Kouká nám pod prsty. Co je to keylogger a jak přesně funguje?

Keylogger je škodlivý software, který bez vědomí uživatele zaznamenává nejen údery na klávesnici, ale třeba i myš, touchpad nebo biometriku. To mu umožňuje sbírat prakticky všechna citlivá data, která do počítače těmito metodami vložíme. Nejčastěji ho ale zajímají hesla, bankovní údaje či soukromé zprávy.

Stručná historie keyloggerů
Keyloggery začaly svou kariéru ve službách špionáže, a to už v 70. letech minulého století. Šlo o fyzická zařízení (z populární kultury také známá jako "štěnice"), pomocí kterých sovětští špehové zaznamenávali údery do kláves elektrických psacích strojů na americké ambasádě v Moskvě a americkém konzulátu v Petrohradu.

Dnes jde hlavně o programy, které se nejčastěji prodávají jako součást softwarových balíčků infostealerů v rámci malwaru jako služby (MaaS). Tu si můžeme představit jako "zlé dvojče" softwaru jako služby (SaaS).

"To znamená, že útočníci se již nemusí obtěžovat vývojem malwaru, ale mohou jej na černém trhu koupit a využívat úplně stejně, jako si my koupíme nějaký softwarový program," vysvětluje Martin Jirkal, vedoucí analytického týmu naší výzkumné pobočky.

Mezi nejznámější "zářezy" keyloggerů patří například kauza malwarové kampaně DarkHotel, při které útočníci využili hotelovou Wi-Fi k získání přihlašovacích údajů a dalších dat hotelových hostů. Známý je také Snake Keylogger, který dokáže krást hesla z komunikačních platforem, e-mailů, prohlížečů nebo Wi-Fi.

Hardwarové a softwarové keyloggery
Moderní útočnici sice preferují softwarové keyloggery, ale to rozhodně neznamená, že ty hardwarové úplně vymizely. Ačkoliv je cíl obou typů stejný, metoda získávání dat se trochu liší.

Hardwarové keyloggery

Co to je?
Nejčastěji hardwarový klíč, který fyzicky zachycuje komunikaci mezi drátovým i bezdrátovým zařízením ke vkládání dat.

Jak funguje?
K zařízení je připojený externě (např. do USB portu), nijak nezasahuje do operačního systému a je tedy hůř detekovatelný. Zároveň je ale těžší ho nenápadně nainstalovat.

Jak ho poznáme?
Často stačí fyzická inspekce napadeného zařízení. Musíme ale vědět, co hledáme.

Softwarové keyloggery

Co to je?
Počítačový program nebo aplikace, která zachycuje pohyb dat ze zařízení pro vkládání dat do našeho počítače či jiného zařízení.

Jak funguje?
Do zařízení se dostane většinou stažením škodlivého souboru nebo podvodné e-mailové přílohy. Lze ho instalovat i na dálku a snadno hromadně rozšířit.

Jak ho poznáme?
Je nutné spustit antivirový program nebo aspoň jednorázovou kontrolu, která malware odstraní.

Softwarové keyloggery postihují Windows, macOS, Linux, iOS i Android, což znamená, že na pozoru bychom měli být všichni. Rozlišujeme tři hlavní typy:

• Formulářové keyloggery, tedy ty, co zachycují data vepsaná do webových formulářů. Dnes už jsou víceméně přežité, ale patřil k nim třeba legendární bankovní malware ZeuS.
• Keyloggery na bázi API sbírají úhozy do klávesnice přímo z aplikace, kterou zrovna používáme, a není vůbec lehké je odhalit. Zároveň se ale hůř šíří, protože API nejsou vždy stejné. Příkladem je už zmiňovaný Snake Keylogger.
• Kernelové keyloggery se schovávají v samém jádru operačního systému, jsou tedy téměř neviditelné, a útočník potřebuje vysoká oprávnění, aby je vůbec mohl nainstalovat. Stejně jako v případě API se hůř šíří. Patří sem například trojský kůň Alureon.

Keyloggery pro mobily
Naše mobilní telefony jsou pro kyberútočníky hotovým snem: mají vlastní systém, povětšinou jsou neustále připojené k internetu a jejich výkonnost roste s každým novým modelem.

Protože většina dnešních telefonů má dotykovou obrazovku, téměř vždy je napadají softwarové keyloggery, které se do nich dostanou nejčastěji pomocí smishingu. Útočníci cílí na Android i iOS a zvlášť rádi mají telefony, u kterých došlo k úpravě operačního systému (jako je jailbreak iPhonu nebo rootování Androidu), protože je snadnější do nich škodlivý malware dostat.

Je používání keyloggerů legální?
Ačkoliv po keyloggerech sahají hlavně špióni a kyberzločinci, existují i legální způsoby využití. Mezi ty samozřejmě patří oblast kyberbezpečnosti, kde keyloggery pomáhají testovat odolnost zařízení, nebo lingvistický výzkum, a to zejména při zkoumání jazykového vývoje dětí nebo učení cizího jazyka (např. keylogger Inputlog).

Poněkud spornější je jejich využití k monitorování zaměstnanců hlavně v kontrolovaných odvětvích. U nás je regulované nejen obecným nařízením o ochraně údajů (GDPR), ale hlavně zákoníkem práce (§ 316 odst. 1 a 2).

Český zaměstnavatel tak sice může kontrolovat činnost svých zaměstnanců, ale nesmí bez závažných důvodů narušit jejich soukromí a musí to dělat přiměřeně. A co je úplně nejdůležitější, musí své zaměstnance o rozsahu a způsobu kontroly informovat.

Jak odhalit keylogger?
Přítomnost keyloggeru v zařízení často prozradí rychle se vybíjející baterie, zpomalení nebo zahlcení paměti počítače, samovolné restartování operačního systému, náhodná vyskakovací okna s reklamou, a hlavně v případě telefonů i náhlý nárůst spotřeby dat.

Škody, které keylogger umí napáchat, můžeme zmírnit i následujícími opatřeními:

1. Vícefaktorové ověření. Aktivace dalšího způsobu ověření třeba formou autentizační aplikace razantně snižuje šanci, že se zločinci s ukradenými údaji skutečně dostanou do našeho účtu.
2. Správce hesel. Neustálé vypisování hesel dává keyloggerům spoustu prostoru je ukrást, naopak vkládání jedinečných hesel přímo ze správce jejich práci značně ztěžuje.
3. Aktualizace antiviru a operačního systému. Pravidelná kontrola antivirovým a anti-malware programem je skutečně efektivní jen ve chvíli, kdy má aktuální databázi hrozeb a pracuje na systému s opravenými zranitelnostmi.
4. Pravidelné vypínání. Mobilní telefony je dobré aspoň jednou týdně na pět minut vypnout, aby se vyčistily škodlivé soubory schované ve volatilní paměti (tj. paměti závislé na přísunu energie).

Zdroj: dvojklik.cz