ШПИОН ДЛЯ САМОГО СВЯТОГО

ЗАЙЦЕВ ОЛЕГ

Спецвыпуск: Хакер, номер #070, стр. 070-040-2

Аппаратный «жучок». Такой кейлоггер обладает несомненным плюсом – его нельзя обнаружить программными методами. Развитие микроэлектроники привело к тому, что стоимость такого девайса снизилась до $50-100, поэтому вероятность применения такого «жучка» существенно возрастает.

[вскрытие показало…]

Чтобы не быть голословным, перед написанием статьи я обследовал 65 более или менее распространенных коммерческих кейлоггеров последних версий, что позволило сделать несколько интересных выводов.

Первый вывод касается принципов работы (диаграмма 1).

Оказалось, что подавляющее большинство кейлоггеров применяет банальные ловушки и циклический опрос клавиатуры. И только порядка 10% содержат драйвера-фильтры. Коммерческий руткит-кейлоггер в чистом виде так и не попался. Это говорит о том, что данная технология пока не нашла широкого распространения. С точки зрения применения руткитов (смотри на второй диаграмме), картина примерно аналогична – около 10% изученных шпионов применяют более или менее серьезные руткиты, достойные рассмотрения. Остальные или никак не маскируются, или содержат примитивнейшую защиту от диспетчера процессов (но при этом в описании буквально каждого можно найти громкие фразы типа «абсолютно невидим» и т.п.).

Самым интересным, с точки зрения маскировки, оказался ELITE Keylogger 2.6, который порадовал хоть какими-то нестандартными (и достаточно эффективными) мерами самозащиты.

[аппаратные кейлоггеры]

Аппаратный кейлогер может быть установлен различным способом, наиболее популярны два метода:

Размещение кейлоггера внутри клавиатуры. При этом обнаружить такого шпиона очень трудно, питаться он может непосредственно от платы клавиатуры. Существует достаточно широкий ассортимент таких устройств, например http://www.keyghost.com/securekb.htm

Включение в разрыв кабеля. Обычно устройство маскируется под удлинитель или фильтр — ассортимент весьма велик. Наиболее известен KEYKatcher Hardware Keyloggers (http://www.keykatcher.com/), который производится в двух разновидностях: для PS/2- и USB-клавиатур. Другой пример - KeyGhost (http://www.keyghost.com/).

[коммерческие программные кейлоггеры]

Рассмотрим несколько характерных кейлоггеров подробнее (я специально отобрал наиболее типичные экспонаты). Итак, начнем с отечественной разработки – кейлоггера Actual Spy.

Actual Spy

Сайт разработчика www.actualspy.ru/

Размер дистрибутива 1.5 мб

Данный кейлоггер обладает весьма внушительными возможностями, включая слежение за браузером и буфером обмена. Поддерживает автоматическую отправку отчетов по сети. В описании заявлено, что он не детектируется антивирусами и не виден во всех операционных системах.