KEYLOGGER

Was ist ein Keylogger?

 Definition von Keyloggern

Ein Keylogger oder Keystroke Logger/Tastaturerfassung ist eine Form von Malware oder Hardware, die Ihre Tastatureingaben während Ihrer Eingabe verfolgt und aufzeichnet. Es nimmt die Informationen und sendet sie über einen Command-and-Control-(C&C-)Server an einen Hacker. Der Hacker analysiert dann die Tastatureingaben, um Benutzernamen und Passwörter zu finden, und verwendet sie, um in ansonsten sichere Systeme zu hacken.

Arten von Keyloggern

Ein Software-Keylogger ist eine Form von Malware, die Ihr Gerät infiziert und sich, wenn er darauf programmiert ist, auf andere Geräte ausbreiten kann, mit denen der Computer in Kontakt kommt. Während ein Hardware-Keylogger sich nicht von einem Gerät auf ein anderes verbreiten kann, wie z. B. einen Software-Keylogger, überträgt er Informationen an den Hacker oder die Hacker-Organisation, die er dann verwendet, um Ihren Computer, Ihr Netzwerk oder alles andere, das eine Authentifizierung erfordert, zu gefährden.

Software-Keylogger

Software-Keylogger bestehen aus Anwendungen, die auf einem Computer installiert werden müssen, um Tastatureingabedaten zu stehlen. Sie sind die häufigste Methode, mit der Hacker auf die Tastenanschläge eines Benutzer zugreifen.

Ein Software-Keylogger wird auf einen Computer gesetzt, wenn der Benutzer eine infizierte Anwendung herunterlädt. Nach der Installation überwacht der Keylogger die Tastenanschläge auf dem von Ihnen verwendeten Betriebssystem und überprüft die Pfade, die jeder Tastenanschlag durchläuft. Auf diese Weise kann ein Software-Keylogger Ihre Tastatureingaben verfolgen und jede aufzeichnen.

Nachdem die Tastenanschläge aufgezeichnet wurden, werden sie automatisch an den Hacker übertragen, der den Keylogger eingerichtet hat. Dies geschieht über einen Remote-Server, mit dem sowohl die Keylogger-Software als auch der Hacker verbunden sind. Der Hacker ruft die vom Keylogger erfassten Daten ab und verwendet sie dann, um die Passwörter des ahnungslosen Benutzer zu ermitteln.

Die mit dem Keylogger gestohlenen Passwörter können E-Mail-Konten, Bank- oder Investitionskonten oder diejenigen umfassen, die das Ziel verwendet, um auf Websites zuzugreifen, auf denen seine personenbezogenen Daten eingesehen werden können. Aus diesem Grund besteht das Ziel des Hackers möglicherweise nicht darin, in das Konto einzudringen, für das das Passwort verwendet wird. Vielmehr kann der Zugang zu einem oder mehreren Konten den Weg für den Diebstahl anderer Daten ebnen.

Hardware-Keylogger

Ein Hardware-Keylogger funktioniert ähnlich wie sein Software-Pendant. Der größte Unterschied besteht darin, dass Hardware-Keylogger physisch mit dem Zielcomputer verbunden sein müssen, um die Tastatureingaben des Benutzer aufzuzeichnen. Aus diesem Grund ist es wichtig, dass ein Unternehmen sorgfältig überwacht, wer Zugang zum Netzwerk und den damit verbundenen Geräten hat.

Wenn eine unbefugte Person ein Gerät im Netzwerk verwenden darf, könnte sie einen Hardware-Keylogger installieren, der unentdeckt laufen kann, bis er bereits sensible Informationen erfasst hat. Nachdem die Hardware-Keystroke-Logger das Keylogging abgeschlossen haben, speichern sie die Daten, die der Hacker vom Gerät herunterladen muss.

Der Download muss erst durchgeführt werden, nachdem der Keylogger die Protokollierung von Tastenanschlägen abgeschlossen hat. Das liegt daran, dass es dem Hacker nicht möglich ist, die Daten zu erhalten, während der Keylogger arbeitet. In einigen Fällen kann der Hacker das Keylogging-Gerät über WLAN zugänglich machen. Auf diese Weise müssen sie nicht physisch zum gehackten Computer gehen, um das Gerät zu erhalten und die Daten abzurufen.

Wie werden Keylogger aufgebaut?

Das Hauptkonzept hinter Keyloggern ist, dass sie zwischen dem Drücken einer Taste auf einer Tastatur und dem Erscheinen der Informationen zu dieser Tastatureingabe auf dem Monitor platziert werden müssen. Es gibt mehrere Möglichkeiten, dies zu erreichen.

Einige Hacker verwenden eine Videoüberwachung, um die Verbindung zwischen den gedrückten Tasten und dem, was auf dem Monitor angezeigt wird, zu sehen. Eine Videokamera mit Blick auf Tastatur und Bildschirm kann eingerichtet werden. Sobald es ein Video der Tastenanschläge und der Anmelde- oder Authentifizierungsbildschirme aufzeichnet, die die Takte durchlaufen müssen, kann der Hacker das Video wiedergeben, verlangsamen und sehen, welche Tasten gedrückt wurden.

Ein Angreifer kann auch einen Hardware-Fehler in die Tastatur selbst einfügen. Dies würde jeden durchgeführten Hub aufzeichnen und die zu speichernden Informationen senden, entweder auf einem Server oder einem nahegelegenen physischen Gerät. Es ist möglich, dass ein Keylogger innerhalb der Verkabelung oder im Computer platziert wird – solange er sich zwischen der Tastatur und dem Monitor befindet.

Darüber hinaus kann Keylogger-Software so konzipiert werden, dass sie alle Eingaben abfängt, die von der Tastatur stammen. Dies kann mit ein paar verschiedenen Methoden erfolgen:

• Der Treiber, der die Interaktion zwischen der Tastatur und dem Computer erleichtert, kann durch einen ersetzt werden, der jede Tastatureingabe protokolliert.
• Ein Filtertreiber kann innerhalb des Tastaturstapels positioniert werden.
• Kernel-Funktionen, die Ähnlichkeiten zwischen Daten zur Unterstützung des maschinellen Lernens verwenden, können von Software-Keyloggern abgefangen und dann verwendet werden, um die erforderlichen Tastenanschläge zur Durchführung von Authentifizierungsfunktionen abzuleiten.
• Die Funktionen der Dynamic Link Library (DLL), die den von mehr als einem Programm verwendeten Code speichert, können abgefangen werden.

Die Software, die als Form von Spyware anerkannt ist, wird mit einigen verschiedenen Methoden entwickelt. Hier sind die häufigsten:

• Ein System-Hook, eine Technik zur Änderung des Verhaltens des Betriebssystems, wird verwendet, um jede Benachrichtigung abzufangen, die bei jedem Drücken einer Taste generiert wird. Diese Art von Software wird in der Regel mit der Programmiersprache C erstellt.
• Es wird eine zyklische Informationsanfrage eingerichtet, die Informationen von der Tastatur erfasst. Diese Art von Keyloggern werden in der Regel mit Visual Basic oder Borland Delphi geschrieben.
• Ein Filtertreiber wird in C geschrieben und im Computer installiert.

Als eine Art Abwehrmechanismus können sich einige Keylogger, die als Rootkits bezeichnet werden, verbergen, um manuelle oder Antivirus-Erkennung zu verbergen. Sie maskieren entweder im Benutzer oder im Kernel-Modus.

Wie erkennt man einen Keylogger?

Der einfachste Weg, einen Keylogger zu erkennen, ist, Ihren Task Manager zu überprüfen. Hier sehen Sie, welche Prozesse ausgeführt werden. Es kann schwierig sein zu wissen, welche legitim sind und welche von Keyloggern verursacht werden können, aber Sie können die sicheren Prozesse von den Bedrohungen unterscheiden, indem Sie jeden Prozess im Internet betrachten. In einigen Fällen können Sie eine Warnung finden, die von einem anderen Benutzer in Bezug auf einen Prozess oder mehrere Prozesse geschrieben wird, die auf Keylogger-Aktivitäten hinweisen.

Um in Windows auf den Task Manager zuzugreifen, klicken Sie mit der rechten Maustaste auf die Taskleiste und wählen dann im Menü „Task Manager“.

In diesem Fenster sind jedes Programm im Bereich Apps die Programme, die von Ihrem Computer verwendet werden, und die in Fenstern auf Ihrem Bildschirm erscheinen. In diesem Abschnitt sehen Sie keinen Keylogger. Sie können jedoch eine finden, indem Sie sich den Abschnitt Hintergrundprozesse ansehen.

Ein weiterer guter Ort, um nach Keyloggern zu suchen, ist unter der Registerkarte „Startup“. Keylogger sind so eingerichtet, dass sie die ganze Zeit auf einem Computer laufen. Dazu müssen sie mit dem Betriebssystem gestartet werden. Wenn Sie die Startliste durchgehen, achten Sie auf alles, woran Sie sich nicht erinnern können, sich selbst zu installieren. Wenn etwas nicht an Ort und Stelle zu sein scheint, klicken Sie auf seine Zeile und dann auf die Schaltfläche Deaktivieren unten rechts im Fenster.

Sie können auch nach Keyloggern suchen, indem Sie den Internetnutzungsbericht Ihres Computers überprüfen. Um in Windows darauf zuzugreifen, drücken Sie die Windows-Taste und „I“. Dadurch gelangen Sie zum Einstellungsbildschirm. Hier sollten Sie „Netzwerk und Internet“ und dann „Datennutzung“ auswählen. Eine Liste der Programme, die Ihr Computer zum Zugriff auf das Internet verwendet, wird angezeigt. Wenn etwas verdächtig erscheint oder Sie es einfach nicht erkennen, suchen Sie nach dem, was es ist. Es kann ein Keylogger sein.

Sie können die gleiche Form der Untersuchung mit Browser-Erweiterungen durchführen. Wenn Sie sich nicht an die Installation erinnern, deaktivieren Sie sie, da es sich um Keylogger handeln könnte. So greifen Sie in einigen der gängigsten Browser auf Ihre Nebenstellen zu:

• Safari: Wählen Sie im Safari-Menü „Einstellungen“ und klicken Sie auf „Erweiterungen“.
• Chrome: Gehen Sie zum Adressfeld und geben Sie „chrome://extensions“ ein.
• Opera: Wählen Sie „Erweiterungen“ und dann „Erweiterungen verwalten“.
• Firefox: Geben Sie „etwa: Addons“ in das Adressfeld ein.
• Microsoft Edge: Wählen Sie im Browsermenü „Erweiterungen“.
• Internet Explorer: Gehen Sie zum Menü Tools und wählen Sie „Add-ons verwalten“.

Wie greifen Keylogger Ihr Gerät an?

Um Zugang zu Ihrem Gerät zu erhalten, muss ein Keylogger darin installiert werden oder im Falle eines Hardware-Keyloggers physisch mit Ihrem Computer verbunden sein. Es gibt verschiedene Möglichkeiten, wie Keylogger Ihr Gerät angreifen.

Spear-Phishing

Spear Phishing ist eine der wichtigsten Methoden, um eine Malware-Infektion zu initiieren. In den meisten Fällen wird eine Phishing-E-Mail oder ein Phishing-Link verwendet, um einen Verbraucher anzusprechen. Der Link sieht legitim aus – er kann sogar von einem Verwandten oder einem Freund stammen. Nachdem Sie jedoch die E-Mail geöffnet oder auf einen Link geklickt haben, wird ein Keylogger auf Ihrem Gerät installiert. Spear-Fishing-Angriffe können auch verwendet werden, um einen Sextortion-Angriff zu starten.

Drive-by-Download

Drive-by-Download bezieht sich auf den Fall, dass ein Keylogger auf Ihrem Computer installiert ist, ohne dass Sie es wissen. Dies wird oft über eine bösartige Website erreicht. Wenn Sie die Website besuchen, wird Malware auf Ihrem Computer installiert. Es funktioniert dann im Hintergrund, unentdeckt, protokolliert Ihre Tastatureingaben und sendet sie dann an den Angreifer.

Trojaner

Es ist üblich, dass Trojaner Keylogger im Inneren haben. Ein trojanisches Pferd, ähnlich dem im griechischen Mythos verwendeten, scheint wohlwollend zu sein. Wenn der Benutzer es öffnet, wird Malware mit einem Keylogger auf seinem Gerät installiert. Die Malware verfolgt nach der Installation die Tastenanschläge des Benutzer und meldet sie dann an ein Gerät, auf das der Hacker zugreift.

Von Keyloggern verursachte Probleme

Keylogger beeinträchtigen nicht nur die Sicherheit Ihres Geräts, sondern können auch zusätzliche Probleme auf dem Gerät selbst verursachen. Die Auswirkungen unterscheiden sich je nach Art des infizierten Geräts etwas.

Desktops und Laptops

Unbekannte Prozesse, die Rechenleistung verbrauchen

Wie alle Arten von Software müssen Keylogger einen Prozess einleiten, um zu arbeiten. Jeder Prozess, den Ihr Computer ausführen muss, erfordert Rechenleistung. Der Prozess eines Keyloggers kann nach der Initiierung Ihre Rechenleistung beeinträchtigen. Dies kann dazu führen, dass andere Anwendungen nicht so laufen, wie sie es normalerweise tun würden oder sollten. Sie können herausfinden, welche Prozesse ausgeführt werden, indem Sie den Task Manager aufrufen, wie oben in „So erkennen Sie einen Keylogger“.

Verzögerungen beim Tippen

Da sich ein Keylogger zwischen der Tastatur und dem Monitor positioniert, kann ein Zeichen für einen Keylogger eine Verzögerung beim Tippen sein. Wenn Sie in der Regel Buchstaben, Zahlen oder Symbole auf Ihrem Bildschirm sehen, die unmittelbar nach dem Drücken jeder Taste erscheinen, aber dann eine leichte Verzögerung bemerken, könnte dies ein Zeichen dafür sein, dass ein Keylogger den Prozess unterbricht.

In einigen Fällen kann die verzögerte Eingabe auf Umstände wie zu wenig Direktzugriffsspeicher (RAM) zurückzuführen sein, aber wenn Sie dieses Symptom bemerken, kann es ratsam sein, nach Keyloggern zu suchen.

Anwendungen werden nach dem Zufallsprinzip eingefroren

Wenn ein Keylogger seine Arbeit ausführt, kann er die normale Anwendungsverarbeitung unterbrechen. Dies kann dazu führen, dass die Anwendung ohne Warnung einfriert. Wenn Ihre Anwendungen mehr als üblich einfrieren, könnte ein Keylogger der Schuldige sein.

Androids und iPhones

Auch wenn es möglicherweise keine Hardware-Keylogger gibt, die auf mobile Geräte abzielen, können Androids und iPhones dennoch von Software-Keyloggern kompromittiert werden. Diese arbeiten, indem sie erfassen, wo auf dem Bildschirm der Benutzer drückt oder tippt, was es dem Keylogger ermöglicht, die virtuellen Schaltflächen zu sehen, die gedrückt werden, während der Eigentümer tippt. Die Daten werden dann aufgezeichnet und einem Hacker gemeldet.

Die Bedrohung kann mit diesen Formen von Keyloggern noch schlimmer werden, da sie mehr tun als nur Tastenanschläge zu überwachen und aufzuzeichnen. Sie können auch Screenshots, von der Kamera aufgenommene Dinge, die Aktivität verbundener Drucker, das, was in das Mikrofon gelangt, und den Netzwerkverkehr aufzeichnen. Ein Keylogger kann Sie sogar daran hindern, bestimmte Websites zu besuchen.

Um einen Keylogger auf ein mobiles Gerät zu bringen, muss ein Hacker nur für kurze Zeit darauf zugreifen. Sie können auch unbeabsichtigt einen Keylogger auf Ihrem Gerät installieren, indem Sie auf einen Link oder Anhang klicken.

Wie schütze ich meine Geräte vor Keylogging?

Die beste Möglichkeit, Ihre Geräte vor Keylogging zu schützen, ist die Verwendung eines hochwertigen Antivirus oder einer Firewall. Sie können auch andere Vorsichtsmaßnahmen ergreifen, um eine Infektion weniger wahrscheinlich zu machen.

Sie können einen Passwort-Manager verwenden, um hochkomplexe Passwörter zu erstellen – und Ihnen nicht nur die Möglichkeit geben, Ihre Passwörter zu sehen und zu verwalten. In vielen Fällen sind diese Programme in der Lage, Ihre Passwörter automatisch zu füllen, was es Ihnen ermöglicht, die gesamte Tastatur zu umgehen.

Wenn Sie nicht tippen, kann ein Keylogger keine Striche aufzeichnen, und da Passwortzeichen in der Regel durch Sternchen ersetzt werden, kann selbst ein Videoüberwachungssystem nicht herausfinden, was eingegeben wurde. Verwenden Sie außerdem die Multi-Faktor-Authentifizierung (MFA), wenn Sie die Option haben. Ein Keylogger kann Ihr Passwort ableiten, aber  die zweite Phase des Authentifizierungsprozesses kann sie abschrecken.

Eine virtuelle Tastatur kann auch dazu beitragen, zu verhindern, dass Keylogger auf Ihre Tastatureingaben zugreifen. Selbst ein Hypervisor-basierter Keylogger, der ein separates Betriebssystem unter Ihrem Hauptsystem verwendet, kann nicht auf Tastenanschläge zugreifen, die auf einer virtuellen Tastatur ausgeführt werden. Auf einem Windows-Computer können Sie die Windows-Taste und das „R“ gleichzeitig drücken, um auf die virtuelle Tastatur zuzugreifen.

Es ist auch ratsam, die Hardware-Verbindungen auf Ihrem Computer regelmäßig zu überprüfen. Hardware-Keylogger sind zwar nicht so häufig, aber die Rückseite des Computerturms kann eine einladende Angriffsfläche für einen Keylogging-Hacker sein. Dies gilt auch für die Arbeit an einem öffentlichen Computer. Der Angreifer hat möglicherweise Tage oder Wochen, bevor Sie sich bei Ihrer Bank, Ihrem Broker oder Ihren E-Mail-Konten anmelden, einen Hardware-Keylogger installiert.

Quelle: https://www.fortinet.com/de/resources/cyberglossary/what-is-keyloggers

Infomaterial Download