Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

the-fly“ überschrieben werden, Keylogger dieser Artsind abhängig von der Version des Betriebssystemsund der installierten Software) und der Notwendigkeiteinen Treiber zu installieren.Treiber-Austausch im Tastatur-Stack der TreiberDiese Methode basiert auf dem Austausch des TreibersKbdclass oder eines Tastaturtreibers der unterenEbene mit einem selbst entwickelten Treiber. Der eindeutigeNachteil dieser Methode besteht in der kompliziertenUmsetzung, da im Vorfeld nicht bekannt ist, welcherTastatur-Typ vom User verwendet wird, und derAustausch des Treibers daher recht einfach entdecktwird. Aus diesem Grund wird diese Methode in der Praxisso gut wie nie umgesetzt.Entwicklung eines Treibers zur Bearbeitung desInterrupts IRQ 1Zur Realisierung dieser Methode ist das Programmiereneines eigenen Kernel-Treibers notwendig, derden Tastaturinterrupt (IRQ 1) abfängt und direkt an dieEingabe-Ausgabe-Ports (60h, 64h) geleitet wird. AufGrund der komplizierten Umsetzung dieser Methodeund der nicht ganz klaren Art von Wechselwirkungenmit dem im System integrierten „Bearbeiter“ des Interrupts(Treiber i8042prt.sys) ist diese Methode zum gegenwärtigenZeitpunkt noch reine Theorie.► Die breite Masse der derzeit existierenden Keyloggerist ein mächtiges Instrument, das problemlos zuunlauteren Zwecken eingesetzt werden kann – inerster Linie zum Diebstahl von über die Tastatur eingegebenenvertraulichen Informationen.► Antiviren-Hersteller müssen ihre Kunden unbedingtvor den Bedrohungen schützen, die von Keyloggernin den Händen von Kriminellen ausgehen können.Da die Schutzmechanismen immer ausgereifter werden,sind die Keylogger-Autoren gezwungen, sich mitder Umsetzung immer komplizierterer Tastaturspione– unter anderem solcher, die die Kernel-Treiber desBetriebssystems Windows nutzen – auseinanderzusetzen.In diesem Bereich eröffnet sich ihnen noch eineVielzahl von Möglichkeiten.Nikolay GrebennikovStellvertretender Direktor der Abteilung fürinnovative Technologien, Kaspersky LabFazitIn der vorliegenden Analyse wurde der Algorithmusder Datenübertragung vom Drücken einer Taste aufder Tastatur durch den Anwender bis zum Erscheineneines Zeichens auf dem Bildschirm dargestellt. Desweiteren wurden die einzelnen Glieder der Signal-Bearbeitungsketteanalysiert und die verschiedenen Umsetzungenvon Keyloggern, die auf dem Abfangen vonTastatureingabe auf bestimmten Etappen des beschriebenenAlgorithmus basieren, genauer beschrieben.► Das hier untersuchte Schema der Tastatureingabeim Betriebssystem Windows ist hinreichend kompliziert,und in praktisch jedem Schritt könnte ein Keyloggerinstalliert werden.► Es besteht eindeutig ein Verhältnis zwischen demVerbreitungsgrad von Keyloggern und der Komplexitätihrer Entwicklung. Daher gehören die am weitestenverbreiteten Realisierungs-Methoden vonKeyloggern – nämlich die Installation von Hooksauf Eingabeereignisse und die zyklische Abfrageder Tastaturzustände – auch gleichzeitig zu den ameinfachsten umsetzbaren Keylogger-Typen. Ein derartigerTastaturspion kann selbst von jemandem geschriebenwerden, der erst vor einer Woche mit demProgrammieren angefangen hat.Keylogger18
Schutz vor Keyloggern mit Produkten vonKaspersky LabAngesichts der Möglichkeiten, die Keylogger Kriminelleneröffnen, muss deren Entdeckung für jeden Antiviren-Herstelleroberste Priorität haben. Im Folgendenwird aufgezeigt, wie die Produkte von Kaspersky Labvor dem Spy Lantern Keylogger und dessen neuenoder modifizierten Versionen schützen.Allgemeine Merkmale von Spy Lantern KeyloggerSpy Lantern Keylogger verfügt über funktionale Merkmale,die für die breite Masse der existierenden Keyloggercharakteristisch sind. Er sticht dadurch hervor,dass er Rootkit-Technologie verwendet und so seineAnwesenheit im System verbirgt.Allgemeine Angaben:► Archivname: spy-lantern-keylogger-pro.zip► Grundlegendes Funktionsprinzip: Standard-Hookauf Tastaturereignisse► Zusätzliches Funktionsprinzip: Periodische Abfragedes Tastaturzustands► Rootkit-Schutz über einen Kernel-Mode-Treiber► Eine verborgene Installation ist in der untersuchtenVersion 5.4.2 des Keyloggers nicht vorgesehen.► URL des Entwicklers: www.spy-lantern.com Sonstiges:• Programmzugriff über Hotkeys• Unterstützung von Fast User Switch, WindowsTerminal Services• benutzerfreundliches Interface• Tool „Reports Viewer“ zum Lesen der ProtokolleUnterstützung der Betriebssysteme WindowsXP/2000/2003 ServerIm Folgenden werden die Suchergebnisse nach derzu Spy Lantern Keylogger gehörenden Treiberdateidargestellt, die mit Hilfe von Scannern verschiedenerAntiviren-Hersteller auf der Site www.virustotal.com erzieltwurden.Laut Beschreibung auf der Site des Autors verfügt SpyLantern Keylogger über die folgenden Funktionen: Überwachung und Protokollierung:• Tastenbetätigungen• besuchte Web-Sites• mit Hilfe von Instant-Messangern gesendeteund empfangene Mitteilungen (ICQ, Yahoo, AIM,MSN)• Passwörter• geöffnete Anwendungen• An- und Ausschalten des Computers, Übergangdes Computers in den Standby-Modus• Logins und Logouts des Users Speicherung von Screenshots Übermittlung der Protokolle:• per E-Mail• Speicherung in einem bestimmten Ordner Sicherheit:• absolut unsichtbar• Passwort-geschützte Konfiguration, PasswortgeschützteDeinstallation• verschlüsselte ProtokolldateienDie oben aufgeführten Daten zeigen, dass einige Antiviren-Programme(zum Beispiel jenes von Symantec)das Programm Spy Lantern Keylogger als Spywareklassifizieren. Kaspersky Lab hingegen stuft die vorliegendeVersion des Keyloggers als potentiell gefährlicheSoftware (mit dem Präfix not-a-virus) ein, da diefehlende Möglichkeit einer verborgenen Installation esKriminellen erschwert, die laufende Version auf demComputer eines potentiellen Opfers zu installieren.Nach Angaben der Entwickler auf der offiziellen Sitedes Produktes ist für die kommende Version übrigensdie Option „verborgene Installation“ geplant.Die folgenden Aspekte werden nun nacheinander genaueruntersucht:► die funktionalen Möglichkeiten des Keyloggers, dieAufschluss über seine für Kriminelle interessantenEigenschaften geben► eine Möglichkeiten zum Verbergen im System► die Mechanismen zur Neutralisierung des Keyloggersmit Hilfe der Produkte von Kaspersky LabKeylogger19
Seite 1 und 2: W H I T E P A P E RKeylogger: Funkt
Seite 3: Verfügen die Kriminellen erst einm
Seite 9 und 10: Interaktion auf der unteren Ebene m
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13 und 14: über den Eingabe-Zustand. Bezügli
Seite 15 und 16: Installation des Hooks für Tastatu
Seite 17: Die Vorteile dieses Ansatzes: Alle
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23 und 24: Verborgene Registrierungsschlüssel
Seite 25 und 26: Hat der Anwender der Desinfektion e
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?