Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen des Subsystems Aktivitätsanalyse fürAnwendungen im Modul Proaktiver Schutz muss aktiviertsein).Eindringen in den Prozess und Abfangen der FunktionenGetMessage/PeekMessageDiese Methode zur Umsetzung von Keyloggern wirdselten verwendet. Der Keylogger dringt in alle Prozesseein und fängt in ihnen die Funktionen GetMessageoder PeekMessage aus der Bibliothek user32.dll ab.Hierfür können verschiedene Methoden zum Einsatzkommen: Splicing, Modifikationen der Adress-Listender in die IAT importierten Funktionen, Abfangen derFunktion GetProcAddress, die die Adresse der Funktionaus der geladenen Bibliothek zurücksendet. DerKeylogger kann als DLL realisiert werden oder durchdas direkte Eindringen von Code in einen speziellenProzess. Splicing ist übrigens eine Methode, die zumAbfangen des Aufrufs von API-Funktionen genutzt wird.Dazu tauscht sie die ersten (normalerweise die erstenfünf) Bytes der Instruktionsfunktion JMP, die die Steuerungan den Keylogger-Code weiterleitet.Egal welche der genannten Methoden zum Einsatzkommt, das Ergebnis bleibt dasselbe: Ruft eine Anwendungbeispielsweise die Funktion GetMessagezum Empfang der nächsten Meldung aus der Message-Queueauf, gelangt dieser Aufruf in den Code desTastaturspions. Dieser ruft GetMessage aus user32.dll auf und analysiert die zurückgesendeten Resultatehinsichtlich der Meldungstypen. Sobald eine Tastaturmeldungempfangen wird, werden alle sie betreffendenInformationen aus den Parametern der Meldung herausgezogenund vom Keylogger protokolliert.Zu den Vorteilen dieser Methode gehört zweifellos ihreEffektivität: da sie nur wenig verbreitet ist, ist nur einegeringe Anzahl von Programmen in der Lage, derartigeKeylogger zu finden. Hinzu kommt, dass auchherkömmliche Bildschirmtastaturen nicht gegen diesenKeylogger-Typ schützen, da die von ihnen versendetenMeldungen ebenso von ihm abgefangen werden.Ausnutzung des Raw-Input-ModellsZum gegenwärtigen Zeitpunkt ist lediglich ein Beispielfür die Realisierung dieser Methode bekannt, und zwarein Tool zum Austesten der Schutzfunktionen vor Keyloggernim System. Das Wesen dieser Methode bestehtin der Ausnutzung des neuen Raw-Input-Modells, wobeider Keylogger die Tastatur als ein Gerät registriert,von dem er Eingaben empfangen will. Daraufhin beginntder Keylogger, Daten über gedrückte und gelösteTasten über die Meldung WM_INPUT zu empfangen.Die Vorteile dieser Methode liegen in ihrer Einfachheitund Effektivität: Da die gegebene Methode erstvor kurzem allgemein bekannt geworden ist, ist bisherkaum eine Sicherheitslösung in der Lage, vor derartigenKeyloggern zu schützen.Der Nachteil besteht darin, dass Keylogger dieserMachart sehr einfach aufzuspüren sind, da eine spezielleRegistrierung zum Empfang des Raw Input durchdie Anwendung unerlässlich ist (in der Standardeinstellungwird der Raw Input von keinem einzigen Prozessim System empfangen).Kaspersky Internet Security erkennt Keylogger dieserArt proaktiv (die Option Erkennen von Tastaturspionendes Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviert sein).Kernel-Mode-KeyloggerKeylogger des Kernel-Mode sind weitaus komplexerund komplizierter als Keylogger des User-Mode – sowohlin der Umsetzung als auch bezüglich ihrer Entdeckung.Ihre Entwicklung erfordert spezielle Programmier-Kenntnisse,doch das Ergebnis sind Keylogger,die für alle Anwendungen des User-Mode absolut unbemerktbleiben. Zum Abfangen können sowohl die imMicrosoft Driver Development Kit dokumentierte alsauch andere, nicht dokumentierte Methoden verwendetwerden.Verwendung eines Treiberfilters des TastaturklassentreibersKbdclassKeyloggerNachteile: Modifikationen der IAT-Tabellen könnendas Abfangen nicht garantieren, da die Adressen derFunktionen der Bibliothek user32.dll so lange gespeichertwerden könnten, bis der Keylogger eindringt. DasSplicing ist ebenfalls mit Schwierigkeiten verbunden,etwa auf Grund der Notwendigkeit, den Programmcode„on-the-fly“ zu überschreiben.Kaspersky Internet Security erkennt derartige Keyloggermit Hilfe des proaktiven Schutzmechanismus alsInvader (die Option Eindringen in Prozess (Invaders)des Subsystems Aktivitätsanalyse für Anwendungenim Modul Proaktiver Schutz muss aktiviert sein).Hierbei handelt es sich um den im DDK dokumentiertenAnsatz zum Abfangen der Tastatureingabe. Nach diesemModell konstruierte Keylogger fangen die Anfragenan die Tastatur durch die Installation eines Filtersoberhalb des Gerätes \Device\KeyboardClass0 ab, dervon dem Treiber Kbdclass erzeugt wird. Es werden ausschließlichAnfragen des Typs IRP_MJ_READ gefiltert,da gerade diese den Empfang der Codes gedrückterund gelöster Tasten ermöglichen.16
Die Vorteile dieses Ansatzes: Alle Tastenbetätigungenwerden garantiert abgefangen, und eine Entdeckungist ohne den Einsatz eines Treibers nicht möglich, weshalbviele Anti-Keylogger derartige Tastaturspione nichterkennen.Der Nachteil liegt in der Notwendigkeit, einen eigenenTreiber zu installieren.Die bekanntesten Keylogger dieser Art sind ELITE Keyloggerund Invisible KeyLogger Stealth.MJ_DEVICECONTROL.B ab. In diesem Fall ähnelt derKeylogger dem Treiberfilter des Treibers i8042.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz aktiviertsein).Modifikation der Tabelle der SystemdiensteKeServiceDescriptorTableShadowKaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger durch ein Monitoring desTastatur-Stacks der Geräte (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen des Moduls Proaktiver Schutz aktiviertsein).Verwendung eines Treiberfilters des Funktionstreibersi8042prtAuch dies ist eine im DDK dokumentierte Abfang-Methode.Nach diesem Modell konstruierte Keylogger fangendie Anfragen an die Tastatur durch die Installationeines Filters \Device\KeyboardClass0 oberhalb einesnamenlosen Gerätes ab, erzeugt vom Treiber i8042prtunter dem Gerät. Der Treiber i8042prt ist eine Programmierschnittstellezur Ergänzung einer zusätzlichenFunktion zur Bearbeitung des IRQ 1 (IsrRoutine), in dereine Analyse der von der Tastatur empfangenen Datenmöglich ist.Die Vor- und Nachteile entsprechen denen im Punktzuvor. In diesem Fall gibt es allerdings noch ein zusätzlichesManko, nämlich die Abhängigkeit vom jeweiligenTastatur-Typ: Der Treiber i8042prt bearbeitet ausschließlichAnfragen von PS/2-Tastaturen. Aus diesemGrund ist die dargestellte Methode nicht zum Abfangenvon über USB- oder Funk-Tastaturen übermittelten Datengeeignet.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger durch ein Monitoring desTastatur-Stacks der Geräte (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen des Moduls Proaktiver Schutz aktiviertsein).Modifikation der Bearbeitungstabelle der Systemanfragenim Treiber KbdclassNach dieser Methode konstruierte Keylogger fangendie Anfragen an die Tastatur ab, indem sie den EingabepunktIRP_MJ_READ in der Bearbeitungstabelleder Systemanfragen (Dispatch Table) des TreibersKbdclass austauschen. Der Funktionalität nach ist diesdem Treiberfilter des Treibers Kdbclass sehr ähnlich.Auch die Vor-und Nachteile sind dieselben. Eine andereVariante fängt die Funktion des Anfrage-Editors IRP_Hierbei handelt es sich um ein recht verbreitetes Keylogger-Modell,welches analog zu der Methode desUser-Mode funktioniert. Keylogger dieser Machartrealisieren das Abfangen der Anfragen an die Tastaturdurch Patchen des Einsprungspunktes NtUserGetMessage/PeekMessage in der zweiten Tabelle der Systemdienste (KeServiceDescriptorTableShadow) desTreibers win32k.sys. Die Informationen über Tastenbetätigungengelangen in den Keylogger, wenn in irgendeinemThread die Funktionen GetMessage oderPeekMessage aufgerufen werden.Die Methode hat den Vorteil, dass auf diese Weiserealisierte Keylogger nur sehr schwer entdecktwerden, ihre Nachteile liegen in der Notwendigkeit,einen separaten Treiber zu installieren,sowie in der relativ komplizierten Umsetzung:Die Suche nach der Tabelle KeServiceDescriptorTableShadow selbst ist nicht einfach. Hinzu kommt dasProblem, dass andere Treiber den Einsprungspunkt indieser Tabelle bereits gepatcht haben können.Kaspersky Internet Security erkennt derartige Keyloggerproaktiv als Keylogger (die Option Erkennen vonTastaturspionen muss im Subsystem Aktivitätsanalysefür Anwendungen im Modul Proaktiver Schutz aktiviertsein).Modifikation der Funktionen NtUserGetMessage /NtUserPeekMessage durch SplicingKeylogger dieses Typs sind höchst selten anzutreffen.Nach dieser Methode realisierte Keyloggerfangen die Anfragen an die Tastatur ab, indem sieden Code der Funktionen NtUserGetMessage oderNtUserPeekMessage mit Hilfe von Splicing modifizieren.Die genannten Funktionen sind im Systemkernelim Treiber win32k.sys realisiert und werden aus denentsprechenden Funktionen der Bibliothek user32.dllaufgerufen. Wie bereits beschrieben, ermöglichen dieseFunktionen das Filtern aller von den Anwendungenempfangenen Meldungen und den Empfang von Informationenüber das Drücken und Lösen von Tasten ausden Tastaturmeldungen.Der Vorteil dieser Art von Keylogger: Sie werden nursehr schwer entdeckt. Die Nachteile liegen in der kompliziertenUmsetzung (der Programmcode muss „on-Keylogger17
Seite 1 und 2: W H I T E P A P E RKeylogger: Funkt
Seite 3: Verfügen die Kriminellen erst einm
Seite 9 und 10: Interaktion auf der unteren Ebene m
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13 und 14: über den Eingabe-Zustand. Bezügli
Seite 15: Installation des Hooks für Tastatu
Seite 19 und 20: Schutz vor Keyloggern mit Produkten
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23 und 24: Verborgene Registrierungsschlüssel
Seite 25 und 26: Hat der Anwender der Desinfektion e
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?