網路安全｜KeyLogger PRO鍵盤記錄裝置

多年來，已經有許多嘗試記錄關鍵資訊的裝置或軟體此，如KeyLogger PRO裝置，該裝置具有有趣的功能，例如：

· 透過WiFi連線裝置（使用WPA2）

· 透過無線方式檢視擊鍵資料（透過裝置WiFi）

· 在電子郵件報告中透過SMTP傳送擊鍵資料

· 透過UDP將鍵擊資料傳送到伺服器

KeyLogger PRO的測量值約為1x1cm，如下圖所示，它與標準尺寸膝上型電腦中的USB鍵盤聯結器相比：

圖1 - 該裝置面積非常小

使用者很難在他們的計算機上發現這種硬體的存在。如果需要，該裝置可以隱藏在鍵盤內，在軟體級別識別裝置甚至更加困難，稍後將對此進行介紹。

KeyLogger PRO Web應用程式

裝置設定

KeyLogger PRO裝置帶有自己的入口網站管理系統，可透過移動裝置或桌面瀏覽器連線。該裝置附帶嚴格的說明，可以從預設的開放式無線SSID設定接入，並且連線到裝置，允許訪問設定區域：

· 裝置訪問點設定

圖2 - 這是設定SSID和密碼的位置

以上設定顯示瞭如何連線到裝置，攻擊者可以連線到裝置SSID並瀏覽到192。168。4。1，以檢索設定頁面，在那裡他們可以檢視儲存的擊鍵資料並更改其設定。

· 金鑰記錄設定

圖3 - 用於確定輸入型別的鍵盤記錄設定

· 裝置電子郵件報告設定和攻擊

圖4 - 配置傳送SMTP設定的位置

攻擊場景

透過SMTP傳送擊鍵

使用裝置提供的功能，攻擊者可以配置SMTP設定，以將任何已記錄資料的電子郵件報告發送到其電子郵件帳戶。輪詢間隔（在上圖中設定為2）表示資料日誌將每兩分鐘傳送一次。唯一的缺點是，只要裝置具有活動的Internet連線，它就會每兩分鐘傳送一次日誌檔案，儘管沒有新的資料。

一旦受害者透過受損鍵盤輸入資料。將收到一封電子郵件，提供資料，如下例所示：

圖5 - 記錄擊鍵的電子郵件報告詳細資訊

· 裝置UDP流設定和攻擊

圖6 - 配置面向UDP偵聽伺服器的Internet

透過UDP傳送擊鍵

攻擊者可以部署面向虛擬專用伺服器（VPS）的Internet，並在tcpdump中設定UDP偵聽器以檢索金鑰記錄器流。當毫無戒心的使用者按下鍵盤上的鍵時，資料將實時流式傳輸到UDP偵聽器，提供以下內容：

· 鍵盤記錄裝置上配置的Internet連線（透過WiFi）

· 沒有複雜驅動程式的標準鍵盤，如遊戲鍵盤

該裝置也無法從單獨的數字鍵盤收集資料，但是，仍然可以使用這種易於植入的裝置檢索大量的擊鍵資料。

以下tcpdump命令可用於偵聽裝置上配置的所需埠並顯示傳送的資料：

sudo tcpdump -l -n -i ens3 dst port 25998 and inbound -s0 -vvv -w keylog。pcap

以下螢幕截圖演示了UDP流中傳送的純文字。在Wireshark中打開了keylog。pcap檔案，以檢視UDP資料包中的原始資料：

圖7 - 每個字元在裝置傳送時以不同的UDP資料包傳送

裝置識別

該裝置是否在內部顯示？

由於裝置是基於硬體的，因此進行了以下分析以確定裝置是否出現在Windows 10系統的任何位置。

裝置經理

在“裝置管理器”中，將顯示已安裝的USB複合裝置的設定。從下圖中可獲得的資訊有限：

圖8 - 未識別惡意裝置

右鍵單擊USB Composite Device可以檢視更多資訊。

將KeyLogger PRO與標準USB鍵盤一起插入時，會顯示以下資訊：

圖9 - VendorId在裝置管理器中公開

根據複合裝置列舉的文件：

https：//docs。microsoft。com/en-us/windows-hardware/drivers/usbcon/enumeration-of-the-composite-parent-device

“上次裝置例項ID”變數包含有助於識別惡意裝置的資料。以上網站提到以下格式可以揭示有關裝置驅動程式的更多資訊：

USB / VID_IdVendor＆PID_IdProduct

從上面的裝置管理器影象中查詢VENDORID或‘04F3’，可以看出該裝置可能是製造商‘Elan Microelectronics Corp’中的一個USB驅動程式。下面的列表演示了與此VendorID關聯的驅動程式範圍：

· 有線滑鼠

· 無線滑鼠

· 有線鍵盤

· 無線鍵盤

· 觸控式螢幕

有趣的是，當KeyLogger PRO裝置插入USB插座時，它不會出現在裝置管理器中。裝置管理器僅註冊插入金鑰記錄器的USB鍵盤的VendorID，而不是金鑰記錄器裝置本身。

這使得IT專業人員很難確定觸發事件的USB活動是否是合法的USB裝置被拔出和重新插入，或者是否惡意嘗試將鍵盤記錄器放置在網路上。

進一步的調查

第三方軟體

Windows中的“事件檢視器”不提供任何進一步的資訊，因為預設情況下禁用USB活動日誌，但是，在啟用日誌記錄後，它會記錄有關USB裝置的所有操作，並且可能會混淆篩選。對於預算較大的公司，某些第三方安全軟體可能是一種選擇，但是，可以使用免費軟體記錄USB裝置活動。

USBLogView

http：//www。nirsoft。net/utils/usb_log_view。html

USBLogView可以在USB裝置插入計算機或移除時對其進行監控，並將這些事件寫入日誌檔案並將其本地儲存在PC上。

顯示裝置上的關鍵資料並理解它們的方式，如下圖所示：

圖10 - USB活動的有用資訊

生成的日誌檔案可以在Excel中檢視為逗號分隔值檔案：

圖11 - 清除USB活動中的日誌資料

雖然這些資料是在可理解的列表中進行格式化，但它仍然不能確認金鑰記錄裝置的存在，但是，它確實提供了可以在任何取證工作中使用的資料。

日誌檔案更改

如果組織使用SolarWinds，則可以設定警報以報告檔案大小的更改或修改時的更改。理論上，當寫入新條目時，可以在USBLogView日誌檔案上發出警報。這將提醒系統管理員USB裝置插入或拔出的可能性。

防病毒會提供適當的保護嗎？

對EDR（端點檢測和響應）解決方案如何工作的調查顯示，其中一些解決方案沒有找到適合該裝置的正確位置。例如，傳統的AV供應商檢查是否插入了記憶棒（可移動儲存裝置）。在允許使用者訪問內容之前，AV解決方案會掃描裝置中的惡意軟體。大多數企業端點解決方案（如Symantec和Microsoft Anti Malware）都以這種方式執行。

其他“反鍵盤記錄”軟體聲稱停止鍵盤記錄器，但是，在進一步閱讀他們的說法時，他們只會阻止在磁碟上執行的軟體讀取鍵盤，因為軟體在鍵入時加密，這是在作業系統級別。

供應商

成功率

Microsoft Windows Defender（Windows10）

無法檢測到

ESET Endpoint Security

無法檢測到

Morphisec端點威脅防護

無法檢測到

Spy Shelter Silent 11。7 Anti-Key Logging

無法檢測到

在上述所有情況中，使用者輸入的資料已成功洩露到接收伺服器或透過電子郵件作為報告發送。

最令人驚訝的啟示是從安裝了Anti-Key Logging軟體的計算機中檢索資料，該軟體聲稱加密每次擊鍵。該軟體如下所示，以及輸入到記事本的文字：

圖12 - Spy Shelter Anti-Key Logging軟體

基本帳戶透過加密程序中的擊鍵來“阻止”金鑰記錄。從上圖中的列表中，notepad。exe不在排除列表中。

收到了一份包含明文資料的電子郵件報告，如下所示：

圖13 - 安裝了Spy Shelter的PC的電子郵件報告

Spy Shelter軟體沒有接收KeyLogger PRO裝置，因為該軟體正在尋找金鑰記錄軟體和金鑰記錄軟體的屬性，而不是硬體裝置。

防火牆會阻止流量嗎？

該裝置配備了自己的無線網路，可以為其提供Internet訪問。如果可以在手機上配置無線熱點並且裝置在範圍內，則可以在不檢測到資料的情況下發生資料洩露事件。

BIOS和裝置管理器

IT管理員可以完全禁用BIOS或計算機的Windows登錄檔中的USB埠，但是，如果需要外部鍵盤，則需要保持啟用狀態，並且攻擊向量需要始終有效。

文章來源於：

https：//www。pentestpartners。com/security-blog/covert-keylogging-sniping-your-typing/。