Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Weitere Magazine

Empfehlungen

Info

Keylogger: Funktionen und ErkennungsmethodenIm Februar 2005 reichte der Geschäftsmann Joe Lopezaus Florida Klage gegen die Bank of America ein, nachdemunbekannte Hacker dem amerikanischen Unternehmer90.000 US-Dollar von seinem Konto bei derBank of America gestohlen und nach Lettland transferierthatten.Die Ermittlungen ergaben, dass sich auf dem Computervon Lopez der Virus Backdoor.Win32.Apdoor (Backdoor.Coreflood)befand, der alle Tastatureingaben desAnwenders registriert und diese via Internet an die Virenautorenweiterleitet. Auf diese Weise gelangten dieHacker in den Besitz seines Passworts und Logins zurKontoverwaltung.Das Gericht lehnte die Schadensersatzforderung allerdingsab, und zwar mit der Begründung, dass Lopezdie elementarsten Sicherheitsmaßnahmen bei der Online-Verwaltungseines Bankkontos außer Acht gelassenhatte, denn die Signatur des entsprechenden Viruswurde bereits im Jahr 2003 in die Datenbanken fast allerAntivirus-Hersteller aufgenommen. Abgesehen vonLopez’ eigenem Leichtsinn hat ein gewöhnlicher Keyloggerzum Verlust von 90.000 US-Dollar geführt.Was sind Keylogger?Der Begriff Keylogger ist neutral. In der wörtlichenÜbersetzung aus dem Englischen bedeutet er etwa„Protokollierer von Tastatureingaben“. In den meistenQuellen findet sich die folgende Definition: „Ein Keylogger(Tastaturspion) ist eine Software, die im Wesentlichendazu verwendet wird, Tastatureingaben zuüberwachen und zu protokollieren.“ Diese Definitionist allerdings nicht völlig richtig, da Keylogger auch alsHardware eingesetzt werden. Zwar sind Hardware-Keylogger wesentlich seltener anzutreffen, doch sollteman sie beim Schutz wichtiger Informationen ebenfallsberücksichtigen.Das Abfangen der Tastatureingaben kann von gewöhnlichenProgrammen genutzt werden, etwa zum Aufrufenvon Programmfunktionen aus anderen Anwendungenmit Hilfe von Tastaturbefehlen (Hotkeys) oder zumUmschalten falscher Tastaturbelegungen (wie etwaKeyboard Ninja). Es existiert eine Vielzahl legaler Software,die von Administratoren zur Überprüfung der Mitarbeiteraktivitätund von Anwendern zur Kontrolle derTätigkeiten Dritter auf ihrem Computer genutzt wird. Allerdingsist der moralische Grat zwischen berechtigterBeobachtung und krimineller Spionage sehr schmal.So wird auch legale Software sehr häufig zum vorsätzlichenDiebstahl geheimer Anwenderdaten benutzt.Ein großer Teil der derzeit existierenden Keylogger giltals legal und kann käuflich erworben werden, da vonden Entwicklern dieser Programme eine Vielzahl vonlegalen Einsatzmöglichkeiten angeführt wird.Unter anderem werden Keylogger angeboten für:► Eltern: Verfolgung der Aktivitäten ihrer Kinder imInternet und Benachrichtigung der Eltern beim Versuch,auf nicht jugendfreie Sites zu gelangen (ParentalControl)► eifersüchtige Ehepartner: Verfolgung der Aktivitätendes Partners im Netz► Firmen: zur Aufdeckung nicht zweckgemäßer oderunerlaubter privater Nutzung des PC► Organisationen: Verfolgung der Eingabe kritischerWörter oder Verbindungen, die Geschäftsgeheimnisseenthalten können oder deren Verbreitung demUnternehmen materiellen oder anderen Schadenzufügen könnte► Sicherheitsdienste: Durchführung von Analysen undErmittlung bei Diebstaht oder anderen FällenDoch das ist keine objektive Sicht der Dinge, da für alleaufgeführten Fälle durchaus andere Mittel zur Verfügungstehen. Andererseits kann jeder legale Keyloggerauch zu unlauteren Zwecken eingesetzt werden.So ist in jüngster Zeit leider gerade der Diebstahl vonUser-Daten verschiedener Online-Bezahlsysteme zumam weitesten verbreiteten Anwendungsgebiet von Keyloggerngeworden (und zu genau diesem Zweck entwickelnVirenschreiber ständig neue Trojan-Keylogger).Darüber hinaus verbergen sich viele Keylogger im System(da sie über Rootkit-Funktionalität verfügen), wassie zu vollwertigen trojanischen Programmen macht.Da Keylogger zu kriminellen Zwecken verwendetwerden können, hat deren Entdeckung für Antiviren-Hersteller mittlerweile höchste Priorität. In der Klassifizierungvon Schadprogrammen von Kaspersky Labexistiert die spezielle Kategorie Trojan Spy, zu der auchProgramme mit der Funktionalität von Tastaturspionenzählen. Entsprechend der Definition „spionieren dieseTrojaner den Anwender des infizierten Computers aus,indem sie über die Tastatur eingegebene Informationen,Screenshots, Listen der aktiven Programme undder Aktivität des Anwenders in einer Datei auf der Festplattespeichern und in bestimmten Abständen an denHacker versenden.“Warum sind Keylogger gefährlich?Im Gegensatz zu anderen Schadprogramm-Typen sindKeylogger für das System selbst absolut ungefährlich.Für den Anwender jedoch kann ein Keylogger durchauszu einer Bedrohung werden, da die vom Anwenderüber die Tastatur eingegebenen Passwörter und sonstigevertrauliche Daten abgefangen werden können.Auf diese Weise kommen Kriminelle in den Besitz vonPasswörtern und Kontonummern, Zugangscodes zuSpieler-Accounts von Online-Spielen sowie Adressen,Logins und Passwörtern von E-Mail-Programmen undvielen anderen Anwendungen.Keylogger2
Verfügen die Kriminellen erst einmal über die entsprechendenDaten, beschränken sie sich nicht unbedingtdarauf, Geld vom Konto des Anwenders abzubuchenoder die Accounts von Online-Gamern zu nutzen, dennsolche Daten können in den falschen Händen weitausernstere Folgen nach sich ziehen als den Verlust einerbestimmten Summe. Der Einsatz von Keyloggernermöglicht vielmehr auch politische und wirtschaftlicheSpionage und ermöglicht den Zugang zu Dokumenten,die nicht nur Geschäfts-, sondern auch Staatsgeheimnisseenthalten können. Überdies sind sie in der Lage,Sicherheitssysteme außer Kraft zu setzen (etwa durchden Diebstahl versteckter Schlüssel in kryptografischenSystemen).Neben Phishing und Methoden des Social Engineeringist das Ausspionieren mit Hilfe von Keyloggern zu einerder am weitesten verbreiteten Arten elektronischen Betrugsgeworden. Kann sich der aufmerksame Anwenderim Fall von Phishing jedoch noch selbst schützen– indem er eindeutig als Phishing zu erkennende Mailsignoriert und keine persönlichen Daten auf verdächtigenSites eingibt –, so können Tastaturspione einzigdurch die Verwendung spezieller Schutzmechanismenentdeckt werden.Nach den Worten von Cristine Hoepers, Managerin desBrazil‘s Computer Emergency Response Team, tätigunter der Egide des Internet Steering Committee, habenKeylogger als am weitesten verbreitete Methodezum Raub vertraulicher Informationen dem Phishingden Rang abgelaufen und werden zudem immer wählerischer.Denn sie verfolgen nun, welche Web-Sitesder User besucht, um erst dann mit der Aufzeichnungder Tastatureingaben zu beginnen, wenn eine für denKriminellen interessante Site aufgerufen wurde.In den letzten Jahren wurde ein bedeutender Zuwachsverschiedener Schadprogramme mit Keylogger-Funktionalitätverzeichnet. Vor dem Risiko, in die Fänge vonCyberkriminellen zu geraten, ist kein Anwender mehrsicher, ganz egal in welchem Teil der Erde er sich befindetoder für welche Organisation er tätig ist.Einsatz von Keyloggern durch KriminelleEiner der bekanntesten Fälle von Keylogger-Missbrauchaus jüngster Vergangenheit ist der Diebstahlvon über einer Million Dollar von Kunden der skandinavischenBank Nordea. Im August 2006 erhielten Kundender schwedischen Bank Nordea wiederholt E-Mailsim Namen ihrer Bank mit dem Angebot, ein Anti-Spam-Produkt zu installieren, das sich angeblich im E-Mail-Anhang befand. Beim Versuch des Empfängers, dieangehängte Datei auf den Computer zu überspielen,installierte sich eine spezielle Variante des bekanntenTrojaners Haxdoor. Dieser aktivierte sich bei der Registrierungdes Opfers im Online-Service der Bank undöffnete ein Fenster mit einer Fehlermeldung und derBitte, das Login zu wiederholen. Daraufhin zeichneteder im Trojaner enthaltene Tastaturspion die eingegebenenDaten auf und versandte sie an den Server derHacker. Die auf diese Weise zusammengetragenenpersönlichen Daten wurden von den Kriminellen genutzt,um Geld von den Konten der vertrauensseligenBankkunden abzuheben. Den Angaben des Trojaner-Autors zufolge kam Haxdoor auch bei Attacken gegenaustralische und verschiedene andere Banken zumEinsatz.Am 27. Januar 2004 nahm die Epidemie eines derbekanntesten Schadprogramme – des Wurms Mydoom– ihren Anfang. Mydoom brach den Rekord desWurms Sobig und löste die bisher größte Epidemie inder Geschichte des Internet aus. Der Wurm bedientesich der Methode des Social Engineering, organisierteeinen Angriff auf die Site www.sco.com – die daraufhinausfiel – und hinterließ auf den infizierten Computernein trojanisches Programm, das zur Verbreitung neuerVersionen des Virus benutzt wurde, die der erstenHauptepidemie folgten. Es ist jedoch weitestgehendunbekannt, dass Mydoom neben der Funktionalitäteines Netzwurms, einer Backdoor und neben der Fähigkeitzur Organisation von DoS-Attacken auch überdie Funktion eines Keyloggers zum Sammeln vonKredit kartennummern verfügte.Anfang 2005 verhinderte die Londoner Polizei einender am größten angelegten Diebstahl-Versuche in England.Mit Attacken auf das Bankensystem planten Kriminelle,423 Millionen Dollar aus der Londoner Filialeder Sumitomo Mitsui Bank zu entwenden. Die Hauptkomponentedes vom 32-jährigen Israeli Yeron’om Bolondientwickelten Trojaners war ein Keylogger, der esermöglichte, alle Tastatureingaben während der Arbeitmit dem Kundenprogramm aufzuzeichnen.Im Mai 2005 wurde in London von der israelischenPolizei ein Ehepaar festgenommen und der Entwicklungvon Schadprogrammen beschuldigt, mit denenisraelische Firmen Konkurrenzunternehmen ausspionierten.Die Ausmaße derartiger Betriebsspionage sinderstaunlich: In den Ermittlungsunterlagen der israelischenBehörden fanden sich so namhafte Firmen wiedie Mobilfunk-Betreiber Cellcom und Pelephone sowieder TV-Anbieter YES. Den Unterlagen zufolge richtetesich die Überwachung gegen die PR-Agentur Rani Rahav,zu deren Kunden unter anderem der zweitgrößteHandybetreiber Israels, Partner Communications, undder Kabelnetzbetreiber HOT gehören. Der israelischeImporteur von Volvo und Honda, die Firma Mayer, wirdder Spionage gegen die Firma Champion Motors, denisraelischen Importeur von Audi und Volkswagen, verdächtigt.Ruth Haefrati, die den Vertrieb des von ihremMann Michael Haefrati entwickelten Trojaners mit Keylogger-Funktionenübernommen hatte, wurde zu vierJahren Freiheitsstrafe verurteilt. Michael Haefrati selbstwar für zwei Jahre inhaftiert.Keylogger3
Seite 1: W H I T E P A P E RKeylogger: Funkt
Seite 9 und 10: Interaktion auf der unteren Ebene m
Seite 11 und 12: tung aller Typen von Ein- und Ausga
Seite 13 und 14: über den Eingabe-Zustand. Bezügli
Seite 15 und 16: Installation des Hooks für Tastatu
Seite 17 und 18: Die Vorteile dieses Ansatzes: Alle
Seite 19 und 20: Schutz vor Keyloggern mit Produkten
Seite 21 und 22: Der letzte, fünfte Reiter enthält
Seite 23 und 24: Verborgene Registrierungsschlüssel
Seite 25 und 26: Hat der Anwender der Desinfektion e
Seite 27: Kaspersky LabKaspersky Lab reagiert

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?