Кейлоггинг или регистрация нажатий клавиш - это метод, используемый для отслеживания и записи нажатий клавиш пользователя на устройстве. Злоумышленники часто используют его для получения конфиденциальной информации, такой как имена пользователей, пароли и личные данные, без ведома пользователя. Кейлоггеры могут быть программными, работающими как скрытые программы на устройстве, или аппаратными, физически прикрепленными к клавиатуре или компьютеру. Эти инструменты могут перехватывать данные в режиме реального времени, сохраняя или передавая их атакующему.
Перехват ввода: Кейлоггинг
Перехват обратных вызовов API
Перехват обратных вызовов API включает в себя перехват основных процедур, которые операционные системы используют для обработки событий клавиатуры. Современные операционные системы полагаются на определенные API для обработки пользовательского ввода, и злоумышленники могут внедрить вредоносный код, например DLL, чтобы «подцепить» эти API, например GetMessage или PeekMessage в Windows, чтобы записать нажатия клавиш до того, как они достигнут целевого приложения.
В отличие от Credential API Hooking, который нацелен на API, связанные с учетными данными, этот подход фокусируется на общих функциях обработки клавиатуры, позволяя атакующим перехватывать все набранное, независимо от контекста.
Перехват обратных вызовов API популярен, поскольку надежно перехватывает все нажатия клавиш, может быть проще в реализации, чем методы на уровне ядра, и остается относительно сложным для обнаружения, если злоумышленники перехватывают известные API внутри легитимных процессов.
Чтение необработанных данных о нажатии клавиш из аппаратного буфера
Чтение необработанных данных о нажатии клавиш из аппаратного буфера - это техника, с помощью которой злоумышленники перехватывают нажатия клавиш в момент их прохождения от физической клавиатуры к операционной системе. Поскольку эти сигналы проходят через прерывание или аппаратный буфер на низком уровне, вредоносное ПО - часто в виде пользовательского драйвера ядра или руткита - может зарегистрировать себя для прямого считывания данных. Это позволяет атакующим перехватывать необработанные нажатия клавиш до того, как вступят в силу какие-либо средства шифрования или защиты пользовательского пространства.
Позиционируя себя на столь ранних этапах потока данных, злоумышленники затрудняют обнаружение многих инструментов безопасности и гарантируют сбор каждого набранного символа, независимо от приложений или «крючков» ОС.
Модификация реестра Windows
Модификация реестра Windows - это техника, используемая злоумышленниками для изменения или создания определенных записей в реестре, чтобы компонент кейлоггера автоматически загружался при запуске или при каждом входе пользователя в систему. В системах Windows ключи реестра, подобные приведенным ниже, могут быть использованы для запуска вредоносных процессов или библиотек DLL при перезагрузке или входе в систему.
| 1 2 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |
Атакующие также могут модифицировать функции доступности, например Sticky Keys, или установить отладчик, указывающий на кейлоггер, чтобы вредоносная программа запускалась при нажатии определенных комбинаций клавиш. Такой подход обеспечивает постоянство, позволяя кейлоггеру работать непрерывно, а также гибкость, поскольку существует множество мест в реестре, которые можно перехватить, что усложняет процесс обнаружения и удаления.
Модификация образа системы (на сетевых устройствах)
Модификация образа системы (на сетевых устройствах) - это продвинутый метод кейлоггинга, при котором злоумышленники внедряют вредоносный код непосредственно в операционную систему или прошивку таких устройств, как маршрутизаторы, коммутаторы или специализированные устройства.
Изменяя образ устройства, атакующие могут перехватывать необработанные нажатия клавиш во время сеансов администрирования (например, SSH или вход в консоль) и записывать в журнал учетные данные, набранные ценными целями, такими как сетевые администраторы. Они могут внедрить код в прошивку маршрутизатора для мониторинга сеансов SSH/Telnet или установить крючки в ОС для записи ввода данных с консоли.
Эта техника обеспечивает высокую стойкость, так как функции кейлоггинга переживают перезагрузку, и ее особенно трудно обнаружить, поскольку многие средства безопасности нацелены на конечные точки, а не на низкоуровневые операционные системы сетевых устройств.
Заметные случаи использования кейлоггинга в дикой природе
Кейлоггинг был одним из наиболее часто используемых суб-техник, замеченных в 2024 году. Например, в июле 2024 года исследователи безопасности обнаружили кампанию по распространению вредоносного ПО DarkVision RAT, инструмента для удаленного доступа с возможностями как живого, так и автономного кейлоггинга. Это вредоносное ПО позволяет атакующим отслеживать и записывать нажатия клавиш, способствуя краже конфиденциальной информации.
В третьем квартале 2024 года исследователи обнаружили серию кибератак на российские государственные учреждения, приписываемых группе угроз, известной как TaxOff. В этих атаках использовался бэкдор Trinper - сложнейшее вредоносное ПО, предназначенное для шпионажа и сохранения долгосрочного доступа к взломанным системам.
Важнейшим компонентом Trinper является класс BgJobKeylogger, отвечающий за перехват нажатий клавиш в выделенном потоке. Этот класс перехватывает вводимые пользователем данные и хранит их в deque (двусторонней очереди), что способствует эффективному управлению данными. Кроме того, данные буфера обмена собираются и хранятся в неупорядоченной карте, что позволяет вредоносной программе отслеживать и записывать как нажатия клавиш, так и скопированное содержимое.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | BOOL result; // eax struct tagMSG Msg; // [rsp+20h] [rbp-48h] BYREF while (!buff_BgJobKeylogger) Sleep(0xFA0u); while (1) { is_SetWindowsHookExW = SetWindowsHookExW(WH_KEYBOARD_LL, BgJobKeylogger::Keylogger, 0LL, 0); if (is_SetWindowsHookExW) break; Sleep(0xFA0u); } do { result = GetMessageW(&Msg, 0LL, 0, 0); } while (result); return result; |
Реализуя эти функции, Trinper позволяет злоумышленникам собирать конфиденциальную информацию со взломанных систем, включая секретные данные, вводимые через клавиатуру и буфер обмена.