Keylogger sind Malware der alten Schule. Lesen Sie, wie die Instruments zur Tastaturüberwachung funktionieren und warum sie nicht nur etwas für Cyberkriminelle sind.
IM_photo | shutterstock.com
Auch wenn Keylogger schon etliche Jahre auf dem Buckel haben: Sie sind immer noch beliebt und werden häufig im Rahmen großangelegter Cyberangriffe eingesetzt.
Keylogger – Definition
Der Begriff Keylogger bezeichnet eine Artwork von Überwachungssoftware, die die Tastatureingaben eines Benutzers aufzeichnet. Die Schadsoftware sendet die Daten, die beim Keylogging erfasst werden, an einen Dritten.
Cyberkriminelle nutzen Keylogger, um an persönliche Daten oder smart Finanzinformationen zu gelangen, die sie dann verkaufen oder anderweitig gewinnbringend nutzen können. Es gibt jedoch auch legitime Verwendungszwecke für Keylogger in Unternehmen – zum Beispiel beim Troubleshooting, dem Optimieren der Benutzerfreundlichkeit oder um Mitarbeiter authorized zu überwachen (je nachdem, welchen Gesetzen sie dabei unterliegen). Darüber hinaus nutzen Strafverfolgungsbehörden und Geheimdienste Keylogging zu Überwachungszwecken. Mehr dazu lesen Sie im Absatz “Einsatzzwecke”.
Keylogger – Funktionsweise
“Keylogger sind Programme, die Algorithmen nutzen, um die Tastaturanschläge durch Mustererkennung und andere Techniken zu überwachen”, erklärt Tom Bain, Vice President Safety Technique bei Morphisec. Der Umfang der von der Keylogger-Software program gesammelten Informationen kann dabei variieren: Einfache Formen erfassen nur die Informationen, die auf einer (einzigen) Web site oder in einer Anwendung eingegeben werden. Hochentwickelte Keylogging-Programme zeichnen hingegen alles auf (einschließlich der Daten, die bei Copy-Paste-Aktionen anfallen), unabhängig von der Anwendung. Einige Keylogger-Varianten – insbesondere solche, die auf cell Geräte abzielen – gehen noch weiter und erfassen auch Anrufe (sowohl Anrufverlauf als auch Audio), Informationen aus Messaging-Anwendungen, GPS-Standorte, Screenshots und sogar Mikrofon- und Kameraaufnahmen.
Keylogger können hardware- oder softwarebasiert aufgebaut sein:
-
Hardwarebasierte Keylogger werden einfach zwischen Tastatur und Pc geschaltet.
-
Bei softwarebasierten Keyloggern kann es sich um Applikationen oder Instruments handeln, die authorized oder unlawful installiert werden, in letzterem Fall additionally das Gerät unwissentlich mit Malware infizieren.
Die beim Keylogging erfassten Daten werden von der Software program per E-Mail oder durch den Add von Protokolldaten in vordefinierte Web sites, Datenbanken oder FTP-Server an den Angreifer zurückgesendet. Ist der Keylogger Instument in einem großen Cyberangriff, ist es sehr wahrscheinlich, dass die Kriminellen sich per Fernzugriff einloggen können, um die Tastaturanschlagsdaten herunterzuladen.
Keylogger – Einsatzzwecke
Die ersten Keylogger wurden bereits in den 1970er Jahren vom sowjetischen Geheimdienst eingesetzt (mehr dazu später). Auch diese frühen Keylogger zeichneten auf, was getippt wurde und schickten die Informationen über Funksignale an den KGB zurück.
Wie Cyberkriminelle Keylogger einsetzen
Heute gehören Keylogger zum gängigen Instrumentarium Cyberkrimineller, um finanzielle Informationen wie Financial institution- und Kreditkartendaten, persönliche Informationen wie E-Mail-Adressen, Passwörter oder smart Geschäftsinformationen über Prozesse und geistiges Eigentum zu entwenden. Je nach Artwork der gesammelten Daten (und den Motiven der Angreifer) werden die Informationen auf Darknet-Marktplätzen feilgeboten oder im Rahmen eines größeren Angriffs wiederverwendet.
“Wenn ein Keylogger in der Lage ist, die Tastenanschläge eines Datenbankadministrators in einem großen Unternehmen aufzuzeichnen, eröffnet das dem Angreifer Zugang zu Endpunkten und Servern, die wiederum viele smart Informationen preisgeben können, die sich zu Geld machen lassen“, erklärt Safety-Spezialist Bain.
Keylogger am Arbeitsplatz
Es gibt auch einen großen Markt für legale Keylogging-Apps, wenngleich diese meist ethisch fragwürdig sind. Sie können etwa genutzt werden, um Familienmitglieder, Companion oder Arbeitnehmer auszuspionieren. Wenn der Benutzer eines Geräts davon weiß, dass Adware auf seinem Gerät läuft, ist das in vielen Ländern authorized. Anwendungen, die Informationen über das Arbeitsverhalten sammeln, sind allerdings nicht nur aus moralischen, sondern auch aus Sicherheitsgründen mit Vorsicht zu genießen. Der Adware-Anbieter mSpy wurde beispielsweise überführt, in mehreren Fällen unabsichtlich Millionen Datensätze von Opfern einer Ausspähung veröffentlicht zu haben.
Überwachungssoftware dieser Artwork, die manchmal auch als “Company Keylogging” bezeichnet wird, kann indes für Testing, Debugging und die Verbesserung der Consumer Expertise nützlich sein. “In einer seriösen Umgebung werden Keylogger beispielsweise eingesetzt, um zu überprüfen, ob IT-Sicherheits- und Compliance-Vorschriften eingehalten werden”, weiß Simon Sharp, Worldwide Vice President beim Sicherheitsanbieter ObserveIT. “Ein Administrator kann dann sofort feststellen, wer ein bestimmtes Wort oder einen bestimmten Wert eingegeben hat, der mit einem Sicherheitsvorfall in Verbindung steht. So kann er verstehen, wer wann und warum gegen eine Richtlinie verstoßen hat.”
Die IT-Abteilung kann die Tastaturanschlagsdaten nutzen, um Benutzerprobleme zu identifizieren und zu beheben. Darüber hinaus können die Keylogging-Daten möglicherweise zusätzliche forensische Informationen nach einem Sicherheitsvorfall bereitstellen. Keylogger können auch dazu genutzt werden, potenzielle Innentäter zu erkennen, die Produktivität der Mitarbeiter zu überwachen oder um sicherzustellen, dass die IT-Ressourcen des Unternehmens nur für berufliche Zwecke genutzt werden. Sämtliche erfassten Keylogging-Daten sollten verschlüsselt werden.
Keylogger – Infektionswege
Es gibt verschiedene Wege, wie Keylogger auf einem Zielsystem platziert werden können. Hardwarebasierte Keylogger erfordern eine physische Handlung des Angreifers vor Ort. Das ist meist schwierig zu bewerkstelligen – aber nicht unmöglich. Auch drahtlose Tastaturen können übrigens aus der Ferne ausspioniert werden.
Software program-basierte Keylogger sind weiter verbreitet und eröffnen mehrere Zugangswege:
-
Infizierte Domains sind eine gängige Angriffsmethode – im Oktober 2018 wurden die .com- und .eu-Domains der On-line-Bürosoftware Zoho gesperrt, nachdem sie Keylogging-Malware an Nutzer ausgeliefert hatten. Auch Tausende von WordPress-Webseiten wurden bereits über gefälschte Google-Analytics-Skripte mit Keyloggern infiziert.
-
Mit Malware infizierte Apps sind ebenfalls ein Downside. Der Google Play Retailer hatte in der Vergangenheit bereits des öfteren mit Apps zu kämpfen, die Keylogger enthielten.
-
Wie viele andere Arten von Malware sind auch Keylogger oft in Phishing-E-Mails eingebettet. Eine Model des HawkEye-Keyloggers wurde beispielsweise über eine E-Mail-Kampagne mit infizierten Phrase-Dokumenten verbreitet.
-
Einige andere Keylogger-Varianten, wie etwa Fauxspersky, können sich über infizierte USB-Laufwerke verbreiten.
“Die größte Innovation bei Keyloggern sind integrierte Ausweichtechniken, die es ermöglichen, die Malware an Erkennungsmechanismen wie Antivirus-Software program vorbeizuschleusen”, sagt Bain. Viele Keylogger würden inzwischen in Kombination mit Ransomware, Cryptominer Malware oder Botnet-Code geliefert, so der Experte.
6 Wege, um Keylogger zu erkennen und entfernen
Die folgenden Ratschläge stellen die nach allgemeiner Auffassung wirksamsten Schritte dar, um die Auswirkungen unerwünschter Keylogger zu minimieren:
1. Ressourcen, Prozesse und Daten überwachen
Um einen Keylogger zu finden, kann es hilfreich sein, einen Blick auf die Ressourcenzuweisung, die Hintergrundprozesse und die Daten zu werfen, die vom betreffenden Gerät übertragen werden. Um zu funktionieren, benötigen Keylogger in der Regel Root-Zugriff auf den Zielrechner – ebenfalls ein verräterisches Anzeichen für eine Keylogger-Infektion.
2. Schutz aktualisieren
Da Keylogger oft mit anderen Formen von Malware gebündelt werden, kann die Entdeckung von Keylogger-Malware ein Hinweis auf einen umfassenderen Angriff sein. Aktuelle Virenschutz- und Anti-Rootkit-Lösungen entfernen bekannte Keylogger-Malware. Dennoch empfehlen sich weitere Untersuchungen, um festzustellen, ob der Vorfall Teil eines größeren Angriffs battle.
3. Anti-Keylogger-Software program einsetzen
Spezielle Anti-Keylogger-Software program verschlüsselt Tastaturanschläge, sucht nach bekannten Keyloggern und entfernt sie. Bei ungewöhnlichem Keylogger-ähnlichem Verhalten schlägt sie Alarm. Hilfreich ist es auch, den Root-Zugriff für nicht autorisierte Anwendungen zu sperren und bekannte Adware in die IT-Blacklist aufzunehmen.
4. Virtuelle Tastaturen nutzen
Virtuelle Onscreen-Keyboards vermindern das Keylogger-Risiko, weil sie Informationen auf andere Weise weitergeben als physische Tastaturen. Das kann sich allerdings auf die Produktivität der Benutzer auswirken. Außerdem wirkt es nicht gegen alle Arten von Keylogger und beseitigt auch nicht die Ursache des Issues.
5. Selbstausführende Dateien deaktivieren
Indem selbstausführende Dateien auf extern angeschlossenen Geräten wie etwa USB-Units deaktiviert werden und Dateien lediglich eingeschränkt auf und von externen Rechnern kopiert werden können, lässt sich das Risiko einer Keylogger-Infektion ebenfalls verringern.
6. Strikte Richtlinien durchsetzen
Der beste Weg für Unternehmen, sich vor Keylogger-Malware zu schützen, besteht in vielschichtigen Kennwortrichtlinien und einer Mehr-Faktor-Authentifizierung für alle Unternehmenskonten und -geräte. Auch im Fall von Keylogging reicht durchschnittliche Antivirus-Technologie nicht mehr aus.
Keylogger-Historie – berühmte Beispiele
-
Der älteste bekannte Keylogger entstammt dem Prä-Computerzeitalter: Der sowjetische Geheimdienst entwickelte in den 1970er Jahren ein Machine, das in elektrischen IBM-Schreibmaschinen versteckt werden konnte und Informationen über Tastenanschläge per Funk übermittelte. Diese frühen Keylogger wurden in US-Botschaften in Moskau und Leningrad eingesetzt.
-
Der erste Pc-Keylogger wurde 1983 vom damaligen Doktoranden Perry Kivolowitz als Proof of Idea entwickelt.
-
Ein besonders bemerkenswertes Beispiel für einen Keylogger “in freier Wildbahn” wurde 2015 “im Bundle” mit einer Modifikation für das Videospiel Grand Theft Auto V verbreitet.
-
Im Jahr 2017 wurde bekannt, dass Hunderte von Laptop computer-Modellen aus dem Hause Hewlett-Packard mit einem Keylogger ausgeliefert wurden. Das Unternehmen bestand allerdings darauf, dass es sich um ein Software zur Diagnose der Tastaturleistung handelte, das vor der Auslieferung hätte gelöscht werden müssen.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
