriminelle uninteressantenProgramm absolut unnötig sind, werdensie von den Antivirus-Produkten von Kaspersky Laberkannt.Verborgene DateienBei jeder erneuten Installation des Keyloggers vergibtdas Installationsprogramm zufällige Namen an dieKeylogger-Dateien. Der einzige plausible Grund fürein solches Vorgehen besteht darin, die Suche nachdem im System installierten Keylogger zu erschweren.Allerdings ist das nicht ausreichend, da die meistenAntiviren-Programme keine Suche nach Dateinamen,sondern vielmehr nach dem Inhalt der Dateien durchführen.Die manuelle Entdeckung des Keyloggers kannmit Hilfe dieser Maßnahme jedoch durchaus erschwertwerden: Die Dateinamen verändern sich ständig, wodurchein Erfahrungsaustausch unter Anwendern bezüglichdes Löschens des Keyloggers aus dem Systemrelativ ineffektiv wird.Im Datei-Menü im Konfigurationsfenster Control Centerdes Programms sind die vergebenen Dateinamen aufgelistet(wobei diese Liste nach jeder erneuten Installationdes Programms andere Namen enthält). Bei einerkonkreten Beispiel-Installation beginnen alle Dateinamenmit demselben Präfix ketaf. Aufgrund diesesPräfixes in den Dateinamen erkennt der Rootkit-Treiber,welche Dateien in der Auflistung im Dateisystemverborgen werden sollen.Keylogger22

Verborgene RegistrierungsschlüsselDie folgende Abbildung zeigt den Registry Editor, indem die vom Keylogger erzeugten Schlüssel KetafDriverund KetafSrv aufgeführt sind. Sie sind sichtbar, obgleichRootkits für gewöhnlich auch diesen Aspekt ihrerAnwesenheit im System verbergen. Daher entsprichtauch das von den Entwicklern des Spy Lantern Keyloggersangepriesene Merkmal „absolut unsichtbar“ nichtder Realität.In der folgenden Abbildung ist das Verzeichnis C:\Windows\System32 direkt nach der Installation desKeyloggers dargestellt. Es hat den Anschein, als wärekeine der oben gezeigten Dateien in diesem Ordnerenthalten, obwohl dies bekanntermaßen der Fall ist.Verborgene ProzesseAnalog zu den Dateien versteckt der Rootkit-Treiberauch die Prozesse des Keyloggers im System. Diefolgende Abbildung zeigt den Windows Task Manager,der keinen Keylogger-Prozess anzeigt, obwohl dieser(ketaf.exe) de facto im System vorhanden ist.Insgesamt betrachtet wurden in dem von uns untersuchtenKeylogger alle Möglichkeiten zum Verbergenim System umgesetzt – mit Ausnahme des Verbergensder Schlüssel der System-Registry. Zum Verbergender Dateien und Prozesse des Keyloggers wird einKerneltreiber des Betriebssystems verwendet, was dieEntdeckung bedeutend erschwert. Kriminelle könnendas gegebene Programm also im unsichtbaren Modusbenutzen. Dabei ist es nicht nur unmöglich den Keyloggermanuell aufzuspüren, sondern auch Antivirus-Programme,die nur über unzureichende Schutzmechanismenvor Rootkits des Kernel-Mode verfügen, sind nichtin der Lage ihn aufzuspüren. Leider verfügte die Mehrheitder integrierten Schutzsysteme bis vor kurzemnicht über eine derartige Funktion, allerdings bessertsich die Situation auf diesem Gebiet allmählich.Schutz vor Keyloggern in Kaspersky-ProduktenVerschiedene Funktionen in Kaspersky Anti-Virus undKaspersky Internet Security ermöglichen die Neutralisierungder Aktivität des Spy Lantern Keyloggers –sowohl während dessen Installation als auch bei derInstallation des Schutzprogramms auf einem Systemmit bereits aktivem Keylogger. Während der Installationbieten die Produkte von Kaspersky Lab die Auswahlzwischen interaktivem und automatischem Arbeitsmodus.Im automatischen Modus trifftdas Programm in der Mehrheit derFälle selbst eine Entscheidung undinformiert den Anwender nur übereindeutig gefährliche Ereignisse.Läuft die Anwendung im interaktivenModus, wird der Anwenderüber gefährliche und verdächtigeEreignisse informiert und hat danndie Möglichkeit, eigenständig eineEntscheidung über das weitere Vorgehenzu treffen. Im Folgenden wirddie Funktionsweise im interaktivenModus genauer beschrieben.Keylogger23

Entdecken mit Hilfe von Signatur-DatenbankenWie schon erwähnt, ist die Signatur des vorliegendenKeyloggers bereits in den Antivirus-Datenbanken vonKaspersky Lab vorhanden. Da dieser Keylogger allerdingsals legales Programm positioniert wird, das zuvöllig legalen Zwecken genutzt werden kann, befindetsich dessen Signatur in der Kategorie riskware (potentiellgefährliche Software). Das Entdecken von Programmendieser Kategorie ist in der Standardkonfigurationnicht vorgesehen. Um diese Funktion zu aktivieren,muss unter Einstellungen/Schutz das Kästchen vordem Punkt Potentiell gefährliche Software; Remoteverwaltungsprogramme,Scherzprogramme unter Kategorienfür schädliche Software angeklickt werden:In der Grundeinstellung startet Kaspersky InternetSecurity die Überprüfung von Autostart-Objekten mitHilfe einer speziellen Systemfunktion. Diese Methodeermöglicht auch das Entdecken der verborgenen Dateiendes Spy Lantern Keyloggers (in diesem Fall mitdem Präfix ketaf), die für alle ande ren Anwendungendes Betriebssystems unsichtbar sind.Schließlich erscheint ein Dialogfenster, analog zu demoben dargestellten. Entscheidet sich der Anwender dafür,den Keylogger zu löschen, so schlägt KasperskyInternet Security die Desinfizierung der aktiven Infizierungvor – da der Keylogger-Prozess zum entsprechendenZeitpunkt aktiv ist (wenn auch mit Hilfe desRootkit-Treibers nicht sichtbar).Wurde die Funktion zum Aufspüren potentiell gefährlicherSoftware aktiviert, erscheint bei der Installationdes Keyloggers der folgende Warnhinweis:KeyloggerDer Keylogger wird daraufhin blockiert, und der Anwenderhat nun die Möglichkeit, die installierte Datei durchAnklicken der entsprechenden Schaltfläche zu löschen.Lässt der Anwender die Installation zu, wird nach abgeschlossenerInstallation des Keyloggers ein Neustartdes Computers durchgeführt und der Keylogger wirddaraufhin im verborgenen Modus aktiv. Unabhängigvom Modus ermöglicht Kaspersky Internet Security dieEntdeckung und Neutralisierung des Keyloggers.Bei der Desinfektion einer aktiven Infizierung handelt essich um eine von den Kaspersky Lab-Spezialisten entwickelteProzedur, die die Neutralisierung schädlicherSoftware ermöglicht, unabhängig davon, wie „tief“ dieseim Betriebssystem verankert ist. Diese Prozedurwird immer dann aktiviert, wenn Kaspersky InternetSecurity einen schädlichen Prozess im Arbeitsspeicheroder unter den Autostart-Objekten entdeckt.Am Ende dieser Prozedur steht das Löschen des Keyloggers,woraufhin ein Neustart des Computers gefordertwird. Dieser ist unbedingt erforderlich, damit sichder aktive Schadcode nicht auf dem Computer des Anwendersverankern kann.24

Hat der Anwender der Desinfektion einer aktiven Infizierungzugestimmt, so werden die Keylogger-Dateiennach dem Neustart des Computers für jeden Prozessim System sichtbar:Ein wesentliches Merkmal der Produkte von KasperskyLab ist das leistungsstarke Modul Proaktiver Schutz.Der proaktive Schutz unterscheidet sich von dem Signatur-basiertendadurch, dass der Anwender nichtmehr warten muss, bis die Signatur einer neuen Bedrohungin die Antivirus-Datenbanken aufgenommen wirdund das Produkt das entsprechende Update vom Serverdes Herstellers herunter geladen hat. Das ModulProaktiver Schutz bietet dem Anwender – auch ohneAktualisierung der Datenbanken – Schutz vor neuenBedrohungstypen und Modifikationen existierenderSchadprogramme, denn seine Funktionsweise beruhtauf der ununterbrochenen Überwachung der Aktivitätaller Prozesse im System des Anwenders. Die Einstufung(gefährlich, verdächtig usw.) ergibt sich auf Grundder Analyse dieser Aktivität. Der in die Kaspersky-Produkteintegrierte proaktive Schutz gewährleistet Schutzvor verschiedenen Arten von Schadprogrammen, inklusiveKeylogger und Rootkits.In den Einstellungen des Subsystems Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz werdenoptional die folgenden drei Funktionen zum Schutz vorRootkits und Keyloggern angeboten: Auftreten einesversteckten Prozesses (Rootkit), Eindringen von Hooksin Fenster und Entdecken von Tastaturspionen:Analog zu den Keylogger-Dateien werden nach derDesinfektion einer aktiven Infizierung und dem darauffolgenden Neustart des Computers auch die Prozessedes Keyloggers (ketaf.exe und ketafl.exe) für den Anwendersichtbar, wie die Abbildung des Windows TaskManagers zeigt:Im Folgenden wird dargestellt, wie das Modul ProaktiverSchutz die Aktivität des Spy Lantern Keyloggersneutralisiert.Installation eines globalen Hooks verhindernZum Abfangen der Tastatureingaben verwendet derSpy Lantern Keylogger im Wesentlichen die Methodeder Installation eines Hooks auf die Tastaturereignissemit Hilfe der Funktion SetWindowsHook.KeyloggerProaktiver SchutzDas Modul Proaktiver Schutz informiert den Anwenderüber die Installation eines Hooks und überlässt es demAnwender durch einen Klick auf die entsprechendeSchaltfläche, die Tätigkeit des Keyloggers zu beendenund die Installation des Hooks zuzulassen oder zu verbieten.25

Beim Abfangen von Tastatureingaben durch die Installationeines globalen Hooks auf die Tastaturereignissewird eine spezielle Filterfunktion verwendet, die sichin einer separaten dynamischen Bibliothek befindet(DLL). Als Entscheidungshilfe liefert Kaspersky InternetSecurity seinen Kunden so viele und so genaue Informationenwie nur möglich, daher sind mit einem Klickauf das Feld „Details“ auch in dem dargestellten Fallweitere Informationen zu einer derartigen dll zu finden.Es wurde bereits darauf hingewiesen, dass der Nameder DLL bei jeder Installation des Keyloggers zufälligvergeben wird (in unserem Fall ketafh.dll):Aufspüren verborgener Keylogger-ProzesseNach dem Neustart des Computers, der infolge der Installationvon Spy Lantern Keylogger durchgeführt wird,öffnet Kaspersky Internet Security ein Fenster, das denUser darüber informiert, dass der Prozess ketaf.exeversteckt läuft. Das Verbergen des Prozesses wird mitHilfe des Treibers ketaf.sys umgesetzt, der den Aufrufzweier Funktionen der Auflistung der Prozesse und derDatei-Liste im Kernel des Betriebssystems abfängt.Das proaktive Schutzmodul findet ohne Ausnahme alleverborgenen Prozesse im System, unabhängig davon,wie sich diese verstecken. Der Benutzer kann dannzwischen folgenden Aktionen wählen: Verschieben derausführbaren Datei des verborgenen Prozesses in dieQuarantäne, Beenden oder Ausführen des Prozesses.Hat der Anwender die Installation eines Hooks auf dieTastaturereignisse verboten, so werden im Folgendenkeine weiteren Tastaturbetätigungen in den Keylogger-Protokollen verzeichnet.Hat der Anwender den Keyloggerprozess beendet,wird bei dem Versuch, das Konfigurations-Fenster oderden Reports Viewer des Keyloggers aufzurufen, die folgendeFehlermeldung angezeigt:Verhinderung der zyklischen Abfrage desTastaturzustandesEine zusätzliche Methode, die Spy Lantern Keyloggerzum Abfangen der Tastatureingabe verwendet, ist diezyklische Abfrage des Tastaturzustands mit Hilfe derFunktion GetAsyncKeyState. Das proaktive Schutzmodulwarnt den Anwender umgehend und bietet die Möglichkeitden Keylogger-Prozess zu beenden.Fazit► Genauer untersucht und beschrieben wurde ein leistungsstarker,„legaler“ Keylogger, der sich zweierTechnologien zum Abfangen der Tastatureingabebedient und überdies Rootkit-Technologie zum Verbergenseiner Anwesenheit im System einsetzt.► Die Funktionsweise des Spy Lantern Keyloggers isttypisch für die Mehrheit der Tastaturspione. Kriminellekönnen damit Anwenderaktivitäten ausspionierenund vertrauliche Informationen stehlen.► Die Produkte von Kaspersky Lab können jeglichedestruktive Aktivität von Spy Lantern Keylogger erkennenund neutralisieren, selbst wenn dieser durcheinen Kernel-Mode-Treiber geschützt ist.► Die potentielle Gefahr, die von Keyloggern ausgeht,macht die Entdeckung von Tastaturspionen jeglicherArt und die Neutralisierung ihrer Aktivität zur oberstenPriorität für die Antiviren-Industrie.► Die Produkte von Kaspersky Lab können – mit Hilfeder Signatur-Datenbanken – sowohl existierendeKeylogger als auch – durch das Modul ProaktiverSchutz – Modifikationen und neue Typen von Tastaturspionenerkennen.KeyloggerNikolay GrebennikovStellvertretender Direktor der Abteilung fürinnovative Technologien, Kaspersky Lab26

Kaspersky LabKaspersky Lab reagiert im weltweiten Vergleich vonAntivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware,Hacker, Phishing-Attacken und Spam.KeyloggerDie Produkte des global agierenden Unternehmens mitHauptsitz in Moskau haben sich sowohl bei Endkundenals auch bei KMUs, Großunternehmen und im mobilenUmfeld durch ihre erstklassigen Erkennungsraten undminimalen Reaktionszeiten einen Namen gemacht.Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteilvieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.KontaktKaspersky Labs GmbHSteinheilstr. 1385053 IngolstadtTelefon: +49 (0)841 981 89 0Telefax: +49 (0)841 981 89 100info@kaspersky.dewww.kaspersky.de27