Gia tăng sử dụng keylogger bởi tội phạm mạng
Thực tế là tội phạm mạng thích sử dụng keylogger nhiều lần đã được các công ty bảo mật CNTT xác nhận.
Một báo cáo gần đây từ VeriSign lưu ý rằng công ty đã chứng kiến sự gia tăng nhanh chóng phần mềm độc hại có chức năng bàn phím trong những năm gần đây.
Một báo cáo của Symantec cho thấy gần 50% phần mềm độc hại được các nhà phân tích của công ty phát hiện năm ngoái không gây ra mối đe dọa trực tiếp cho máy tính, nhưng được tội phạm mạng sử dụng để thu thập dữ liệu cá nhân từ người dùng.
Theo một nghiên cứu của John Bambenek, một nhà phân tích tại Viện SANS, hiện có khoảng 10 triệu máy tính chỉ riêng ở Hoa Kỳ đã bị nhiễm phần mềm độc hại có chức năng bàn phím. Sử dụng những con số này, cùng với tổng số người Mỹ sử dụng hệ thống thanh toán điện tử, thiệt hại có thể xảy ra ước tính khoảng 24,3 triệu đô la.
Kaspersky Lab liên tục phát hiện các chương trình độc hại mới có chức năng bàn phím. Một trong những cảnh báo virus đầu tiên trên www.viruslist.com, một trang thông tin chuyên biệt của Kaspersky Lab, được xuất bản vào ngày 15/6/2001. Cảnh báo liên quan đến TROJ_LATINUS. SVR, một Trojan có chức năng bàn phím. Kể từ đó, đã có một lượng keylogger mới và các sửa đổi mới ổn định. Cơ sở dữ liệu chống vi-rút của Kaspersky hiện chứa các mục nhập cho hơn 300 họ keylogger. Con số này không bao gồm keylogger là một phần của các mối đe dọa tinh vi (tức là trong đó thành phần gián điệp cung cấp chức năng bổ sung).
Hầu hết các chương trình phần mềm độc hại hiện đại đều là những phần mềm lai tạo ra nhiều công nghệ khác nhau. Do đó, bất kỳ danh mục phần mềm độc hại nào cũng có thể bao gồm các chương trình có chức năng keylogger (phụ). Số phần mềm gián điệp được Kaspersky Lab phát hiện hàng tháng đang tăng lên và hầu hết các chương trình này đều sử dụng công nghệ bàn phím.
Xây dựng Keylogger
Ý tưởng chính của keylogger là can thiệp giữa hai liên kết bất kỳ trong chuỗi sự kiện giữa thao tác bấm phím và hiển thị thông tin bấm phím trên màn hình. Điều này có thể đạt được thông qua giám sát video, lỗi phần cứng trong bàn phím, hệ thống dây điện hoặc bản thân máy tính, chặn đầu vào / đầu ra, thay thế trình điều khiển bàn phím, trình điều khiển bộ lọc trong ngăn xếp bàn phím, chặn các chức năng hạt nhân theo bất kỳ cách nào có thể (thay thế địa chỉ trong bảng hệ thống, ghép mã chức năng v.v.), chặn các chức năng DLL ở chế độ người dùng và cuối cùng yêu cầu thông tin từ bàn phím bằng các phương pháp được ghi chép tiêu chuẩn.
Kinh nghiệm cho thấy rằng cách tiếp cận càng phức tạp thì càng ít có khả năng được sử dụng trong các Trojan thông thường và càng có nhiều khả năng được sử dụng trong các Trojan được thiết kế đặc biệt để lấy cắp dữ liệu tài chính từ một công ty cụ thể.
Keylogger có thể được chia thành hai loại: thiết bị bàn phím và phần mềm bàn phím. Keylogger được xếp vào loại đầu tiên thường là các thiết bị nhỏ có thể được cố định vào bàn phím, hoặc được đặt trong cáp hoặc chính máy tính. Danh mục phần mềm bàn phím bao gồm các chương trình đặc biệt được thiết kế để theo dõi và ghi lại các lần gõ phím.
Các phương pháp phổ biến nhất được sử dụng để xây dựng phần mềm bàn phím là:
một móc hệ thống chặn thông báo nhấn phím (thiết lập bằng WinAPI SetWindowsHook cho các thông báo được gửi bằng thủ tục cửa sổ. Nó thường được viết bằng C);
Yêu cầu tuần hoàn đối với bàn phím thông tin từ bàn phím (sử dụng WinAPI Get (Async) KeyState hoặc GetKeyboardState – thường được viết bằng Visual Basic, đôi khi bằng Borland Delphi);
sử dụng trình điều khiển bộ lọc (yêu cầu kiến thức đặc biệt và được viết bằng C).
Chúng tôi sẽ cung cấp giải thích chi tiết về các cách khác nhau của keylogger được xây dựng trong nửa sau của bài viết này (sẽ được xuất bản trong tương lai gần). Nhưng trước tiên, đây là một số thống kê.
Bảng phân tích sơ bộ về các loại keylogger khác nhau được hiển thị trong biểu đồ hình tròn bên dưới:
Gần đây, các keylogger che giấu tệp của họ để ngăn chúng bị tìm thấy theo cách thủ công hoặc bởi các chương trình chống vi-rút ngày càng nhiều. Các kỹ thuật ẩn này được gọi là công nghệ rootkit. Có hai công nghệ rootkit chính được sử dụng bởi keylogger:
chế độ người dùng che mặt nạ;
mặt nạ chế độ hạt nhân.
Phân tích sơ bộ về các phương pháp mà keylogger sử dụng để ngụy trang hoạt động của họ được hiển thị trong biểu đồ hình tròn bên dưới:
Cách phân phối keylogger
Keylogger lây lan theo cách giống như các cách lây lan phần mềm độc hại khác. Ngoại trừ trường hợp keylogger được mua và cài đặt bởi vợ / chồng hoặc đối tác ghen tị và việc sử dụng keylogger bởi các dịch vụ bảo mật, keylogger chủ yếu được phân phối bằng các phương pháp sau:
một keylogger có thể được cài đặt khi người dùng mở một tệp đính kèm trong email;
một keylogger có thể được cài đặt bằng cách khởi chạy một tệp từ thư mục truy cập mở trong mạng P2P;
keylogger có thể được cài đặt thông qua tập lệnh trang web khai thác lỗ hổng trình duyệt. Chương trình sẽ tự động được khởi chạy khi người dùng truy cập vào một trang bị nhiễm;
Keylogger có thể được cài đặt bởi một phần mềm độc hại khác đã có trên máy của nạn nhân nếu chương trình có khả năng tải xuống và cài đặt phần mềm độc hại khác vào hệ thống.
Cách bảo vệ bạn khỏi keylogger
Hầu hết các công ty chống vi-rút đã thêm các keylogger nổi tiếng vào cơ sở dữ liệu của họ, điều này làm cho việc bảo vệ chống lại các keylogger không khác gì bảo vệ chống lại các loại phần mềm độc hại khác: cài đặt một sản phẩm chống vi-rút và cập nhật cơ sở dữ liệu của nó. Tuy nhiên, vì hầu hết các sản phẩm chống vi-rút phân loại keylogger là phần mềm có khả năng độc hại hoặc không mong muốn, người dùng phải đảm bảo rằng sản phẩm chống vi-rút của họ, với cài đặt mặc định, phát hiện loại phần mềm độc hại này. Nếu không, thì sản phẩm phải được cấu hình phù hợp để bảo vệ chống lại các keylogger phổ biến nhất.
Chúng ta hãy xem xét kỹ hơn các phương pháp có thể được sử dụng để bảo vệ chống lại các keylogger không xác định hoặc keylogger được thiết kế cho hệ thống cụ thể mục tiêu.
Vì mục tiêu chính của keylogger là lấy dữ liệu bí mật (số thẻ ngân hàng, mật khẩu, v.v.) nên sau đây là những cách hợp lý nhất để bảo vệ khỏi keylogger không xác định:
sử dụng mật khẩu một lần hoặc xác thực hai bước,
với hệ thống bảo mật chủ động được thiết kế để phát hiện phần mềm bàn phím,
bằng bàn phím ảo.
Sử dụng mật khẩu một lần có thể giúp giảm thiểu tổn thất nếu mật khẩu bạn nhập bị chặn, vì mật khẩu chỉ có thể được sử dụng một lần và khoảng thời gian mà mật khẩu có thể được sử dụng bị giới hạn. Ngay cả khi mật khẩu dùng một lần bị chặn, tội phạm mạng sẽ không thể sử dụng nó để truy cập thông tin bí mật.
Để nhận mật khẩu một lần, bạn có thể sử dụng một thiết bị đặc biệt, chẳng hạn như:
Khóa USB (ví dụ: Aladdin eToken NG OTP):
“Máy tính” (ví dụ: mã thông báo chữ ký RSA SecurID 900):
Để tạo mật khẩu một lần, bạn cũng có thể sử dụng hệ thống nhắn tin văn bản trên điện thoại di động đã được đăng ký với hệ thống ngân hàng và nhận mã PIN làm phản hồi. Sau đó, mã PIN được sử dụng cùng với mã cá nhân để xác thực.
Nếu một trong các thiết bị trên được sử dụng để tạo mật khẩu, quy trình được mô tả dưới đây:
người dùng kết nối với Internet và mở một hộp thoại trong đó dữ liệu cá nhân phải được nhập;
Sau đó, người dùng nhấn một nút trên thiết bị để tạo mật khẩu một lần, và mật khẩu sẽ xuất hiện trên màn hình LCD của thiết bị trong 15 giây;
người dùng nhập tên người dùng, mã PIN cá nhân và mật khẩu dùng một lần đã tạo vào trường đối thoại (thường là mã PIN và khóa được nhập lần lượt vào một trường của mã vượt qua);
các mã đã nhập sẽ được máy chủ kiểm tra và đưa ra quyết định về việc liệu người dùng có thể truy cập dữ liệu bí mật hay không.
Khi sử dụng máy tính để tạo mật khẩu, người dùng nhập mã PIN của mình trên thiết bị “bàn phím” và nhấn nút “K”.
Trình tạo mật khẩu dùng một lần được sử dụng rộng rãi bởi các hệ thống ngân hàng ở Châu Âu, Châu Á, Hoa Kỳ và Úc. Ví dụ, ngân hàng hàng đầu Lloyds TSB đã quyết định sử dụng trình tạo mật khẩu vào tháng 11 năm 2005.
Tuy nhiên, trong trường hợp này, công ty phải chi một khoản tiền đáng kể để mua và phân phối các trình tạo mật khẩu cho khách hàng, cũng như phát triển / mua lại phần mềm đi kèm.
Một giải pháp hiệu quả hơn về chi phí là bảo vệ chủ động phía máy khách, có thể cảnh báo người dùng nếu cố gắng cài đặt hoặc kích hoạt phần mềm bàn phím.
Nhược điểm chính của phương pháp này là người dùng phải tham gia tích cực và phải quyết định hành động nào nên được thực hiện. Nếu người dùng không hiểu biết nhiều về kỹ thuật, họ có thể đưa ra quyết định sai lầm, kết quả là keylogger sẽ được phép vượt qua giải pháp chống vi-rút. Tuy nhiên, nếu các nhà phát triển giảm thiểu sự tham gia của người dùng thì keylogger có thể tránh bị phát hiện do chính sách bảo mật không đủ nghiêm ngặt. Tuy nhiên, nếu cài đặt quá nghiêm ngặt, các chương trình hữu ích khác có chứa các chức năng bàn phím hợp pháp có thể bị chặn.
Phương pháp cuối cùng có thể được sử dụng để bảo vệ khỏi bàn phím phần cứng và phần mềm là sử dụng bàn phím ảo. Bàn phím ảo là một chương trình hiển thị bàn phím trên màn hình và các phím có thể được “nhấn” bằng chuột.
Ý tưởng về bàn phím ảo không có gì mới – hệ điều hành Windows có bàn phím ảo tích hợp có thể được khởi chạy như sau:
Ví dụ về bàn phím ảo Windows
Tuy nhiên, bàn phím trên màn hình không phải là một phương pháp phổ biến để vượt trội hơn các keylogger. Chúng không nhằm mục đích bảo vệ chống lại các mối đe dọa mạng mà là một công cụ trợ năng cho người dùng khuyết tật. Phần mềm độc hại có thể dễ dàng chặn thông tin được nhập bằng bàn phím ảo. Để được sử dụng để bảo vệ chống lại các phím bấm, bàn phím ảo phải được thiết kế đặc biệt để thông tin được nhập hoặc truyền qua bàn phím trên màn hình không thể bị chặn.
kết luận
Bài viết này cung cấp tổng quan về cách các nhật ký chính – cả phần mềm và phần cứng – hoạt động và được sử dụng như thế nào.
Mặc dù thực tế là các nhà phát triển keylogger định vị sản phẩm của họ là phần mềm hợp pháp, hầu hết các keylogger có thể được sử dụng để đánh cắp dữ liệu cá nhân của người dùng và trong các hoạt động gián điệp chính trị và công nghiệp.
Keylogger – cùng với các kỹ thuật lừa đảo và kỹ thuật xã hội – hiện là một trong những phương pháp gian lận mạng được sử dụng phổ biến nhất.
Các công ty bảo mật CNTT đã ghi nhận sự gia tăng ổn định về số lượng phần mềm độc hại có chức năng bàn phím.
Các báo cáo cho thấy ngày càng có xu hướng sử dụng công nghệ rootkit trong phần mềm bàn phím để giúp keylogger tránh bị các giải pháp chống vi-rút phát hiện và dò tìm thủ công.
Chỉ có biện pháp bảo vệ đặc biệt mới có thể phát hiện ra keylogger đang được sử dụng cho mục đích gián điệp.
Các biện pháp sau có thể được thực hiện để bảo vệ khỏi keylogger:
sử dụng phần mềm chống vi-rút tiêu chuẩn có thể được điều chỉnh để phát hiện phần mềm độc hại tiềm ẩn (cài đặt mặc định cho nhiều sản phẩm);
bảo vệ chủ động sẽ bảo vệ hệ thống khỏi các sửa đổi mới của keylogger hiện có;
sử dụng bàn phím ảo hoặc hệ thống để tạo mật khẩu dùng một lần nhằm bảo vệ khỏi phần mềm và phần cứng cho bàn phím.