Клавиатурные шпионы

Опубликовано: 00.00.0000, 00:00 Автор:
Клавиатурные шпионы В переводе с английского keylogger — это регистратор нажатий клавиш. В большинстве источников можно найти следующее определение кейлоггера: кейлоггер (клавиатурный шпион) — программное обеспечение, основным назначением которого является скрытый мониторинг нажатий клавиш и ведение журнала этих нажатий. Это определение не совсем верно, так как в качестве кейлоггеров может использоваться как программное обеспечение, так и аппаратные средства. Аппаратные кейлоггеры встречаются значительно реже, чем программные, однако при защите важной информации о них ни в коем случае нельзя забывать.

Перехват нажатий клавиш может использоваться обычными программами и часто применяется для вызова функций программы из другого приложения с помощью «горячих клавиш» или, например, для переключения неправильной раскладки клавиатуры. Существует масса легального ПО, которое используется администраторами для наблюдения за тем, что делает работник в течение дня, или для наблюдения пользователем за активностью посторонних людей на своем компьютере. Однако где проходит грань между «законным» использованием «легального» ПО и его использованием в криминальных целях? То же «легальное» ПО зачастую используется и в целях умышленного похищения секретных данных пользователя – например, паролей.

Большинство существующих на данный момент кейлоггеров считаются «легальными» и свободно продаются, так как разработчики декларируют множество причин для использования кейлоггеров, например:
- для родителей: отслеживание действий детей в Интернете и оповещение родителей в случае попыток зайти на сайты «для взрослых»;
- для ревнивых супругов: отслеживание действий своей половины в Сети в случае подозрения на «виртуальную измену»;
- для службы безопасности организации: отслеживание фактов нецелевого использования персональных компьютеров, их использования в нерабочее время;
- для службы безопасности организации: отслеживание фактов набора на клавиатуре критичных слов и словосочетаний, которые составляют коммерческую тайну организации, и разглашение которых может привести к материальному или иному ущербу для организации;
- для различных служб безопасности: проведение анализа и расследования инцидентов, связанных с использование персональных компьютеров.

Однако это скорее привычное, чем объективное положение вещей, так как для решения всех указанных задач существуют и другие способы, а любой легальный кейлоггер может использоваться во вредоносных целях, и в последнее время именно кража информации пользователей различных систем онлайновых платежей стала, к сожалению, главным применением кейлоггеров (для этих же целей вирусописателями постоянно разрабатываются новые троянцы-кейлоггеры).

Кроме того, многие кейлоггеры прячут себя в системе (имеют функции руткита), что значительно облегчает их использование в преступных целях. Такое использование делает задачу обнаружения кейлоггеров одной из приоритетных для антивирусных компаний.

В классификации вредоносных программ «Лаборатории Касперского» существует специальная категория Trojan-Spy (шпионские программы), в которую попадают программы, содержащие функции клавиатурных шпионов. Согласно определению Trojan-Spy, «эти троянцы осуществляют электронный шпионаж: вводимая с клавиатуры зараженного компьютера информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику».

В отличие от других типов вредоносного программного обеспечения, для системы кейлоггер абсолютно безопасен. Однако он может быть чрезвычайно опасным для пользователя: с помощью кейлоггера можно перехватить пароли и другую конфиденциальную информацию, вводимую пользователем с помощью клавиатуры. В результате злоумышленник узнает коды и номера счетов в электронных платежных системах, пароли к учетным записям в online-играх, адреса, логины, пароли к системам электронной почты и так далее.

После получения конфиденциальных данных пользователя злоумышленник может не только банально перевести деньги с его банковского счета или использовать учетную запись пользователя в online-игре. К сожалению, наличие таких данных в ряде случаев может приводить к последствиям более серьезным, чем потеря некоторой суммы денег конкретным человеком. Использование кейлоггеров позволяет осуществлять экономический и политический шпионаж, получать доступ к сведениям, составляющим не только коммерческую, но и государственную тайну, а также компрометировать системы безопасности, используемые коммерческими и государственными структурами (например, с помощью кражи закрытых ключей в криптографических системах).

Кейлоггеры, наряду с фишингом и программами кражи паролей, являются сейчас одним из главных методов электронного мошенничества. Однако если в случае фишинга бдительный пользователь может сам себя защитить — игнорировать явно фишинговые письма, не вводить персональные данные на подозрительных веб-страницах, — то в случае с клавиатурными шпионами никаким другим способом, кроме использования специализированных средств защиты, обнаружить факт шпионажа практически невозможно.

При этом «интеллект» кейлоггеров постоянно растёт, они действуют все более избирательно: отслеживая веб-страницы, к которым обращается пользователь, они записывают нажатия клавиш только при заходе на сайты, интересующие злоумышленников.

В последние годы отмечается значительный рост числа различных вредоносных программ, использующих функции кейлоггеров. От столкновения с киберпреступниками не застрахован ни один пользователь сети Интернет, в какой бы точке земного шара он ни проживал и в какой бы организации ни работал. Вот несколько примеров.

Одним из самых известных недавних случаев использования кейлоггеров стала кража более 1 млн. долларов со счетов клиентов крупнейшего скандинавского банка Nordea. В августе 2006 года клиентам шведского банка Nordea стали приходить от имени этого банка электронные письма с предложением установить антиспам-продукт, якобы содержащийся в приложении. При попытке получателя письма скачать прикрепленный файл на свой компьютер устанавливался специальный вариант широко известной троянской программы Haxdoor, который активировался при регистрации жертвы в онлайн-сервисе Nordea и выводил на экран сообщение об ошибке с просьбой о повторной регистрации. После этого клавиатурный шпион, встроенный в троянскую программу, записывал вводимые пользователем данные и передавал их на сервер злоумышленников. Собранные таким образом персональные данные использовались мошенниками для снятия денег со счетов доверчивых клиентов банка. Создателя этого троянца помог вычислить один из экспертов по безопасности компании Symantec. По заявлению автора троянской программы, haxdoor использовался и в атаках против австралийских и многих других банков.

В феврале 2006 года бразильская полиция арестовала 55 человек, причастных к распространению вредоносных программ, использовавшихся для кражи регистрационной информации пользователей и их паролей к банковским системам. Кейлоггеры активизировались в тот момент, когда пользователи заходили на web-страницы банковских систем, и скрытно отслеживали и позднее передавали злоумышленникам все вводимые на этих страницах данные. Общая сумма денег, которая была украдена подобным образом с 200 клиентских счетов в шести банках страны, составила 4,7 млн. долларов.

Почти в то же время была арестована аналогичная преступная группа, состоявшая из молодых (от 20 до 30 лет) россиян и украинцев. С конца 2004 года они рассылали клиентам банков Франции и ряда других стран почтовые сообщения, содержащие вложенную вредоносную программу — кейлоггер. Кроме того, эти же шпионские программы выкладывались на специально созданных web-сайтах, куда заманивались пользователи методами социальной инженерии. Далее события развивались как во всех описанных выше случаях: программа активировалась при заходе на сайты банковских систем, собирала все вводимые пользователем данные и пересылала их злоумышленникам. Таким образом за 11 месяцев было украдено более 1 млн. долларов.

Примеров использования кейлоггеров злоумышленниками много — большинство компьютерных преступлений, связанных с финансами, совершается с помощью кейлоггеров. В одном из отчетов компании Symantec сообщается о том, что около половины вредоносного ПО, найденного ее аналитиками за последний год, не представляет прямой угрозы для компьютеров, а используется киберпреступниками с целью сбора персональной информации владельцев ПК. «Лаборатория Касперского» постоянно фиксирует появление новых вредоносных программ с функциями клавиатурных шпионов. В настоящий момент в антивирусных базах «Лаборатории Касперского» присутствует информация более чем о 350 семейств специализированных кейлоггеров, каждое из которых включает множество модификаций. Кроме этого существует несколько десятков тысяч гибридных вредоносных программ, в которых функциональность кейлоггеров присутствует, но является вспомогательной.

В качестве типичного примера реализации кейлоггера рассмотрим Spy Lantern Keylogger. Он имеет функциональные возможности, типичные для большинства существующих кейлоггеров, но выделяется тем, что использует руткит-технологии для сокрытия своего присутствия в системе. Функции Spy Lantern Keylogger: мониторинг и сохранение в отчете нажатий клавиш, посещаемых Web-сайтов, сообщений, передаваемых с помощью систем мгновенных сообщений ICQ, Yahoo, AIM, MSN, различных паролей, списка запущенных приложений, событий включения, выключения питания, перехода компьютер в «спящий» режим, событий захода/вывода из системы пользователей, сохранение снимков экрана.

Принципиальная идея кейлоггера состоит в том, чтобы внедриться между любыми двумя звеньями в цепи прохождения сигнала от нажатия пользователем клавиш на клавиатуре до появления символов на экране — это может быть видеонаблюдение, аппаратные «жучки» в самой клавиатуре, на проводе или в системном блоке компьютера, перехват запросов ввода-вывода, подмена системного драйвера клавиатуры, драйвер-фильтр в клавиатурном стеке, перехват функций ядра любым способом (подменой адресов в системных таблицах, сплайсингом кода функции и т.п.), перехват функций DLL в пользовательском режиме, наконец, опрос клавиатуры стандартным задокументированным способом.

Однако практика показывает, что чем сложнее подход, тем менее вероятно его применение в широкораспространяемых троянских программах и более вероятно его использование в целевых троянцах для кражи корпоративной финансовой информации. Так, наиболее распространенные методы перехвата — установка ловушки на события ввода и циклический опрос состояния клавиатуры — являются в то же время самыми простыми в реализации. Написать кейлоггер, использующий данные методы, может даже человек, научившийся программировать неделю назад.

Для защиты от кейлоггеров следует использовать многоуровневую защиту. Большинство антивирусных компаний добавляют известные кейлоггеры в свои базы, и метод защиты от них не отличается от метода защиты от любого другого вредоносного программного обеспечения: установите антивирусный продукт и поддерживайте его базы в актуальном состоянии. Однако это поможет защититься от известных версий кейлоггеров, для защиты же от целевых атак и специально для них изготовленных кейлоггеров можно применять три метода защиты:
- системы генерации одноразовых паролей,
- средства проактивной защиты,
- виртуальную клавиатуру

Одноразовый пароль действует только один раз, при этом часто ограничивается и период времени, в течение которого им можно воспользоваться. Поэтому, даже если такой пароль будет перехвачен, злоумышленник уже не сможет воспользоваться им для получения доступа к конфиденциальной информации. Для генерации одноразовых паролей используются специальные устройства, например, Aladdin eToken NG OTP.

Генераторы одноразовых паролей широко применяются в банковской системе Европы, Азии, США и Австралии. Например, Lloyds TCB, один из самых крупных банков Великобритании, еще в ноябре 2005 года перешел на использование генераторов одноразовых паролей.

Но в данном случае компании приходится нести значительные затраты, так как необходимо приобрести и распространить среди клиентов генераторы одноразовых паролей, а также разработать/приобрести соответствующее программное обеспечение.

Более дешевым решением является использование систем проактивной защиты на стороне клиентов банка (провайдера и т.д.), которые могут предупредить пользователя об установке или активизации программных кейлоггеров.

Проактивная защита отличается от сигнатурного (реактивного) детектирования тем, что пользователю не надо ждать, пока антивирусные аналитики добавят запись о новой угрозе в антивирусные базы, а продукт обновит базы с серверов обновлений производителя. Модуль проактивной защиты обеспечивает защиту пользователя от новых типов угроз и новых модификаций существующих вредоносных программ без обновления баз, так как его работа основана на постоянном мониторинге действий всех процессов в системе пользователя. Вердикты (опасен, подозрителен и так далее) выносятся на основе анализа этих действий. Проактивная защита продуктов шестой линейки Лаборатории Касперского обеспечивает защиту от разных типов вредоносных программ, включая кейлоггеры и руткиты.

Недостатком этого способа защиты является необходимость участия пользователя в принятии решения, что требует от него определённой технической подготовки. Однако антивирусные компании постоянно улучшают свои средства проактивной защиты, поэтому в будущем можно ожидать появление более интеллектуальных систем, в которых взаимодействие с пользователем будет минимизировано.

Ещё одним способом защиты как от программных, так и от аппаратных кейлоггеров является использование виртуальной клавиатуры. Виртуальная клавиатура представляет собой программу, показывающую на экране изображение обычной клавиатуры, в которой с помощью мыши можно «нажимать» определенные клавиши. Однако для борьбы с кейлоггерами подойдёт не любая виртуальная клавиатура, а лишь разработанная специальным образом, исключающим перехват вводимых данных на любой стадии их ввода и передачи.

Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100