Keylogger là gì? Cách kẻ tấn công có thể kiểm soát mọi thứ bạn nhập

0
18

Phần mềm ghi lại thao tác gõ phím là một trong những dạng phần mềm độc hại lâu đời nhất, bắt đầu với máy đánh chữ. Nó tiếp tục phổ biến và thường được sử dụng như một phần của các cuộc tấn công mạng lớn hơn.

Định nghĩa keylogger

Keylogger là một loại phần mềm giám sát được thiết kế để ghi lại các thao tác gõ phím của người dùng. Một trong những hình thức đe dọa an ninh mạng lâu đời nhất, những bộ ghi tổ hợp phím này ghi lại thông tin mà bạn nhập vào một trang web hoặc ứng dụng và gửi lại cho bên thứ ba.

Đi sâu vào tâm trí của một hacker, tìm hiểu động cơ và phần mềm độc hại của họ. Đăng ký nhận bản tin CSO! ]

Tội phạm sử dụng keylogger để đánh cắp thông tin cá nhân hoặc thông tin tài chính như thông tin ngân hàng, sau đó chúng có thể bán hoặc sử dụng để kiếm lời. Tuy nhiên, chúng cũng được sử dụng hợp pháp trong các doanh nghiệp để khắc phục sự cố, cải thiện trải nghiệm người dùng hoặc giám sát nhân viên. Các cơ quan thực thi pháp luật và tình báo cũng đang sử dụng các kỹ thuật giám sát chính.

Keylogger hoạt động như thế nào?

Keylogger thu thập thông tin và gửi thông tin đó cho bên thứ ba – có thể là bộ phận tội phạm, thực thi pháp luật hoặc CNTT. Tom Bane, phó chủ tịch chiến lược bảo mật tại Morphisec giải thích: “Keylogger là các chương trình sử dụng các thuật toán điều khiển các thao tác trên bàn phím thông qua nhận dạng mẫu và các phương pháp khác.

Lượng thông tin được phần mềm keylogger thu thập có thể khác nhau. Các biểu mẫu cơ bản nhất chỉ có thể thu thập thông tin mà một trang web hoặc ứng dụng được nhập vào. Những cái phức tạp hơn có thể ghi lại bất cứ thứ gì bạn nhập vào bất kể ứng dụng nào, bao gồm cả thông tin bạn sao chép và dán. Một số biến thể của keylogger – đặc biệt là những biến thể hướng đến thiết bị di động – đi xa hơn và ghi lại thông tin như cuộc gọi (cả lịch sử cuộc gọi và âm thanh), thông tin từ các ứng dụng nhắn tin, vị trí GPS, chụp màn hình và thậm chí cả chụp micrô và camera …

Keylogger có thể dựa trên phần cứng hoặc phần mềm. Phần cứng có thể đơn giản lồng vào giữa đầu nối bàn phím và cổng máy tính. Phần mềm dựa trên chúng có thể là toàn bộ ứng dụng hoặc công cụ được sử dụng hoặc tải xuống một cách cố ý hoặc phần mềm độc hại vô tình lây nhiễm vào thiết bị.

Dữ liệu do keylogger thu được có thể được gửi đến những kẻ tấn công qua email hoặc tải dữ liệu nhật ký lên các trang web, cơ sở dữ liệu hoặc máy chủ FTP được xác định trước. Nếu keylogger được đóng gói như một phần của một cuộc tấn công lớn, các diễn viên có thể chỉ cần đăng nhập từ xa vào máy để tải xuống dữ liệu gõ phím.

Cách tin tặc sử dụng keylogger

Các keylogger đầu tiên được Liên Xô sử dụng vào những năm 1970 để giám sát các máy đánh chữ chạy điện của IBM được sử dụng trong các đại sứ quán có trụ sở tại Moscow. Họ sẽ ghi lại những gì đã được thuê và gửi thông tin cho tình báo Liên Xô qua tín hiệu vô tuyến.

Ngày nay, phần mềm gián điệp như máy ghi âm bàn phím là một phần phổ biến của công cụ tội phạm mạng để nắm bắt thông tin tài chính như thông tin ngân hàng và thẻ tín dụng, thông tin cá nhân như email và mật khẩu hoặc tên và địa chỉ hoặc thông tin kinh doanh nhạy cảm xung quanh quy trình hoặc sở hữu trí tuệ. Họ có thể bán thông tin này hoặc sử dụng nó như một phần của một cuộc tấn công lớn hơn, tùy thuộc vào những gì được thu thập và động cơ của họ.

Bain giải thích: “Những chương trình này có thể được sử dụng để ăn cắp thông tin như mật khẩu, PII (Thông tin nhận dạng cá nhân) và các thông tin nhạy cảm khác liên quan đến các cá nhân và tổ chức. “Ví dụ: nếu một keylogger có thể theo dõi các thao tác gõ phím của một quản trị viên cơ sở dữ liệu cấp cao trong một tổ chức lớn, họ có thể truy cập vào những thứ như máy tính xách tay và máy chủ, điều này có thể làm lộ lượng lớn dữ liệu mà họ có thể kiếm tiền.”

Keylogger tại nơi làm việc
Ngoài ra còn có một thị trường phần mềm gián điệp rộng lớn nhưng đáng nghi ngờ về mặt đạo đức – các ứng dụng keylog hợp pháp được mọi người sử dụng để theo dõi gia đình, bạn bè hoặc đối tác của họ. Sẽ hợp pháp nếu một bản tải xuống phần mềm gián điệp sở hữu thiết bị hoặc người dùng biết, nhưng nó thường có thể bị lạc trong lãnh thổ rình rập. Các ứng dụng gián điệp hợp pháp thu thập thông tin nhân viên có thể yếu về mặt bảo mật. Ví dụ, nhà cung cấp phần mềm gián điệp mSpy đã bị ít nhất hai lần vi phạm dữ liệu.

Đôi khi được gọi là bàn phím công ty, phần mềm giám sát như vậy có thể hữu ích cho việc kiểm tra, gỡ lỗi và trải nghiệm người dùng. Simon Sharp, phó chủ tịch quốc tế của ObserIT cho biết: “Trong môi trường doanh nghiệp, ở cấp cao, keylogger cũng được sử dụng để theo dõi các hoạt động tuân thủ và bảo mật CNTT của người dùng. “Bản ghi keylogger có thể được sử dụng để giúp quản trị viên điều tra sự cố hệ thống và thiết lập vi phạm xảy ra trong bối cảnh nào; quản trị viên có thể xác định ngay lập tức ai đã nhập một từ hoặc nghĩa cụ thể liên quan đến sự cố đang được điều tra và từ đó hiểu được ai đã vi phạm chính sách. khi nào và tại sao. ”

CNTT có thể sử dụng dữ liệu tổ hợp phím để giúp xác định và giải quyết các vấn đề của người dùng, hỗ trợ các nỗ lực tuân thủ và bảo mật cũng như có thể cung cấp thêm thông tin pháp y sau sự cố bảo mật. Chúng cũng có thể được sử dụng để gắn cờ các mối đe dọa nội gián tiềm ẩn, theo dõi năng suất của nhân viên hoặc đảm bảo rằng tài sản CNTT của công ty chỉ được sử dụng cho mục đích kinh doanh.

Windows 10 được cài đặt sẵn loại keylogger riêng cho mục đích đo từ xa. Grammerly – một công cụ chính tả và ngữ pháp phổ biến – đã được mô tả như một “keylogger với các tính năng hữu ích” do nó ghi lại những gì người dùng nhập vào thời điểm nó được kích hoạt.

Tuy nhiên, điều quan trọng cần nhớ là bạn phải thông báo cho nhân viên nếu họ bị giám sát theo cách này. Nếu không làm như vậy có thể vi phạm luật như quyền riêng tư của nhân viên. Mọi dữ liệu quan trọng được thu thập phải được mã hóa.

Cách keylogger lây nhiễm thiết bị
Keylogger có thể được đặt trên máy theo nhiều cách khác nhau. Máy ghi nhật ký vật lý yêu cầu một người phải có mặt thực tế để được đưa vào máy, có nghĩa là các cuộc tấn công như vậy khó thực hiện hơn (nhưng không phải là không thể) và nhiều khả năng đến từ mối đe dọa từ nội bộ. Bàn phím không dây cũng có thể được theo dõi từ xa.

Năm ngoái, hàng trăm mẫu máy tính xách tay của HP đã được xuất xưởng với mã bàn phím có trong trình điều khiển bàn di chuột. Đăng ký bị tắt theo mặc định và là một phần của công cụ gỡ lỗi do một trong những nhà cung cấp của công ty để lại.

Phần mềm dựa trên keylogger phổ biến hơn nhiều và có nhiều đường vào. Các miền bị nhiễm là một phương pháp tấn công phổ biến. Vào tháng 10, văn phòng trực tuyến của Suite Zoho đã thấy các miền .com và .eu của anh ấy bị tạm ngưng sau khi phục vụ người dùng phần mềm độc hại keylogging. Hàng ngàn trang web WordPress trước đây cũng đã bị lây nhiễm bởi keylogger bằng cách sử dụng các tập lệnh Google Analytics giả mạo.

Phần mềm độc hại của các ứng dụng bị nhiễm cũng là một vấn đề. Gần đây, Google đã xóa 145 ứng dụng khỏi Cửa hàng Play có chứa bàn phím phần mềm độc hại. Cũng như nhiều loại phần mềm độc hại, tổ chức đăng ký tên miền thường có trong email lừa đảo có chứa liên kết độc hại. Ví dụ, một phiên bản mới của keylogger HawkEye đã bị phát tán thông qua một chiến dịch spam với các tài liệu Word bị nhiễm. Một số biến thể như Fauxspersky có thể lây lan qua ổ USB bị nhiễm.

Bain cho biết: “Thay đổi lớn nhất trong keylogger là việc bổ sung các phương pháp né tránh cho phép keylog vượt qua các cơ chế phát hiện khác như chống vi-rút. “Có một số cách mà kẻ tấn công tải các phương thức bàn phím vào phần mềm quảng cáo thường không được đưa vào danh sách trắng. Khi điều này xảy ra, quảng cáo bị gắn cờ hoặc không được gắn cờ và sau đó không được điều tra vì đáp ứng tiêu chí phát hiện của nhiều công cụ phát hiện.”

Keylogger thường đi kèm với phần mềm độc hại khác như một phần của cuộc tấn công rộng hơn. Nhiều keylogger hiện đi kèm với mã ransomware, khai thác tiền điện tử hoặc mã botnet, có thể được kích hoạt theo quyết định của kẻ tấn công.

Một số trường đại học đã bị các sự cố do keylogger. Gần 2.000 sinh viên UC Irvine đã đánh cắp thông tin cá nhân và y tế của họ sau khi máy tính tại trung tâm y tế sinh viên bị xâm nhập. Năm cuối Đại học A Yova, một sinh viên đã bị FBI bắt vì gian lận máy tính sau khi sử dụng keylogger để lấy bản sao sơ ​​bộ của các bài kiểm tra và thay đổi điểm số. Vào năm 2016, một sinh viên tại Đại học Quản lý Singapore đã sử dụng bàn phím USB để lấy ID người dùng và mật khẩu của hai giáo sư để xóa các đoạn mã kiểm tra, và buộc họ phải thi lại.

6 phương pháp hay nhất để phát hiện và loại bỏ keylogger

Mẹo dưới đây phác thảo những gì thường được coi là các bước hiệu quả nhất để giảm thiểu việc bạn tiếp xúc với các keylogger không mong muốn.

1. Giám sát phân bổ tài nguyên, quy trình và dữ liệu
Việc quan sát phân bổ tài nguyên và các quy trình nền trên máy, cũng như dữ liệu được truyền từ một thiết bị bên ngoài tổ chức, có thể giúp xác định xem có keylogger hay không. Keylogger thường cần quyền truy cập root vào máy, đây cũng có thể là dấu hiệu rõ ràng của việc nhiễm keylogger.

2. Luôn cập nhật bảo vệ chống vi rút và chống ăn mòn
Vì keylogger thường đi kèm với các dạng phần mềm độc hại khác, việc phát hiện phần mềm độc hại keylogger có thể là dấu hiệu của một cuộc tấn công hoặc lây nhiễm rộng hơn. Theo Jeff Wichman, giám đốc thực hành của Optiv Security, các trình bảo vệ chống ăn mòn và bảo vệ chống vi-rút hiện đang xóa phần mềm độc hại keylogger đã biết, nhưng có thể yêu cầu điều tra thêm để xác định xem keylogger chỉ là một thành phần của một cuộc tấn công lớn hơn.

3. Sử dụng phần mềm chống keylogger
Phần mềm chống ghi nhật ký chuyên dụng được thiết kế để mã hóa các thao tác gõ phím, đồng thời quét và xóa các trình ghi nhật ký đã biết cũng như cờ có hành vi bất thường tương tự như bàn phím trên máy tính. Chặn quyền truy cập root đối với các ứng dụng trái phép và đưa vào danh sách đen các ứng dụng gián điệp đã biết cũng sẽ hữu ích.

4. Xem xét bàn phím ảo trên màn hình
Bàn phím ảo trên màn hình giảm khả năng họ đăng nhập vì họ nhập thông tin khác với bàn phím vật lý. Điều này có thể ảnh hưởng đến năng suất của người dùng, không đáng tin cậy so với tất cả các loại phần mềm giám sát thao tác gõ phím và không khắc phục được nguyên nhân gốc rễ của sự cố.

5. Tắt tệp tự quản lý trên thiết bị bên ngoài
Tắt tính năng tự khởi chạy tệp trên các thiết bị được kết nối bên ngoài như USB và hạn chế sao chép tệp vào và từ máy tính cũng có thể làm giảm nguy cơ lây nhiễm.

6. Có chính sách mật khẩu mạnh
“Bằng cách kiểm tra các trình quản lý tác vụ để tìm các cài đặt không xác định hoặc đáng ngờ và nhận ra các trường hợp kỳ lạ như các phím bị tạm dừng hoặc không hiển thị trên màn hình trong khi nhập, có thể giúp mọi người phát hiện keylogger trong một số trường hợp nhất định,” Bane khuyên, “cách tốt nhất để các tổ chức tiếp tục bảo mật để đảm bảo các chính sách mật khẩu của họ là đa diện và xác thực hai yếu tố được thực hiện thông qua tài khoản công ty và thiết bị. Điều quan trọng là đừng bao giờ cho rằng công nghệ chống vi-rút trung bình là đủ. “

LEAVE A REPLY

Please enter your comment!
Please enter your name here