Сегодняшние мощные инструменты, относящиеся к числу вредоносных программ, чаще всего состоят из нескольких компонентов, каждый из которых отвечает за свой аспект вредного воздействия. Эти программы, конечно, более напоминают швейцарские военные ножи, чем отдельные инструменты и позволяют злоумышленнику выполнять на зараженной системе различные виды деятельности. Одним из таких элементов, используемых во время атак, является кейлоггер.
Определение кейлоггера
Кейлоггер – это такой тип программного обеспечения или оборудования, который может перехватывать и записывать деятельность, выполняемую с помощью клавиатуры зараженного компьютера.
Кейлоггер, чаще всего, встраивается между клавиатурой и операционной системой, и принимает на себя всю коммуникацию без ведома пользователя. Кроме того, умеет хранить сохранять данные локально на атакуемом компьютере.
Если кейлоггер является частью более продвинутой атаки, то передаёт записанные данные на удаленный компьютер под управлением злоумышленника.
Хотя термин «кейлоггер», как правило, используется в отношении вредных инструментов, существуют также легальные инструменты для мониторинга, имеющие особенности клавиатурных шпионов, которые применяются правоохранительными органами.
Типы кейлоггеров
Существует множество разновидностей кейлоггеров, однако, по существу их можно разделить на две основные категории: представляющие собой программу и в форме специального оборудования. Гораздо чаще используются программные кейлоггеры, которые обычно являются частью большего вредоносного программного обеспечения, например, трояна или руткита.
Их проще установить на выбранный компьютер, ведь они не требуют физического доступа к нему. Характерной особенностью клавиатурных шпионов является способность выдавать себя за интерфейс приложений в системе, что позволяет отслеживать каждое нажатие клавиши. Существуют также кейлоггеры ядра, man-in-the-browser и много других, более сложных.
Аппаратные кейлоггеры встречаются реже, так как требуют физического подключения, а затем отключения от вашего устройства. Некоторые варианты оборудования могут быть реализованы уже на стадии производства оборудования (в BIOS), также могут быть установлены на флешку или в виде поддельных разъемов клавиатуры (между шнуром клавиатуры и компьютером). Несмотря на то, что этот вариант более сложен в установке, он может увеличить гибкость действий атакующего, так как является полностью независимым от системы.
Методы заражения келогерром
Программные кейлоггеры часто поставляются на устройства как компонент большего вредоносного программного обеспечения. Машины могут быть заражены через атаку типа drive-by download, проведенную с вредоносного веб-сайта, которые используют существующие уязвимости на вашем компьютере.
В некоторых случаях кейлоггеры могут быть установлены как законные программы – через заражение пути загрузки или путём добавления вредителя в саму программу.
Аппаратные кейлоггеры чаще всего устанавливаются атакующим, который имеет физический доступ к компьютеру.
Обнаружение и удаление кейлоггеров
Обнаружение вредоносных кейлоггеров не так просто из-за того, что эти приложения не ведут себя, как другие вредные программы. Не ищут на компьютере жертвы ценные данные и не отправляют их на контролирующие серверы.
Более того, в отличие от других вредителей, они не вредят данным, хранящимся на зараженном устройстве. Клавиатурные шпионы запрограммированы так, чтобы их присутствие оставалось незамеченным.
Продукты для защиты от вредоносных программ детектируют и удаляют известные уже варианты клавиатурных шпионов, но в случае специализированной атаки могут их не распознать достаточно быстро (в зависимости от активности вредоносной программы на зараженном компьютере).
Когда пользователь подозревает, что на его устройстве появился кейлоггер, может попробовать его перехитрить, запустив систему с помощью диска, USB-флэш-накопителя или с помощью виртуальной клавиатуры, которая защищает данные, введенные через стандартную клавиатуру.