Metodi per mitigare le minacce dai keylogger

Is there a common method that such malware uses to send its collection back to the hacker? For instance, do they generally contact a server directly and separately, or utilize an existing connection through a web browser or other benign program?

Non con coerenza non c'è. Ecco una serie di metodi che Mr Hacker potrebbe usare:

• Ascolta, uno script di shell semplice. Fondamentalmente questo metodo si basa sul sondaggio dell'attaccante per poi collegarsi alla porta in questione. Abbastanza ingenuo e facile da mitigare - consente solo connessioni in uscita, sempre. Fallo nonostante NAT perché IPv6 farà sparire quelle difese NAT.

• Connessione in uscita da un componente del malware. Questi in realtà si suddividono in ulteriori sezioni:

  • A qualche numero di porta dispari, come dodgy.site.example: 1337. Chiaramente, dovresti bloccare le connessioni in uscita verso le porte che non ti servono, ma nel contesto di un ambiente domestico potrebbe non essere pratico.
  • Tramite email. O a un noto smtp relay, relay smtp dedicato o direttamente (MX lookup + direttamente alla casella di posta). In ogni caso, NON consentire il traffico verso la porta 25 o 587. Identificare un relay locale affidabile o remoto e consentire solo le connessioni sulla porta 25/587 in uscita verso quella macchina. Applica TLS e accesso autenticato.
  • Sembra un protocollo legittimo, ad es. Mi sono collegato al collegamento ma non ho parlato di quel protocollo. SPI / Deep packet inspection può trovare questo genere di cose, o non può.
  • In realtà è un protocollo legittimo. Un POST HTTP ti sembra sospetto? Nemmeno io, ma dato che voglio solo ottenere dati da qualche parte, CGI gestirà la raccolta in modo appropriato e il POST HTTP è probabilmente consentito ovunque. Sarebbe un vettore di presentazione dei dati ideale.

In entrambi i casi sopra citati, un server proxy autenticato potrebbe aiutare, semplicemente perché riduce la possibilità di una connessione in uscita in quanto non tutti i malware sono in grado di rilevare o utilizzare i proxy.

Diversi miglioramenti possono essere fatti su questi dal punto di vista del malware.

• Agganciare un'altra applicazione ed eseguire una qualsiasi delle connessioni in uscita / in entrata nel contesto di quel processo.
• Usare un rootkit per rifiutare semplicemente di consentire al software di scansione locale (come nel sistema) di sapere anche che la connessione in uscita esiste.

Qual è la soluzione?

Beh, probabilmente il modo migliore è di mantenere il tuo computer pulito in primo luogo. La prevenzione è assolutamente migliore della cura, specialmente nel caso di un'infezione a livello del kernel. Tuttavia, sapere che hai un problema è chiaramente importante, quindi:

• Sistemi di rilevamento delle intrusioni.
• Controlla i log per attività sospette. Registri del firewall, registri del sistema operativo ecc. Vedi IDS, ma fallo anche tu.

Questo è tutto. Se tutte le porte di cui non hai bisogno sono disattivate e stai passando tutte le connessioni che vuoi tramite proxy o scansionandole ragionevolmente, il meglio che puoi fare è la difesa reattiva in questo caso.

Da un punto di vista personale, sono molto interessato a Controllo di accesso obbligatorio . Sinceramente penso che si possa trarre molto beneficio dalla designazione delle risorse specifiche richieste da un'applicazione e lo dico come programmatore in quanto aiuta a definire le specifiche. Se stai usando una piattaforma capace di un certo livello di MAC, potresti essere interessato a studiarla. Di recente ho anche risposto a una domanda su Sandboxie che sembra un eccellente kit per Windows.

Sfortunatamente la risposta alla prima parte della tua domanda è che ci sono una serie di tecniche che i keylogger usano per comunicare, e questi includono l'utilizzo di connessioni esistenti come http, quindi, a meno che tu non abbia un firewall che funziona su una lista bianca, trovarlo molto difficile da prevenire.

Alcuni keylogger non si connettono affatto, ma richiedono l'accesso locale da parte dell'utente malintenzionato per raccogliere i dati registrati - un problema separato, ma ancora una volta - non rilevabile da un firewall.

Vuoi davvero che il tuo strumento antimalware sia aggiornato e utilizzare le pratiche sicure quando accedi a Internet, dato che i keylogger sono difficili da rilevare altrimenti.

Il Password Safe di Schneier viene fornito con una tastiera virtuale dove invece di digitare fai clic sulle lettere che vuoi. Questo è più di secuirty sebbene oscurità perché si presume che l'attaccante non stia monitorando queste azioni. Il problema è che sei stato hackerato e devi rimuovere il malware con un antivirus .

C'è un libro su questo argomento scritto da uno dei massimi responsabili della sicurezza, Richard Bejtlich: Come rilevare i dati che lasciano la tua rete - non è un problema facile, e in realtà dipende dalla tua valutazione del rischio. Ci sono quasi infiniti modi possibili con cui qualcuno può inviare dati, da una semplice richiesta HTTP GET, una connessione diretta, una connessione inversa, a piggyback su altre connessioni e utilizzando canali nascosti.

Il libro è intitolato Rilevamento estrusione: monitoraggio della sicurezza per intrusioni interne

Penso che diventi più paranoico quando lo faccio sempre prima di usare qualsiasi computer. Controlla tutte le connessioni in entrata e in uscita e amp; Servizi in esecuzione tutto il tempo sul terminale. Se c'è qualcosa di divertente in corso, puoi iniziare a studiarlo!

Se non puoi fare a meno di essere infettato puoi sempre installare KeyScrambler

Di nuovo, sicurezza attraverso l'oscurità. Ovviamente non può fermare i keylogger dell'hardware.