Keylogger

Program lub urządzenie rejestrujące naciśnięcia klawiszy w celu przechwycenia haseł i innych poufnych danych wpisywanych przez użytkownika.

Keylogger (od keystroke logger) to narzędzie, które po cichu rejestruje wszystko, co wystukujesz na klawiaturze: hasła, numery kart, treść wiadomości, a czasem nawet to, co wkleiłeś ze schowka. Część keyloggerów to czysty malware służący do kradzieży danych, ale dokładnie ta sama technologia stoi za legalnym monitoringiem pracowników, kontrolą rodzicielską czy oprogramowaniem do testów penetracyjnych. Różnica leży w zgodzie i intencji, nie w samym kodzie.

Jak to działa

Keyloggery dzielą się na dwie rodziny. Software’owe to programy, które wpinają się w mechanizmy systemu obsługujące wejście z klawiatury. Na Windowsie klasyczny sposób to globalny hook przez SetWindowsHookEx z parametrem WH_KEYBOARD_LL — system grzecznie informuje program o każdym wciśniętym klawiszu, zanim trafi on do aktywnej aplikacji. Bardziej zaawansowane warianty siedzą w kernelu jako sterownik filtrujący, przez co są trudniejsze do wykrycia. Hardware’owe to fizyczne urządzonka wpinane między klawiaturę a port USB/PS2 albo wlutowane w laptopa; system operacyjny ich w ogóle nie widzi, bo działają na poziomie sprzętu.

Zebrane naciśnięcia keylogger zwykle zapisuje do ukrytego pliku, a potem wysyła je na serwer atakującego (tzw. exfiltracja) mailem, przez HTTP albo kanał komunikatora. Współczesne odmiany dorzucają zrzuty ekranu, listę odwiedzanych stron i historię schowka, żeby dało się odtworzyć kontekst — samo „p-a-s-s-1-2-3″ bez wiedzy, gdzie to wpisano, jest mniej warte.

Przykład z praktyki

W laboratorium do nauki bezpieczeństwa popularny jest keylogger z frameworka Metasploit. Po przejęciu sesji Meterpreter na maszynie testowej uruchamiasz po prostu keyscan_start, czekasz, a potem keyscan_dump wypluwa przechwycony tekst. To świetnie pokazuje, dlaczego sam antywirus nie wystarczy: keylogger nie musi nic „infekować”, jeśli ma już dostęp do procesu. W realnym świecie tę samą rolę pełnią rodziny malware jak Agent Tesla czy Snake Keylogger, kolportowane głównie w załącznikach phishingowych.

Na co uważać

Najczęstszy mit: „mam antywirusa, więc jestem bezpieczny”. Hardware keylogger jest dla AV niewidzialny, a dobrze napisany software’owy potrafi się ukryć jako legalny proces. Drugi mit: że keylogger musi być wirusem — wiele z nich to komercyjne aplikacje „monitorujące”, instalowane świadomie. Z obrony realnie pomagają: 2FA (samo hasło przestaje wystarczać), menedżer haseł z autouzupełnianiem zamiast ręcznego wpisywania, oraz zasada ograniczonych uprawnień — keylogger software’owy zwykle potrzebuje praw, których zwykłe konto nie ma.

Pojęcia powiązane: spyware, malware, phishing, Meterpreter, RAT (Remote Access Trojan), exfiltracja danych, 2FA, hook systemowy.