Keylogger: Funktionen und Erkennungsmethoden ... - B4B Schwaben

Beim Abfangen von Tastatureingaben durch die Installationeines globalen Hooks auf die Tastaturereignissewird eine spezielle Filterfunktion verwendet, die sichin einer separaten dynamischen Bibliothek befindet(DLL). Als Entscheidungshilfe liefert Kaspersky InternetSecurity seinen Kunden so viele und so genaue Informationenwie nur möglich, daher sind mit einem Klickauf das Feld „Details“ auch in dem dargestellten Fallweitere Informationen zu einer derartigen dll zu finden.Es wurde bereits darauf hingewiesen, dass der Nameder DLL bei jeder Installation des Keyloggers zufälligvergeben wird (in unserem Fall ketafh.dll):Aufspüren verborgener Keylogger-ProzesseNach dem Neustart des Computers, der infolge der Installationvon Spy Lantern Keylogger durchgeführt wird,öffnet Kaspersky Internet Security ein Fenster, das denUser darüber informiert, dass der Prozess ketaf.exeversteckt läuft. Das Verbergen des Prozesses wird mitHilfe des Treibers ketaf.sys umgesetzt, der den Aufrufzweier Funktionen der Auflistung der Prozesse und derDatei-Liste im Kernel des Betriebssystems abfängt.Das proaktive Schutzmodul findet ohne Ausnahme alleverborgenen Prozesse im System, unabhängig davon,wie sich diese verstecken. Der Benutzer kann dannzwischen folgenden Aktionen wählen: Verschieben derausführbaren Datei des verborgenen Prozesses in dieQuarantäne, Beenden oder Ausführen des Prozesses.Hat der Anwender die Installation eines Hooks auf dieTastaturereignisse verboten, so werden im Folgendenkeine weiteren Tastaturbetätigungen in den Keylogger-Protokollen verzeichnet.Hat der Anwender den Keyloggerprozess beendet,wird bei dem Versuch, das Konfigurations-Fenster oderden Reports Viewer des Keyloggers aufzurufen, die folgendeFehlermeldung angezeigt:Verhinderung der zyklischen Abfrage desTastaturzustandesEine zusätzliche Methode, die Spy Lantern Keyloggerzum Abfangen der Tastatureingabe verwendet, ist diezyklische Abfrage des Tastaturzustands mit Hilfe derFunktion GetAsyncKeyState. Das proaktive Schutzmodulwarnt den Anwender umgehend und bietet die Möglichkeitden Keylogger-Prozess zu beenden.Fazit► Genauer untersucht und beschrieben wurde ein leistungsstarker,„legaler“ Keylogger, der sich zweierTechnologien zum Abfangen der Tastatureingabebedient und überdies Rootkit-Technologie zum Verbergenseiner Anwesenheit im System einsetzt.► Die Funktionsweise des Spy Lantern Keyloggers isttypisch für die Mehrheit der Tastaturspione. Kriminellekönnen damit Anwenderaktivitäten ausspionierenund vertrauliche Informationen stehlen.► Die Produkte von Kaspersky Lab können jeglichedestruktive Aktivität von Spy Lantern Keylogger erkennenund neutralisieren, selbst wenn dieser durcheinen Kernel-Mode-Treiber geschützt ist.► Die potentielle Gefahr, die von Keyloggern ausgeht,macht die Entdeckung von Tastaturspionen jeglicherArt und die Neutralisierung ihrer Aktivität zur oberstenPriorität für die Antiviren-Industrie.► Die Produkte von Kaspersky Lab können – mit Hilfeder Signatur-Datenbanken – sowohl existierendeKeylogger als auch – durch das Modul ProaktiverSchutz – Modifikationen und neue Typen von Tastaturspionenerkennen.KeyloggerNikolay GrebennikovStellvertretender Direktor der Abteilung fürinnovative Technologien, Kaspersky Lab26