Introduction to Spyware Keyloggers

Sachin Shetty

Перевод с английского: Суханов П.А


Источник: Источник: .
http://www.securityfocus.com/infocus/1829


Обзор шпионских программ

Сачин Шетти

Spyware обзор

Spyware является термином категории приложений, данные приложения и программное обеспечение, должны регистрировать информацию о пользователях и предоставлять ее создателям программного обеспечения. Последствия действия этих программ варьируется от нежелательных всплывающих окон браузера до более серьезных нарушений безопасности, которые включают в себя кражи личной информации, регистрации нажатия клавиш, изменение номера дозвона к провайдеру дорогостоящим номерам и установки бэкдоров на систему.

Spyware кейлоггер обычно попадает в компьютер через определенное программное обеспечение, где пользователь установливает программное обеспечение бесплатно. Другие источники включают в себя программы обмена мгновенными сообщениями, различных приложений, популярных менеджеров загрузки, онлайн игры, и многое другое. Обратите внимание, что большинство, но не все, шпионские программы, направленны исключительно на интернет-браузер Microsoft интернет-Explorer. Пользователи современных альтернативных браузеров, таких как Mozilla Firefox и Apple Safari, как правило, не цепляют шпионов.

Последние методы внедрения, используемые вредоносными шпионскими не требуют разрешения или взаимодействия с пользователем. Известные "попутные загрузки," шпионские приложения доставляются на компьютер пользователя без его ведома, либо при посещении определенной веб-сайтов, которые открывают заархивированные файлы, а также клики на вредоносные всплывающее окна, которые содержат несколько активных контентов, такого как ActiveX, Java-приложений и так далее. Шпионские программы могут также быть скрыты в виде изображений или в некоторых случаях могут быть отправлены вместе с драйверами, которые идут с новым устройствами.

Методы шпионажа

В зависимости от характера полученной информации, каждая шпионская программа может функционировать по-разному. Некоторые шпионские приложения просто собирают информацию о серфинге пользователей, только для маркетинговых целей, в то время как другие более коварные. В любом случае шпионы, пересылают информацию по сети с помощью уникального идентификатора, такого как cookies на жестком диске пользователя, или глобальный уникальных идентификаторов (GUID). Затем шпион посылает логи и собранную информацию удаленному пользователю или на сервер. Эта информация обычно включает в себя имя хоста зараженного пользователя, IP адрес и GUID, наряду с различными Логинами именами, паролями а также нажатыми клавишами.

Типы клавиатурных шпионов

Как уже упоминалось, кейлоггеры, отслеживают все нажатия клавиш пользователем, а затем отправляют эту информацию обратно злоумышленнику. Это может происходить по электронной почте или на сервер злоумышленника расположенный где-угодно. Эта информация может затем использоваться для сбора электронной почты и онлайн-банкинга у ничего не подозревающих пользователей и даже для получения исходных текстов программ у фирм. Хотя кейлоггеры существуют в течение долгого времени, рост вреда от программ-шпионов на протяжении нескольких последних лет означает, что они требуют более пристального внимания. В частности, это связано с относительной легкостью, с которой компьютер может быть заражен - пользователю нужно просто посетить сайт, чтобы стать инфицированными.

Keylogger может быть одного из трех типов:

Аппаратный кейлоггер. Это небольшие встроенные устройства, расположенные между клавиатурой и компьютером. В силу своих размеров они часто остаются незамеченными в течение длительнго периода времени, - однако они, конечно, требуют физического доступа к компьютеру. Эти аппаратные устройства могут записывать сотни нажатий клавиш, включая логин банковской и электронной почты, имя пользователя и пароль.

Программное обеспечения, используещее подключение. Этот тип программ осуществляет работу с помощью функции Windows SetWindowsHookEx (), которая отслеживает все нажатия на клавиши. Spyware обычно поставляется в виде исполняемого файла, который инициирует функцию перехвата, а также DLL-файла, управляющего функциями записи. Приложение, вызывающее SetWindowsHookEx (), может перехватить даже автозаполнение паролей.

Кейлоггер испльзующий доступ к ядру . Этот тип клавиатурного шпиона работает на уровне ядра и получает информацию прямо от устройства (как правило, клавиатуры). Он заменяет основное программное обеспечение, обрабатывающее нажатие клавиш. Она как правило невидимым, так как загружается, перед любым пользовательским приложением. Поскольку программа работает на уровне ядра, есть один недостаток этого подхода, программа не может захватить автозаполнение паролей, так как эта информация передается на уровне приложений.

Анализ кейлоггеров

Есть много различных клавиатурных шпионов, в том числе Perfect Keylogger. Большинство из таких кейлоггеров имеют более или менее одинаковый набор функций и способ функционирования. Таким образом, мы сосредоточим внимание на одном конкретном инструменте,Blazing Tools.

Blazing инструмент Perfect Keylogger будет проанализирован в этой статье, поскольку было установлено,его сокрытие во многих троянах. Это хороший пример клавиатурных шпионов. Хотя эта кампания выпускает свою продукцию для ИТ-администраторов и родителей, замечено присутствии их клавиатурных шпионов во многих троянах, что показывает, как люди могут внося небольшие изменения в код использовать его для злонамеренных действий. Следующие черты "Perfect Keylogger" являются полезными для каждого, кто пытается воровать информацию у ничего не подозревающих пользователей:

Stealth Mode. В этом режиме не присутствует значок на панели задач и действия клавиатурных шпионов практически скрыты.

Удаленная установка. Keylogger имеет функцию, которая позволяет ему присоединяться к другим программам и отправлять по электронной почте для установки на удаленном компьютере в скрытом режиме. Он будет затем передавать клавиши, скриншоты и посещенные веб-страницы злоумышленнику по электронной почте или через FTP.

Smart Данная функция позволяет пользователю переименовать все исполняемые файлы клавиатурных шпионов и записей реестра.

Это кейлоггер был установлен на тестовом компьютере. После захвата ", с помощью такого инструмента, как SNAPPER, показывает изменения в файлах.

С помощью анти-шпионского программного обеспечения такого как Microsoft AntiSpyware , в реестр записей сделанных кейлоггером, а также его DLL, EXE-и можно увидеть.

Кейлоггер также может работать как фоновый процесс, который можно увидеть с помощью такого инструмента, как Process Explorer компании Sysinternals.

Новые подходы

Сейчас рынок завален новыми антишпионскими продуктами, создателям программ-шпионов приходится прибегать к неортодоксальным методам построения программ. Одним из таких примеров является способности шпионского кода переустанавливаться предварительно сохранив себя. Хотя анти-шпионское приложение можно удалить запись реестра программ-шпиона из одного места, большинство из них сохраняются в скрытой записи реестра. Другой подход, чтобы сделать шпионские приложения загружающимеся в память в самом начале процесса загрузки (до операционной системы нагрузок на уровне пользователя). В этом случае, когда пользователь пытается удалить программное обеспечение, операционная система не позволит это как будет пытаться защитить целостность запущенных программ (Spyware), которые ОС не контролирует.

Обнаружение и удаление

Шпионского программное обеспечение является по своей сути очень разнообразным по поведению, и, следовательно, для большинства антивирусных программ, может выглядеть как вполне законные программы. Дело в том,что сигнатуры вирусов сильно отличаются от программ-шпионов. Брандмауэры также являются неэффективными в борьбе с ними,так как как шпионские программы или маскируются под законные приложения, скрытые например в обычном файле изображения.

Таким образом, суть любой зашиты от Spyware - осуществление профилактики а также обеспечение операционной системы всеми патчами от известных уязвимостей. Лучшей защитой является перехода на менее уязвимые операционные системы, как Mac OS X и Linux. Другие методы избежания шпионских программы использование браузера надежно настроеного на безопасность, и иметь по крайней мере одного хорошего шпионского обнаружителя. Microsoft AntiSpyware, Ad-Aware , PestPatrol, и Spy Sweeper некоторые из бесплатных инструментов, которые помогают в обнаружении и удалении шпионского ПО.

Обратите внимание, что шпионские программы в основном, работают с Internet Explorer компании Microsoft. Пользователей имеющих более современный, многофункциональный браузер, например Mozilla Firefox может практически не волновать проблема шпионских программ. Однако он по-прежнему известны случаи, когда некоторые веб-сайты, кодируются для работы только с IE, и, следовательно, переход к Firefox не может быть решением для 100% веб-серфинге пользователя.

  1. Charlie Russel. Overview of Microsoft Windows Compute Cluster Server 2003.