keylogger چیست؟ (بخش ۲)

۲۸ آبا ۱۳۹۵ بدون دیدگاه مطالب آموزشی

افزایش استفاده از Keylogger توسط مجرمان اینترنتی

رشد حملات بدافزاری با کارکرد Keylogger
رشد حملات بدافزاری با کارکرد Keylogger

در مطلب قبلی نکات بسیاری را در مورد Keylogger آموختیم. همانطور که وعده دادیم، بخش دوم این مطلب آماده شده است. این حقیقت که مجرمان سایبری بارها و بارها از Keylogger برای جرائم اینترنتی و سایبری استفاده کرده اند، همیشه مورد تایید شرکت های امنیت IT بوده است. نمودار روبرو، مربوط به یکی از گزارش های Verisign است که در زمینه دامنه های اینترنتی و امنیت اینترنت فعالیت می کند. این گزارش از رشد هولناک حملات بدافزاری با کارکرد Keylogger پرده برداشته است.

گزارش تکان دهنده دیگری که اخیرا از سوی Symantec منتشر شده است نشان می دهد که بالغ بر ۵۰ درصد بدافزارهایی که توسط تحلیلگران این شرکت شناسایی شده اند، هیچ گونه آسیبی به کامپیوتر وارد نمی کنند و تنها به دزدی اطلاعات خصوصی کاربران مبادرت می ورزند.

بر طبق تحقیقی که John Bambenek تحلیلگر موسسه SANS Institute انجام داده است، تنها در خود آمریکا میلیونها رایانه توسط بدافزارهایی با کارکرد Keylogger آلوده شده اند. در زمان تهیه این گزارش، با توجه به تعداد رو به رشد تراکنش های مالی آنلاین، حدود ۲۴/۳ میلیون دلار تنها در آمریکا متضرر شده اند که بدبختانه این رقم تاکنون افزایش چشمگیری داشته است.

آزمایشگاه Kaspersky به طور مدام برنامه های مخرب با رویکرد Keylogger را کشف می کند. یکی از نخستین ویروس هایی که در سایت www.viruslist.com معرفی و در موردش به کاربران هشدار داده شد، توسط آزمایشگاه Kaspersky کشف شد که در پانزدهم ژوئن ۲۰۰۱ شناسایی شد. این تروجان که TROJ_LATINUS.SVR نام داشت، کارکرد Keylogger داشت. از آن موقع به طور مرتب جریانی رو به رشد از ظهور Keyloggerهای جدید با ساختار و تنظیمات مدرن تر وجود داشته است. پایگاه داده های آنتی ویروس های معتبر، صدها خانواده از Keyloggerها کشف کرده اند که البته مرتبا Keyloggerهای جدیدی معرفی می شوند که تحت لوای فعالیت های قانونی، قابلیت سفارشی سازی برای مقاصد شوم دارند.

جدیدترین برنامه هایی که رویکرد بدافزاری و مخرب دارند، برنامه های هیبریدی هستند که از فناوری های متفاوتی استفاده می کنند. در نتیجه این فناوری، دسته های مختلف برنامه ها، می توانند شامل زیرمجموعه هایی در دل خود با کارکرد Keylogger باشند. هر ماه تعداد زیادی از برنامه های جاسوسی کشف می شوند که البته کارکرد اغلب آنها مبتنی بر keylogger است.

برای ایمن شدن، همین حالا اقدام کن...

بیشتر قربانیان Keylogger، بعد از ضررهای شدید مالی متوجه وجود Keylogger می شوند!

شایع ترین روش ها برای ساختن نرم افزارهای keylogging به قرار زیر هستند:

  • یک قلاب سیستم که پیام های سیستمی مربوط به هربار فشرده شدن یک کلید را ردیابی می کند ( توسط WinAPI SetWindowsHook نصب می شود و اغلب با زبان برنامه نویسی C پیاده می شود)
  • درخواست دوره ای اطلاعات از صفحه کلید که با استفاده از WinAPI Get(Async)KeyState یا  GetKeyboardState پیاده می شود و توسط زبانهای ویژوال بیسیک یا بورلند دلفی پیاده می شود.
  • استفاده از یک صافی درایور که دانش برنامه نویسی ویژه ای خصوصا در زبان برنامه نویسی C را طلب می کند.
شایع ترین روش های ساخت نرم افزارهای keylogging
شایع ترین روش های ساخت نرم افزارهای keylogging

اخیرا تعداد Keyloggerهایی که تعدادی از فایل های خود را تصادفا در معرض شناسایی قرار داده و در لباس مبدل پنهان می شوند افزایش یافته است. این نوع از Keyloggerها را Rootkit نیز می خوانند. روت کیت ها می توانند در دوحالت خود را مخفی کنند.

  • پوشش در حالت کاربر
  • پوشش در حالت هسته

ساختار Keylogger

ایده اصلی پشت Keylogger رصد کلمات قرار گرفته بین دو لینک است که در نتیجه زنجیره ای از فشردن کلیدها، این دو لینک روی مانیتور نمایش داده می شود. به عنوان مثال شما آدرس بانک را تایپ می کنید، فرآیند Keylogging آغاز می شود و بعد زنجیره ای از کلیدها فشرده می شوند که شامل نام کاربری، رمز عبور، CVV یا اطلاعات دیگر می باشند و پس از آن، بعد از ورود اطلاعات کاربر به صفحه ای دیگر منتقل می شوند. حالا باید اطلاعات وارد شده و Log شده مورد تحلیل خرابکار قرار گیرند.

این اتفاق می تواند از طریق دوربین های مداربسته، باگ های سخت افزاری در صفحه کلید، سیم کشی درون کامپیوتر، توقف ورودی و خروجی درایور صفحه کلید، صافی درایور در Stack صفحه کلید، توقف توابع هسته با هر روش ممکن (جایگزینی آدرس ها در جداول سیستم، پیرایش کد تابع و …)، متوقف کردن توابع DLL در حالت کاربر و در نهایت گرفتن اطلاعات از صفحه کلید با روش های استاندارد مستندسازی، صورت گیرد.

تجربه نشان داده که روش های پیچیده تر و نامتعارف تر، کمتر احتمال دارد که در تروجان های معمولی استفاده شود و این حربه ها بیشتر برای تروجان هایی با رویکرد دزدی اطلاعات مالی از یک شرکت خاص مورد استفاده قرار می گیرند.

Keyloggerها به دو دسته نرم افزارهای keylogging و سخت افزارهای keylogging تقسیم می شوند. مواردی که در دسته سخت افزارهای keylogging قرار می گیرند اغلب شامل دستگاه های بسیار کوچکی هستند که می توانند به سخت افزار صفحه کلید متصل شوند یا سخت افزارهای کوچکی که درون کابل یا حتی خود کامپیوتر قرار می گیرند. نرم افزارهای keylogging شامل برنامه هایی هستند که برای رصد کردن اطلاعات صفحه کلید و تحلیل و انتقال اطلاعات به سرور خرابکاران مورد استفاده قرار می گیرند.

چطور از خودمان در برابر Keylogger محافظت کنیم؟

چطور از خودمان در برابر Keylogger محافظت کنیم؟
چطور از خودمان در برابر Keylogger محافظت کنیم؟

همه آنتی ویروس های حرفه ای (لازم به ذکر است که همه محصولات ویروس کش شامل این قابلیت هستند) Keyloggerها را به عنوان یکی از تهدیدات بالقوه در پایگاه داده خود قرار داده و با اسکن سیستم هایتان آنها را شناسایی خواهند کرد. تفاوتی در فرآیند شناخت یک Keylogger یا محافظت در برابر حمله Keylogger نسب به سایر بدافزارها، ویروس ها و تهدیدات اینترنتی وجود ندارد. کافی است یک آنتی ویروس حرفه ای را روی سیستم خود نصب کرده و مرتبا پایگاه داده آن را به روز کنید. بسیاری از افراد هستند که از نسخه های موقت ۳۰ روزه، برای دفع موقت برخی بدافزارها استفاده می کنند غافل از اینکه خطرات دنیای فناوری، همیشه در حال به روزرسانی و تجدید قوا هستند. خوب اکثر آنتی ویروس ها Keyloggerها را تحت عنوان برنامه های خطرناک بالقوه یا برنامه های نامطلوب شناسایی می کنند، بنابر این کافیست از اینکه آنتی ویروس با تنظیمات پیش فرض، قادر به شناسایی Keyloggerهای متعارف و شایع است مطمئن باشید، در غیر این صورت باید توجه کنید که به صورت دستی این تنظیمات را اعمال کنید تا بتوانید Keylogger را به سرعت شناسایی کنید.

بیاید نگاه دقیق تری به روش هایی بیندازیم که برای شناسایی Keyloggerهای ناشناخته ای استفاده می شوند که مخصوص حمله به یک سیستم مشخص هستند. از آنجایی که هدف دزد یا هکر، دزدی اطلاعات محرمانه (شماره کارت اعتباری، رمز عبور و…) است، منطقی ترین روش های برای مبارزه با Keyloggerهای ناشناخته و جدید به شرح زیر است:

  • استفاده از رمزهای یک بار مصرف یا احراز هویت دو مرحله ای
  • استفاده از یک محصول امنیتی قوی و فعال با قابلیت به روز رسانی که کلیه keylogger ها را شناسایی و خنثی کند.
  • استفاده از صفحه کلید مجازی

رمزهای یکبار مصرف در حال حاضر توسط برخی بانکهای کشور برای دسترسی به حساب کاربری در اینترنت ارائه می شوند. این قابلیت در بسیاری از بانکهای اروپا و آسیا نیز وجود دارد. سیستم های سخت افزاری کمکی نیز برای این منظور وجود دارند. با این حال بهترین و مطمئن ترین راه، بهره گیری از یک آنتی ویروس قوی با قابلیت به روز رسانی است تا شما را از شر جدیدترین Keylogger های کشف شده نیز محافظت کند.

اگر بخواهید بدانید که رمزهای عبور یا گذرواژهای یکبار مصرف چه هستند، باید بدانید که این رمزها تنها برای یک جلسه یا تراکنش معتبر هستند و اگر به هر دلیلی این رمز لو رفت، برای بار بعدی نمی توان از آن استفاده کرد. این رمزها بسیاری از ضعف های رمزهای ثابت را پوشش می دهند، اما به یاد سپردن آنها برای بسیاری از مردم که رمز ثابت را هم فراموش می کنند دشواریهای خاص خود را دارد. برخی مواقع از ابزارهای کمکی برای به یاد آوردن این رمزها استفاده می شود. استفاده از رمزهای یکبار مصرف به دلیل محدود بودن زمان جلسه ای که داخل حساب کاربری بانکی هستید بسیار کارآمد است و در صورت دزدیده شدن اطلاعات محرمانه، اوضاع کماکان در کنترل شما خواهد بود.

دقت کنید که سیستم رمزهای یکبار مصرف برای کاربران حرفه ای تر طراحی شده است. چنانچه یک کاربر از تجربه کمتری برخوردار باشد ممکن است در اجرای درست فرآیند اشتباه عمل کند و این خود مجالی برای یک هکر باشد تا از این روش، سیستم بانکی را مورد استفاده قرار دهد. شاید از یک منظر امنیت بیشتری حاصل شود، ولی در شرایطی متفاوت، این روش می تواند زمینه ساز خطرات دزدی از نوع دیگری شود. به دلیل دخالت بیش از حد کاربر در این نوع از رمز عبور، مشکلاتی متفاوت نیز ممکن است به وجود بیاید که مستقیما از خطای کاربر ناشی می شود. در این حالت، به دلیل قانونی شدن ورود توسط کاربر، ممکن است Keylogger بتواند سیاست های امنیتی را دور زده و از یک سیستم حاضر و آماده سوء استفاده کند.

گفتیم که روش دیگری که برای ورود نام کاربری و رمز عبور مورد استفاده قرار می گیرد استفاده از صفحه کلید مجازی است. این روش برای خنثی کردن Keylogging به صورت نرم افزاری و سخت افزاری مورد استفاده قرار می گیرد و از یک صفحه کلید نرم افزاری که به کمک اشاره گر ماوس مدیریت می شود، استفاده می کند. ایده جدید و خاصی پشت این صفحه کلید نیست، فقط یک نرم افزار توکار است که در سیستم عامل شما وجود دارد. با این حال این صفحه کلیدها نیز برای مراقبت کامل از سیستم در برابر همه جرائم سایبری مجهز نشده اند. اطلاعات وارد شده توسط صفحه کلید مجازی توسط برخی نرم افزارهای مخرب و بدافزارها به راحتی قابل سوءاستفاده است. هرچند که در ظاهر این صفحه کلیدها برای اطمینان بخشیدن به کاربر است که به هیچ عنوان، اطلاعات از این طریق رهگیری نمی شوند.

بنابر این باز هم برمی گردیم به این نکته که نمی توان از نصب و بهره گیری از یک آنتی ویروس به روز و کارآمد شانه خالی کرد.

نتیجه گیری

مطلب امروز و قسمت قبلی آن، اشاره به Keylogger های سخت افزاری و نرم افزاری و کارکرد آنها داشت. حتی اگر توسعه دهندگان Keylogger آنها را در میان محصولات قانونی و بازارهای معتبر به فروش برسانند، باز هم از Keylogger می توان برای دزدی اطلاعات شخصی یا مقاصد جاسوسی صنعتی و سیاسی استفاده کرد. در حال حاضر، Keylogger به همراه روش های Phishing و مهندسی اجتماعی از کارآمدترین روش ها برای جرائم سایبری است. شرکت های ارائه دهنده آنتی ویروس و محصولات امنیتی، به طور مکرر گزارش هایی در مورد افزایش تکان دهنده شمار بدافزارهایی با کارکرد Keylogging منتشر می کنند.

گزارش ها حاکی از آن است که تمایل توسعه دهندگان بدافزارها و برنامه های مخرب به استفاده از تکنولوژی های Rootkit در بدافزارهای keylogging است تا بتوانند از روش های معمول شناسایی و تشخیص Keyloggerها به صورت دستی یا توسط آنتی ویروس ها بگریزند.

تنها با یک راه حال امنیتی اختصاصی و به روز می توانید از keylogging با مقاصد پلید جاسوسی پیشگیری کنید. خلاصه این که استفاده از یک نرم افزار امنیتی و آنتی ویروس قوی و به روز که بتواند برای تشخیص نرم افزارهای مخرب به صورت حرفه ای تنظیم شود (همه محصولات وب سایت Virooskosh این قابلیت را به صورت پیش فرض دارند) کارآمد ترین راه برای مبارزه با حملات keylogger است. اقدامات بعدی نظیر رمزعبور یکبارمصرف یا صفحه کلید مجازی پس از استفاده از آنتی ویروس قوی، می تواند امنیت مضاعف و آسودگی خاطر شما را تضمین کند.

برای ایمن شدن، همین حالا اقدام کن...

درآمد طراحان Keylogger از پولیست که از حسابهای قربانیان برداشته می شود!

برچسب ها

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

92 − 91 =