Qual è il modo migliore per difendersi da un computer già compreso con un keylogger attivo?

1

Sono curioso di sapere quali sono le possibili soluzioni per difendersi da un computer compreso con un keylogger installato. Supponi di dover accedere a un sito con un utente / password e non c'è modo di disabilitare il keylogger. Cosa si farebbe per buttare via il keylogger anche se registrava tutti i tuoi colpi di chiave.

Alcune possibili soluzioni vengono in mente è fare copia e incolla invece di digitare.

    
posta Patoshi パトシ 07.10.2017 - 16:07
fonte

6 risposte

1

... presumibilmente creando un file con la password su un'altra macchina e trasferendo tramite rete o dispositivo di memorizzazione hot plug. Come dice Aria, questo non ti protegge da qualcosa che può leggere negli appunti.

Una tastiera su schermo risolve il problema in un modo diverso - ma se il logger intercetta gli eventi chiave nella gui, allora nessun vantaggio.

Un'altra opzione sarebbe quella di proxy della connessione (supponendo che la password sia per un servizio remoto) e di iniettare la vera password sul proxy - ma ciò richiederebbe l'accesso alla chiave di crittografia del server se la connessione utilizza chiavi bloccate.

Le password una tantum sembrano soddisfare i tuoi requisiti.

In ogni caso ... le password non hanno valore intrinseco. Sono criticamente importanti come mezzo per proteggere le risorse con valore. Cioè se sai che la macchina è compromessa, come puoi essere certo che la risorsa sia adeguatamente protetta dopo l'autenticazione?

    
risposta data 08.10.2017 - 01:58
fonte
1

Ho visto i keylogger essere sconfitti (sorta di) digitando caratteri fuori ordine muovendo il cursore usando il mouse. Il keylogger otterrà tutti i caratteri che hai usato, ma se è abbastanza lungo non sarà sufficiente per decifrarlo. La cosa divertente è che se avessi saputo che stavo lavorando su una macchina compromessa, avrei dato loro informazioni fuorvianti, provare a rintracciarli e reinserirli / DDOS piuttosto che cercare di proteggermi.

    
risposta data 08.10.2017 - 02:53
fonte
1

Difendersi da un computer compromesso? Non puoi

Se un sistema è compromesso, è per sua stessa natura, perso. Credo che la terminologia che intendi sia come ti riprenderesti da questo tipo di attacco?

Le migliori pratiche? Pulire il sistema. Ricomincia. Con un attacco così avanzato, non è possibile determinare realmente la profondità della penetrazione del sistema senza eseguire analisi approfondite e analisi forensi.

EDIT:

Risposta al commento:

Let's assume you have no choice but to login to your account at some service and you know for a fact the computer is compromised with a keylogger. What would you do? Wiping the system in this scenario is not an option

Un metodo che potresti provare è avviare il sistema usando un'immagine live di qualche tipo (forse Ubuntu?). Supponendo che il keylogger presente sul sistema sia stato scritto per una macchina Windows (maggiore probabilità statistica che questo sia il caso), l'avvio in un'immagine live evita che i file di sistema vengano caricati in memoria (il keylogger non verrebbe mai lanciato). Puoi usare questo metodo per rimuovere il keylogger dal tuo sistema originale, o semplicemente usando il browser sull'immagine live per accedere a qualsiasi servizio tu debba fare.

Ovviamente questo metodo dipenderà dal livello di esecuzione del keylogger. Questo metodo presuppone che sia stato lanciato a livello di sistema operativo.

link

    
risposta data 08.10.2017 - 02:18
fonte
0

Se il sistema è compromesso con il key logger abd chissà quale altro malware lo distruggi. Forse puoi guidare / volumi e molto attentamente guardarli su una macchina pulita. Ma questo è utile per studiare l'attacco non per ripulirlo, dato che non si può mai dare loro un buono stato di salute.

Se ora devi correre il rischio di accedere a una macchina compromessa, puoi provare le schermate fumogene come suggerito in un'altra risposta, spostando il cursore intorno ecc. Ciò potrebbe essere di aiuto contro semplici keylogger completamente automatizzati. Tuttavia un umano che osserva il log può essere in grado di estrarre più informazioni. Anche i keylogger potrebbero non essere l'unico malware e se è a conoscenza del campo della password potrebbe togliere la password dal campo della password e non dal keylogger.

Il miglior consiglio è che se devi effettuare il login dovresti sostituire le tue credenziali poco dopo da un computer attendibile. Se non puoi farlo in modo tempestivo (probabilmente dal momento in cui hai sentito il bisogno di usare la macchina compromessa per cominciare) puoi provare a chiuderti. Possibilità inviando un'e-mail o chiamando un amministratore di sistema e facendole bloccare il proprio account. Riducendo al minimo il timewindow per l'utilizzo delle credenziali rubate.

Dopo aver identificato una macchina compromessa, si vuole provare a capire cosa potrebbe essere stato rubato e invalidare eventuali credenziali eventualmente esposte. E cercare segni di movimento posteriore.

    
risposta data 08.10.2017 - 05:31
fonte
0

L'idea di poter sconfiggere un avversario misterioso e invisibile con la registrazione delle chiavi con copia / incolla, clic del mouse, back-space e tutto quel tipo di key-dancing è ridicolo. Avresti zero modo di sapere esattamente quale tipo di dati viene registrato, come viene registrato, ecc. Avendo scritto ganci di intercettazione di chiavi da solo (per motivi legittimi), so che è banale registrare tutti i messaggi di Windows. Non credere che un utente malintenzionato non impari tutto ciò che inserisci.

Invece di immaginare di avere a che fare con un keylogger, dovresti sospettare che l'intera macchina sia stata compromessa. Trattare con un sistema compromesso è praticamente lo stesso, indipendentemente dal tipo di compromesso che è.

Supponendo che questo sia il tuo computer, toglilo immediatamente dalla linea. Scollegare il cavo di rete, disabilitare la scheda wireless. Non permettere alla macchina di riconnettersi a Internet fino a dopo aver neutralizzato il malware.

Se hai inserito le informazioni della tua carta di credito su questa macchina, contatta il dipartimento "smarrimento o furto della carta" della tua banca e spiega loro cosa è successo. Fallo immediatamente e richiedi una nuova carta di credito ora. Non sai se i dati sono trapelati, ma non dovresti correre rischi.

Supponendo che tu abbia usato la macchina compromessa per inserire le credenziali per accedere a siti Web o altri luoghi, dovrai modificare tali password adesso. Utilizzare una macchina nuova e affidabile per accedere e modificare le password. Questa sarebbe una buona opportunità per ottenere e utilizzare un gestore di password.

Crea un inventario dei dati sulla macchina compromessa e utilizza un dispositivo di archiviazione di massa USB per eseguirne il backup. Fai attenzione se esegui il backup di qualsiasi programma, poiché potrebbero portare infezioni - se possibile, pianifica di scaricare nuove copie da Internet. Inoltre, verifica se esiste un modo per eseguire il backup di eventuali licenze software (Office, Windows, ecc.). Considera di portare la tua macchina a un dewormer professionale, che potrebbe conservare un modo per preservare la macchina senza perdere tali licenze.

Se sospetti che la tua carta di credito sia stata utilizzata in modo improprio, è il momento di prendere in considerazione di contattare le autorità locali e segnalare l'attacco. Il furto con il computer è un crimine e dovrebbero trattarlo come tale. Ma non aspettatevi molto da loro - potrebbero non avere un competente analista forense digitale; potrebbero non considerare il tuo problema abbastanza importante da investigare; oppure potrebbero voler mettere il caso in una coda in cui il tuo computer siederà in un armadio delle prove per sei mesi.

Se stai ancora gestendo il compromesso da solo, è tempo di ricreare la macchina. DBAN è un ottimo strumento da utilizzare per pulire a fondo il tuo disco rigido; ma sii consapevole che distruggerà ogni 'partizione di recupero'. Questo è positivo per la tua sicurezza, perché non sai se sono stati compromessi dall'attaccante; ma potrebbe rendere difficile il ripristino se non si dispone più di un'immagine del sistema operativo installabile. Perderai anche eventuali licenze che potresti aver memorizzato sulla macchina; questo è il punto in cui averne il backup è fondamentale, e perché raccomando di usare un professionista.

    
risposta data 08.10.2017 - 07:16
fonte
0

C'è pochissimo un utente finale che può fare per nascondere i tasti premuti, ma qui ci sono alcuni metodi "provati" che ho usato in passato:

Tastiera su schermo

A seconda di come è stato implementato il keylogger , l'utilizzo della funzione di accessibilità integrata in Windows può funzionare abbastanza bene. Poiché la tastiera virtuale è implementata con il proprio driver di periferica separato, un keylogger potrebbe non riuscire a rilevare alcun tasto premuto.

Questo metodo è piuttosto datato e sicuramente è stato "piovuto" dagli autori di malware.

Autotype Obfuscation di Keepass

Invece di limitarsi a digitare username e password, Keepass ha una funzione nuova. Si chiama Autotype Obfuscation , che in effetti rende molto più difficile capire una coppia credenziale.

Lo fa combinando l'uso degli appunti, l'immissione diretta (pressioni dei tasti virtuali) e lo spostamento della voce di ciascuna parte della coppia di credenziali.

Ulteriori informazioni: link

Uso di un rootkit in modalità Utente / Kernel

Io uscirò su un arto qui con il suggerimento del rootkit, ma non faremo caso con me.

Se il keylogger è un programma in modalità utente / spazio utente, è possibile intercettare le chiamate effettuate dal keylogger e restituire dati falsi o non validi. Attualmente lo faccio per impedire la copia / l'apertura di file dai prodotti Microsoft Office.

A seconda di come è stato implementato il keylogger non sarebbe molto difficile fare lo stesso, tranne che intercettare una chiamata diversa. Se il keylogger utilizzava chiamate di sistema diretto di basso livello, ciò richiederebbe l'uso di un rootkit in modalità kernel e molto più lavoro.

    
risposta data 08.10.2017 - 07:43
fonte

Leggi altre domande sui tag