Die Sowjetunion, Plex und der Sohn eines Mafiabosses scheinen nicht unbedingt etwas miteinander zu tun zu haben, aber sie haben eines gemeinsam: Keylogger.
Ein Keylogger ist eine Software oder Hardware, die speziell dafür entwickelt wurde, die Tastatureingaben auf einem Gerät zu überwachen und aufzuzeichnen. Der Hauptzweck von Keyloggern besteht darin, sensible Informationen wie Benutzernamen und Passwörter zu sammeln und diese Informationen für kriminelle Zwecke auszuspionieren.
In letzter Zeit werden legitime Keylogging-Programme zunehmend auch von Eltern eingesetzt, um die Geräte ihrer Kinder zu überwachen.
Geschichte der Keylogger
Keylogging ist nicht auf Computer beschränkt; die früheste Form von Keyloggern geht auf die 1970er Jahre während des Kalten Krieges zurück. IBM Selectric-Schreibmaschinen waren die am weitesten verbreiteten Schreibmaschinen, als der Übergang zu einem elektrischen Schreibkopf die Schreibgeschwindigkeit rapide erhöhte. Mit der Einführung einer neuen Technologie ergab sich auch die Möglichkeit, diese Technologie zu missbrauchen.
Die Sowjetunion entwickelte ein Gerät, das später als „Selectric Bug“ bekannt wurde, um die Position der Druckerkopfkugel durch Messung kleiner magnetischer Störungen zu ermitteln. Die vom Gerät erfassten Daten sendeten dann kurze Funkwellen an einen nahe gelegenen Abhörposten. Diese Wanze war für die damalige Zeit so raffiniert, dass es fast unmöglich war, sie zu entdecken. Der Selectric-Bug wurde in 16 IBM Selectric-Schreibmaschinen gefunden, die während des GUNMAN-Projekts in den 1980er Jahren in der US-Botschaft in Moskau eingesetzt wurden.
Mit der steigenden Zugänglichkeit von privaten Computern in den 90er und 2000er Jahren wurden Keylogger immer ausgefeilter. Sie waren nicht mehr auf die Ausnutzung von Hardware beschränkt, sondern konnten als Software eingesetzt werden und Informationen über das Internet an den Angreifer weiterleiten. Dies öffnete den Markt für Kriminelle, die es auf Privatanwender und Unternehmen abgesehen hatten.
In den frühen 2000er Jahren nutzte das FBI das System von Nicodemo Scarfo Jr. aus, dem Sohn eines prominenten Mafiabosses in Philadelphia. Die Agenten installierten die Keylogging-Software auf seinem Computer, zeichneten die PGP-Passphrase auf und ermöglichten dem FBI die Entschlüsselung digitaler Dateien. Durch den Einsatz eines Keyloggers gelang es den Behörden, den Fall gegen die Mafia zu lösen, was zur Zerschlagung einer großen illegalen Glücksspiel- und Kredithai-Organisation führte.
In jüngerer Zeit war LastPass einer der bedeutendsten Fälle, in denen sensible Informationen durch den Einsatz eines Keyloggers erlangt wurden. Im Jahr 2022 wurde ein leitender Ingenieur bei LastPass Opfer eines Keylogger-Angriffs, bei dem die sicheren Zugangsschlüssel zu den verschlüsselten AWS-Backups des gesamten Unternehmens erbeutet wurden. Dieser Ingenieur war einer von nur vier Mitarbeitern mit dieser Zugriffsebene, was zeigt, dass ausgeklügelte Angriffe schwerwiegende Folgen haben. Der Angreifer griff auf das Heimnetzwerk des Ingenieurs zu, indem er seinen veralteten Plex-Server, ein Heim-Multimediasystem, ausnutzte. Nachdem der Angreifer in das Netzwerk eingedrungen war, konnte er die Keylogger-Malware auf den Geräten des Technikers installieren.
Arten von Keyloggern
Aus den Beispielen in der Geschichte der Keylogger lassen sich mehrere Iterationen von physischen und digitalen Keyloggern ablesen.
Hardwarebasiert
Der hardwarebasierte Keylogger ist ein Gerät, das in der Regel zwischen dem Computer und der Tastatur angebracht wird. Diese Geräte sind inzwischen so klein, dass sie in den USB-Anschluss eines Computers passen und praktisch unentdeckt bleiben. Es gibt auch die Möglichkeit einer Keylogger-Tastatur, bei der die Keylogging-Module direkt in das Gerät integriert sind. Alle modernen hardwarebasierten Keylogger verfügen über eine Form des Fernzugriffs, entweder über Wi-Fi oder Bluetooth, um die erfassten Daten zu extrahieren. Einige Beispiele für diese Geräte sind:
- USB-M-F und Verlängerungskabel
- PCB-Modul
- In die Tastatur eingebettet
- Tastatur an Ethernet
Softwarebasiert
Softwarebasierte Keylogger oder Malware benötigen keinen physischen Zugang zu einem Gerät oder die Extraktion aus der Nähe. Legitime Keylogger-Software kann auf Geräten von Unternehmensmitarbeitern oder zur Überwachung durch Eltern installiert werden. Illegale Keylogger-Software wird in der Regel über Malware installiert, die durch Phishing oder das unbeabsichtigte Ausführen verdächtiger Dateien eingeschleust wird. In einigen Fällen kann es schwierig sein, Keylogger zu entdecken, weshalb eine mehrschichtige Präventionsstrategie erforderlich ist
Wie funktioniert das?
Die Art und Weise, wie der Keylogger erfolgreich Informationen überwachen und extrahieren kann, hängt von den zwei genannten Typen ab.
Hardwarebasierte Keylogger fangen Daten direkt über die physische Schicht ab und nutzen die Daten, die über ein Eingabegerät zum Computer gelangen. Diese Daten werden in der Regel als Klartext-Tastenanschläge im Speicher des kleinen Geräts abgelegt, bis sie vom Angreifer exfiltriert werden.
Die neueste Version eines softwarebasierten Keyloggers ist der Snake Keylogger, der erstmals Ende 2020 entdeckt wurde. Snake Keylogger wird in der Regel über Makros in Microsoft Office-Dokumenten oder PDF-Dokumenten verbreitet und lädt gestohlene Daten über SMTP, FTP oder Telegram hoch. Dies ist die häufigste Infektionsmethode für softwarebasierte Keylogger.
Die Payload für das infizierte Dokument zielt darauf ab, eine verschlüsselte DLL-Datei in das System einzuschleusen. Dadurch wird die Datei von den meisten Antiviren-Systemen nicht erkannt und die ausführbare Datei kann für die Bereitstellung von Inhalten entschlüsselt werden. Um einer Entdeckung weiterhin zu entgehen, verschleiert die Malware ihren Code mit zufällig generierten Zeichenfolgen. Zur weiteren Ausführung implementiert die Payload einen Kernel-Treiber, um Code in Start- und Child-Prozesse zu schleusen. Diese Prozesse nutzen die API-Callback-Funktion, um Low-Level-Tastatureingaben zu überwachen. Diese Art von Keyloggern wird als Kernel-Mode-Keylogger bezeichnet und ist die ausgefeiltere softwarebasierte Version. Diese Art des Angriffs ermöglicht es, Tastatureingaben aufzuzeichnen, Daten aus der Zwischenablage zu extrahieren und Bildschirmaufnahmen zu erstellen.
Phishing oder Spear-Phishing sind die Haupteinfallstore für Keylogger am modernen Arbeitsplatz. Die richtigen Tools zum proaktiven Schutz Ihres Unternehmens und konsequente Phishing-Kampagnen zur Aufklärung der Benutzer sind von entscheidender Bedeutung. Wir bei Hornetsecurity arbeiten ständig daran, unseren Kunden Vertrauen in ihre Spam & Malware Protection, ihre Email Encryption und ihr Email Archiving zu geben.
Prävention und Beseitigung von Keyloggern
Wie können Sie feststellen, ob Sie einen Keylogger haben, und was können Sie tun, um ihn zu entfernen?
Die beste Methode zur Erkennung und Entfernung von Keyloggern oder anderer Malware ist der Einsatz einer modernen Anti-Malware-Lösung mit umfassenden EDR-Funktionen (Endpoint Detection and Response), die Ihr System regelmäßig überprüft und auf dem neuesten Stand hält.
Diese Lösung ist jedoch eher reaktiv als proaktiv. Die proaktive Methode zur Virenvorbeugung besteht in der Schulung der Benutzer, einem modernen E-Mail-Schutz vor Spam & Malware sowie einem Webschutz. Als Faustregel für Unternehmensumgebungen sollten Sie mindestens die Reifegradstufe eins des australischen Essential 8-Modells anstreben. Ein ganzheitlicher Ansatz wie dieser wird Ihre Umgebung frei von Keyloggern halten.
Die Prävention und Erkennung von hardwarebasierten Keyloggern ist komplexer. Diese zu finden, kann eine Herausforderung sein und ist oft wesentlich zeitaufwändiger. Die beste Methode zur Bekämpfung von hardwarebasiertem Keylogging besteht darin, die Datenexfiltration über eine sogenannte Firewall Packet Inspection oder eine Web-Proxy-Lösung abzufangen. Beides ist der Schlüssel zur proaktiven Prävention und Erkennung von Malware in Ihrer Umgebung.
Microsoft und andere Hersteller von Betriebssystemen sind sich des Ausmaßes der Ausnutzung von Identitäten und der Zunahme von sensiblen Authentifizierungslecks durch Dritte bewusst. Microsoft hat Windows Hello für Unternehmen eingeführt und unterstützt auch FIDO2-Hardwareschlüssel, um die Überwachung von Tastatureingaben oder Passwörtern zu verhindern. Beide Lösungen ermöglichen die Verwendung biometrischer Daten in Verbindung mit einer Multifaktor-Authentifizierung. Dadurch werden die Angriffsfläche und der Nutzen eines Keyloggers für den Angreifer erheblich reduziert.
Verwendungszwecke von Keyloggern
Zusammengefasst sind Keylogger ein Überwachungsinstrument, das in den meisten Fällen mit kriminellen Aktivitäten in Verbindung gebracht wird. Keylogger haben jedoch legitime Verwendungszwecke, vor allem in der heutigen Zeit mit moderner Technologie.
Elterliche Überwachung
Cybermobbing, illegale Inhalte und die Kommunikation mit Fremden im Internet haben erheblich zugenommen. Keylogger, die in Anwendungen wie Spyrix Free Keylogger und KidLoger integriert sind, zielen darauf ab, die Kommunikation abzufangen. Diese wird zur Überprüfung durch die Eltern aufgezeichnet oder kann so zusammengefasst werden, dass auf der Grundlage bestimmter Schlüsselwörter eine Warnung ausgegeben wird. Achten Sie jedoch darauf, wie die gesammelten Daten gespeichert werden, denn es hat Fälle gegeben, in denen „elterliche Spyware“-Dienste selbst kompromittiert wurden. Denken Sie auch daran, dass sowohl Windows als auch MacOS/iOS über eine Kindersicherung (aber keine Keylogging-Funktion) verfügen, mit der Eltern die Bildschirmzeit und den Internetzugang ihrer Kinder kontrollieren können.
Unternehmensüberwachung
Obwohl dies am modernen Arbeitsplatz selten geworden ist, gibt es immer noch einen Bedarf für Keylogging in Unternehmen. Dies kann in Organisationen mit Sicherheitsanforderungen oder beim Umgang mit sensiblen Informationen der Fall sein. In der Regel setzen Unternehmen eine weniger einschneidende Überwachung über Web-Proxy-Lösungen und Informationsschutzdienste ein.
Um Ihre Cyberumgebung angemessen zu schützen, sollten Sie den Einsatz von Hornetsecurity Advanced Threat Protection in Erwägung ziehen, das über eine Keylogger-Erkennungsfunktion verfügt, sowie einen Security Awareness Service, der Ihre Mitarbeiter in der Abwehr von Cyberbedrohungen und der Sicherung Ihrer wichtigen Daten schult.
Um über die neuesten Artikel und Praktiken auf dem Laufenden zu bleiben, besuchen Sie jetzt unseren Hornetsecurity-Blog.
Häufig gestellte Fragen
Kann ein Keylogger erkannt werden?
Ja. Die meisten Keylogger können mit geeigneten Antiviren- und Antimalware-Tools erkannt werden. Hornetsecurity verfügt über ein Programm, das speziell dafür entwickelt wurde, den Anhang verdächtiger Dateien an Firmen-E-Mails zu verhindern.
Wie installieren Hacker Keylogger?
Gezieltes Hacken ist in den meisten Fällen selten; Spear-Phishing oder Whaling in einer Unternehmensumgebung ist jedoch häufiger. Hier hat es ein böswilliger Angreifer gezielt auf eine Einzelperson (Spear-Phishing) oder eine Führungskraft (Whaling) abgesehen. Die Payload besteht in der Regel aus einem gut getarnten Dokument oder einem Link, über den das Opfer einen Code ausführen kann. Bei anderen physischen Angriffen kann sich ein Hacker direkten Zugang zu einem Gerät verschaffen und einen hardwarebasierten Keylogger einschleusen. Dies ist zwar sehr selten, aber es gab schon Fälle, in denen dies vorkam.
Ist ein Keylogger ein Virus?
Ja. Ein Keylogger wird als Virus oder Malware betrachtet. Keylogger gehören daher eher in die Kategorie der Prävention als der Reaktion. Die Verwendung einer hochwertigen Antivirenlösung in Verbindung mit der Schulung der Benutzer ist die beste proaktive Methode.
Was macht ein Keylogger?
Keylogger überwachen und zeichnen Tastatureingaben auf, um sensible Informationen wie Passwörter oder Kreditkartendaten zu extrahieren.
Woher weiß man, ob jemand einen Keylogger einsetzt?
Möglicherweise bemerken Sie, dass Ihr Computer ungewöhnlich viele Ressourcen verbraucht und Ihre Mausbewegungen/Tastaturanschläge verzögert sind. Wenn Sie vermuten, dass Sie einen Keylogger haben, führen Sie einen Virenscan durch.
