12.07.2015 Aufrufe

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

MEHR ANZEIGEN
WENIGER ANZEIGEN
  • Keine Tags gefunden...

Erfolgreiche ePaper selbst erstellen

Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.

Anwendungslisten: Zeigt eine Auflistung der im Systemgeöffneten Anwendungen sowie deren Gesamt-<strong>und</strong> aktive Zeit.Möglicherweise sind ein Zugangspasswort zu einemSchachserver <strong>und</strong> die Züge von bereits gespieltenPartien für einen Durchschnitts-User nicht gleichermaßenbedeutend wie etwa Informationen über seineBankkonten. Doch man stelle sich nur einmal vor, beidem entsprechenden User handelte es sich um einenTeilnehmer der Schach-Weltmeisterschaft, der seinenächste Partie vorbereitet, <strong>und</strong> es wird klar, dass unterbestimmten Umständen auch solche Informationen vongroßem Wert sein können. Es sei darauf hingewiesen,dass die während eines Besuchs von Online-Banking-Sites dargestellten vertraulichen Informationen ebensowie die Daten im oben beschriebenen Beispiel vom<strong>Keylogger</strong> protokolliert werden können.Auswirkungen des in Spy Lantern <strong>Keylogger</strong> integriertenRootkits auf ein ungeschütztes System PC-Aktivität: Zeigt eine Aufstellung von Ereignissen,wie etwa das Anschalten, den Zeitpunkt des Herunterfahrens,den Übergang des Computers in denStandby-Modus, Logins <strong>und</strong> Logouts des Users.Abschließend folgt nun eine Gesamtaufstellung derInfor mationen, die ein potentieller Verbrecher mit Hilfedes Spy Lantern <strong>Keylogger</strong>s sammeln könnte. Diedazu gehörigen Screenshots sind weiter oben dargestellt.Ein Krimineller würde erfahren, dass:► der Anwender mit dem Benutzernamen Mamushaam 9. Februar 2007 zweimal ins System gegangenist, nämlich um 23:13 Uhr <strong>und</strong> um 23:26 Uhr► der Anwender dabei verschiedene Anwendungengeladen hat, unter anderem Acrobat Reader, MicrosoftExcel, Far <strong>und</strong> PlayChess► der Anwender auf der Site www.google.com im Internetrecherchiert, seine E-Mails unter www.mail.ruabgerufen <strong>und</strong> sich bei WebPlanet über das Weltgescheheninformiert hat► der Anwender Daten in verschiedene Anwendungeneingegeben hat – vom simplen Kopieren des ArtikelsUnsichtbar in Windows NT in den Texteditor notepadbis hin zur Eingabe des User-Passworts im Schach-Client PlayChess► der Anwender einige Partien Online-Schach gespielthat, wobei die Aufnahme-Funktion von Screenshotsdes <strong>Keylogger</strong>s nahezu jeden einzelnen Spielzugder Partien nachvollziehbar macht.An dieser Stelle werden die Mechanismen der zum<strong>Keylogger</strong> gehörenden Verbergungsfunktion genaueruntersucht. Im Abschnitt über die Konfiguration des<strong>Keylogger</strong>s wurden bereits zwei simple Verbergungsmethodenbeschrieben, nämlich die Möglichkeit, imStartmenü den Verweis auf den <strong>Keylogger</strong> zu unterbinden<strong>und</strong> den Warnhinweis beim Systemstart nichtanzuzeigen. In diesem Abschnitt hingegen geht es umVerbergungsfunktionen, die durch ein in Spy Lantern<strong>Keylogger</strong> integriertes Rootkit erzeugt werden. Da derlei<strong>Funktionen</strong> in einem völlig legalen, für Kriminelle uninteressantenProgramm absolut unnötig sind, werdensie von den Antivirus-Produkten von Kaspersky Laberkannt.Verborgene DateienBei jeder erneuten Installation des <strong>Keylogger</strong>s vergibtdas Installationsprogramm zufällige Namen an die<strong>Keylogger</strong>-Dateien. Der einzige plausible Gr<strong>und</strong> fürein solches Vorgehen besteht darin, die Suche nachdem im System installierten <strong>Keylogger</strong> zu erschweren.Allerdings ist das nicht ausreichend, da die meistenAntiviren-Programme keine Suche nach Dateinamen,sondern vielmehr nach dem Inhalt der Dateien durchführen.Die manuelle Entdeckung des <strong>Keylogger</strong>s kannmit Hilfe dieser Maßnahme jedoch durchaus erschwertwerden: Die Dateinamen verändern sich ständig, wodurchein Erfahrungsaustausch unter Anwendern bezüglichdes Löschens des <strong>Keylogger</strong>s aus dem Systemrelativ ineffektiv wird.Im Datei-Menü im Konfigurationsfenster Control Centerdes Programms sind die vergebenen Dateinamen aufgelistet(wobei diese Liste nach jeder erneuten Installationdes Programms andere Namen enthält). Bei einerkonkreten Beispiel-Installation beginnen alle Dateinamenmit demselben Präfix ketaf. Aufgr<strong>und</strong> diesesPräfixes in den Dateinamen erkennt der Rootkit-Treiber,welche Dateien in der Auflistung im Dateisystemverborgen werden sollen.<strong>Keylogger</strong>22

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!