Virus dan perang melawannya. Virus mata-mata, atau apa yang ada di balik perang informasi
Terkadang penting untuk mengetahui apa yang terjadi pada komputer saat Anda tidak ada. Siapa yang melakukan apa, situs dan program apa yang ada di dalamnya. Program mata-mata khusus dapat melaporkan semua ini.
Memata-matai seseorang, setidaknya, tidak baik. Atau bahkan dapat dihukum secara pidana (pelanggaran hak atas kerahasiaan dan sebagainya)... Namun, terkadang tidak ada salahnya untuk mengetahui, misalnya, apa yang dilakukan anak Anda di depan komputer saat Anda tidak ada atau apa yang dilakukan karyawan organisasi Anda. lakukan ketika tidak ada bos. Atau mungkin mereka memperhatikanmu?!!
Komputer dan perangkat seluler telah lama rentan terhadap bahaya segala jenis virus. Namun, ada kelas perangkat lunak yang, tanpa berbahaya, dapat menjalankan fungsi yang sama seperti, misalnya, Trojan - menyimpan log peluncuran aplikasi di sistem, mencatat semua penekanan tombol pada keyboard, mengambil tangkapan layar secara berkala, dan kemudian mengirimkannya. semua informasi yang dikumpulkan kepada orang yang menginstal dan mengkonfigurasi pengawasan pengguna.
Seperti yang Anda pahami, hari ini kita akan berbicara secara khusus tentang spyware, cara kerja dan metode pendeteksiannya.
Beda dengan virus
Di bidang solusi antivirus, golongan spyware dikenal sebagai “spyware” (dari bahasa Inggris “spy” - “spy” dan disingkat “software” - “software”). Pada prinsipnya, beberapa aplikasi yang akan dibahas di bawah ini dianggap berbahaya oleh antivirus, padahal sebenarnya tidak.
Apa perbedaan antara spyware asli dan program pelacakan komputer? Perbedaan utama di sini terletak pada ruang lingkup dan metode operasinya. Virus spyware diinstal pada sistem tanpa sepengetahuan pengguna dan dapat menjadi sumber ancaman tambahan (misalnya pencurian data dan korupsi).
Program spyware untuk memantau komputer diinstal oleh pengguna sendiri untuk mengetahui apa yang dilakukan pengguna lain di PC. Pada saat yang sama, pengguna sendiri mungkin menyadari bahwa mereka sedang diawasi (misalnya, hal ini dilakukan di beberapa institusi untuk mencatat jam kerja karyawan).
Namun, dalam hal prinsip operasi, spyware pada dasarnya tidak berbeda dengan Trojan, keylogger, atau pintu belakang... Jadi, kita dapat menganggap mereka semacam "virus pembelot" yang telah beralih ke "sisi terang" dan digunakan tidak begitu banyak mencuri informasi dari PC untuk mengontrol operasinya.
Omong-omong, di Barat, praktik memperkenalkan perangkat lunak pelacakan pada komputer pengguna jaringan perusahaan dan PC rumahan cukup umum. Bahkan ada nama terpisah untuk program semacam ini - “perangkat lunak pelacakan”, yang memungkinkan, setidaknya secara nominal, untuk memisahkannya dari spyware berbahaya.
Keylogger
Jenis spyware yang paling umum dan, sampai batas tertentu, berbahaya adalah keylogger (dari bahasa Inggris "key" - "button" dan "logger" - "recorder"). Selain itu, program ini dapat berupa virus independen yang dimasukkan ke dalam sistem, atau utilitas pelacakan yang diinstal secara khusus. Pada dasarnya tidak ada perbedaan di antara keduanya.
Keylogger dirancang untuk merekam penekanan semua tombol pada keyboard (terkadang juga mouse) dan menyimpan data ke file. Tergantung pada prinsip operasi masing-masing keylogger tertentu, file tersebut mungkin disimpan di hard drive lokal atau dikirim secara berkala ke orang yang melakukan pengawasan.
Jadi, tanpa curiga, kita bisa “memberikan” seluruh password kita kepada pihak ketiga yang bisa menggunakannya untuk tujuan apapun. Misalnya, penyerang dapat meretas akun kita, mengubah kata sandi akses dan/atau menjualnya kembali kepada seseorang...
Untungnya, sebagian besar keylogger dapat dideteksi dengan cepat oleh sebagian besar antivirus, karena mereka secara mencurigakan menyadap data. Namun, jika keylogger diinstal oleh administrator, kemungkinan besar keylogger tersebut akan disertakan dalam pengecualian dan tidak akan terdeteksi...
Contoh mencolok dari keylogger gratis adalah SC-KeyLog:
Sayangnya keylogger ini terdeteksi oleh antivirus pada tahap pengunduhan. Jadi, jika Anda memutuskan untuk menginstalnya, nonaktifkan perlindungan untuk sementara hingga Anda menambahkan file yang diperlukan ke “daftar putih”:
- file program yang dapat dieksekusi (default: C:\Program Files\Soft-Central\SC-KeyLog\SC-KeyLog2.exe);
- file modul pelacakan yang dapat dieksekusi, yang akan Anda buat di folder yang ditentukan;
- perpustakaan (file DLL) untuk pemrosesan data tersembunyi, yang namanya juga Anda tetapkan pada tahap pengaturan dan disimpan secara default di folder C:\Windows\System32\.
Setelah instalasi, Anda akan dibawa ke wizard pengaturan. Di sini Anda dapat menentukan alamat email ke mana file data harus dikirim, nama dan lokasi penyimpanan modul intersepsi keystroke yang dapat dieksekusi yang disebutkan di atas, serta kata sandi yang diperlukan untuk membuka log.
Ketika semua pengaturan telah dibuat dan file keylogger disertakan dalam daftar program antivirus tepercaya, semuanya siap bekerja. Berikut ini contoh yang dapat Anda lihat di file log:
Seperti yang Anda lihat, SC-KeyLog menampilkan judul semua jendela yang digunakan pengguna, penekanan tombol mouse dan, pada kenyataannya, keyboard (termasuk tombol layanan). Perlu dicatat bahwa program ini tidak dapat menentukan tata letak dan menampilkan semua teks dalam huruf bahasa Inggris, yang masih perlu diubah ke dalam bentuk bahasa Rusia yang dapat dibaca (misalnya).
Namun, fungsi keylogger dapat disembunyikan bahkan di perangkat lunak non-khusus yang populer. Contoh mencolok dari hal ini adalah program untuk mengubah tata letak teks Punto Switcher:
Salah satu fungsi tambahan dari program ini adalah “Diary”, yang diaktifkan secara manual dan sebenarnya merupakan keylogger nyata yang menyadap dan mengingat semua data yang dimasukkan dari keyboard. Dalam hal ini, teks disimpan dalam tata letak yang diinginkan dan satu-satunya hal yang hilang adalah mencegat peristiwa mouse dan menekan tombol keyboard khusus.
Kelebihan Punto Switcher sebagai keylogger adalah tidak terdeteksi oleh software antivirus dan diinstal di banyak komputer. Oleh karena itu, jika perlu, Anda dapat mengaktifkan pelacakan tanpa menginstal perangkat lunak atau trik tambahan apa pun!
Mata-mata yang kompleks
Keylogger bagus jika Anda hanya perlu mengetahui apa yang dimasukkan pengguna dari keyboard dan program apa yang diluncurkannya. Namun, data ini mungkin tidak cukup. Oleh karena itu, sistem perangkat lunak yang lebih kompleks diciptakan untuk spionase yang komprehensif. Kompleks mata-mata tersebut mungkin termasuk:
- pencatat kunci;
- pencegat papan klip;
- mata-mata layar (mengambil tangkapan layar pada interval tertentu);
- peluncuran program dan perekam kegiatan;
- sistem perekaman suara dan video (jika ada mikrofon atau webcam).
Agar Anda dapat lebih memahami cara kerja program tersebut, mari kita lihat beberapa solusi gratis di bidang ini. Dan yang pertama adalah sistem pengawasan berbahasa Rusia gratis yang disebut (perhatian, antivirus dan browser dapat memblokir akses ke situs!):
Fitur programnya meliputi:
- mencegat penekanan tombol keyboard;
- mengambil tangkapan layar (secara default terlalu sering);
- pemantauan program yang berjalan dan waktu kegiatannya;
- Memantau aktivitas PC dan akun pengguna.
Sayangnya, kompleks untuk melacak PC ini juga terdeteksi oleh antivirus, jadi untuk mengunduh dan menginstalnya, Anda harus menonaktifkan perlindungannya terlebih dahulu. Selama instalasi, kita perlu mengatur kombinasi tombol untuk memanggil antarmuka program, serta kata sandi untuk mengakses data yang dikumpulkan. Setelah instalasi selesai, tambahkan seluruh folder dengan spyware ke "daftar putih" antivirus (oleh default C:\Documents and Settings\All Users\ Application Data\Softex) dan Anda dapat mengaktifkan kembali proteksinya.
Softex Expert Home akan berjalan di latar belakang dan tidak akan membuat pintasan atau ikon aktif apa pun di mana pun. Operasinya hanya dapat dideteksi dengan menekan kombinasi tombol pintas yang Anda tentukan. Di jendela yang muncul, masukkan kata sandi akses, pertama-tama buka bagian "Pengaturan" pada tab "Tangkapan Layar" dan tingkatkan interval minimum antar pengambilan gambar, serta interval pengatur waktu (secara default, 2 dan 10 detik, masing-masing).
Mata-mata seperti itu cukup untuk memantau komputer di rumah Anda. Selain fitur yang telah disebutkan di atas, Expert Home memiliki fungsi untuk melihat statistik dari jarak jauh, yang memungkinkan Anda melihat log melalui Internet. Untuk mengaktifkannya, cukup klik tombol untuk terhubung ke server di bagian “Pemantauan Internet”, lalu tunggu hingga ID komputer dan kata sandi akses dikeluarkan, yang harus Anda masukkan di situs web pengembang:
Perlu diklarifikasi bahwa dalam mode bebas, statistik disimpan di server hanya untuk satu hari. Jika Anda ingin mengakses periode yang lebih lama, Anda harus membayar mulai dari 250 (7 hari) hingga 1000 (30 hari) rubel per bulan.
Program pemantauan komputer komprehensif gratis lainnya adalah:
Meskipun nama programnya mengandung kata “keylogger”, nyatanya ia memiliki lebih banyak kemampuan. Diantaranya:
Program itu sendiri tidak terdeteksi oleh antivirus, namun dengan algoritma heuristik aktif, aktivitas "mencurigakan" terdeteksi. Oleh karena itu, yang terbaik adalah menginstal dan mengkonfigurasinya dengan perlindungan dinonaktifkan.
Pada tahap instalasi, tidak diperlukan persiapan awal (satu-satunya hal yang Anda perlukan adalah memilih untuk siapa program tersebut diinstal dan apakah ikonnya harus ditampilkan di baki). Namun, setelah instalasi, Anda perlu menambahkan folder program (secara default C:\WINDOWS\system32\Mpk) dan file eksekusinya MPKView.exe ke pengecualian antivirus.
Saat Anda meluncurkannya untuk pertama kali, jendela pengaturan akan terbuka. Di sini kita dapat mengubah bahasa dari bahasa Inggris ke, misalnya, Ukraina (untuk beberapa alasan tidak ada bahasa Rusia...), mengatur kunci kita sendiri untuk memanggil program dengan cepat (secara default ALT+CTRL+SHIFT+K) dan kata sandi untuk memasuki panel kontrol.
Sebenarnya itu saja. Kerugian utama dari versi gratis program ini adalah keterbatasannya dalam beberapa aspek pelacakan (misalnya, tidak semua program tersedia), serta ketidakmampuan untuk mengirim log melalui surat atau melalui FTP. Kalau tidak, hampir semuanya baik-baik saja.
Spyware ada tidak hanya untuk komputer desktop, tetapi juga untuk platform seluler. Jika Anda ingin mengetahui apa yang dilakukan anak Anda di tablet atau ponsel cerdas, Anda dapat mencoba menggunakan sistem pelacakan multiplatform gratis KidLogger.
Pengendus
Sarana spionase yang terakhir dan paling berbahaya adalah apa yang disebut sniffer (dari bahasa Inggris "sniff" - "sniff out"). Kelas program ini secara ilmiah disebut “penganalisis lalu lintas” dan digunakan untuk mencegat dan menganalisis data yang dikirimkan melalui Internet.
Dengan menggunakan sniffer, penyerang dapat terhubung ke sesi web pengguna saat ini dan menggunakannya untuk keperluannya sendiri atas nama pengguna itu sendiri dengan mengganti paket data. Jika Anda kurang beruntung, maka dengan bantuan sniffer mereka dapat "mencuri" login dan kata sandi Anda untuk masuk ke situs mana pun yang tidak menggunakan enkripsi lalu lintas.
Mereka yang menggunakan jaringan publik tertentu (misalnya, titik akses Wi-Fi) untuk mengakses Internet paling berisiko menjadi korban sniffer. Selain itu, pengguna jaringan perusahaan dengan administrator yang terlalu “wirausaha” mungkin berada di bawah ancaman teoritis.
Agar Anda dapat memahami secara kasar apa itu sniffer, saya sarankan untuk mempertimbangkan perwakilan dari kelas program yang dikembangkan oleh tim populer NirSoft:
Sniffer ini ditujukan terutama untuk mencegat paket data pada PC lokal dan lebih berfungsi untuk tujuan baik (seperti debugging jaringan). Namun esensinya sama dengan alat hacker.
Seseorang yang memahami prinsip-prinsip transmisi data melalui protokol jaringan dan memahami jenis informasi apa yang dikirimkan dalam paket tertentu dapat mendekripsi isinya dan, jika diinginkan, menggantinya dengan mengirimkan permintaan yang dimodifikasi ke server. Jika koneksi melalui saluran HTTP sederhana tanpa enkripsi, maka peretas dapat melihat kata sandi Anda langsung di jendela sniffer tanpa harus memecahkan kode apa pun!
Masalahnya diperparah oleh kenyataan bahwa sebelumnya hanya ada sniffer untuk sistem operasi desktop. Saat ini, misalnya, ada banyak sniffer untuk Android. Oleh karena itu, penyerang yang menganalisis lalu lintas dapat berada di mana saja (bahkan di meja sebelah di kafe dengan Wi-Fi gratis! Contoh mencolok dari sniffer untuk Android adalah versi seluler dari sniffer WireShark yang populer:
Dengan menggunakan sniffer ini dan program analisis log Shark Reader, penyerang dapat mencegat data langsung dari ponsel cerdas atau tablet yang terhubung ke titik akses publik.
Melawan mata-mata
Jadi kita mempelajari cara kerja jenis utama spyware. Dan muncul pertanyaan logis: “Bagaimana Anda bisa melindungi diri dari pengawasan?”... Ini adalah tugas yang “sulit, tetapi mungkin”.
Seperti yang Anda lihat, hampir semua program spyware dapat dideteksi oleh perangkat lunak antivirus. Oleh karena itu, langkah pertama adalah memperbarui database anti-virus dan perangkat lunak keamanan yang Anda instal. Selain itu, pastikan untuk membuka “daftar putih” paket antivirus Anda dan lihat apakah paket tersebut mengizinkan file dengan nama mencurigakan yang terletak di folder sistem.
Jika Anda menggunakan Punto Switcher yang disebutkan (atau analognya), pastikan untuk memeriksa apakah seseorang telah mengaktifkan “Diary” tanpa sepengetahuan Anda.
Jika tidak ada parameter mencurigakan yang ditemukan di pengaturan antivirus atau di Punto Switcher, Anda dapat memindai sistem dengan pemindai antivirus khusus. Saya merekomendasikan menggunakan program yang telah saya uji secara pribadi lebih dari sekali dan .
Selain itu, Anda dapat memeriksa proses yang sedang berjalan menggunakan pengelola tugas anti-virus khusus. Contohnya adalah utilitas gratis. Alat ini memungkinkan Anda tidak hanya melihat nama dan alamat semua proses yang berjalan, tetapi juga dengan cepat menilai tingkat kejahatannya (bahkan potensinya).
Hal tersulit adalah melawan sniffer. Jika Anda tidak dapat sepenuhnya menolak penggunaan jaringan publik, maka satu-satunya jenis perlindungan adalah penggunaan situs yang mendukung protokol transfer data HTTPS terenkripsi (sebagian besar jejaring sosial sekarang memilikinya). Jika situs atau layanan yang Anda butuhkan tidak mendukung enkripsi, sebagai upaya terakhir, Anda dapat mengatur terowongan transfer data yang aman menggunakan VPN.
Kesimpulan
Seperti yang Anda lihat, menginstal dan memantau komputer mana pun tidaklah terlalu sulit. Selain itu, ini dapat dilakukan secara gratis menggunakan program kecil. Oleh karena itu, jika Anda menggunakan jaringan publik atau bekerja di PC yang digunakan oleh beberapa pengguna, maka secara teoritis ada kemungkinan Anda sudah diawasi.
Kecerobohan dan kepercayaan yang berlebihan dapat menyebabkan Anda, paling tidak, kehilangan kata sandi dari akun Anda di jejaring sosial, dan, dalam kasus terburuk, misalnya, pencurian uang di akun elektronik Anda. Oleh karena itu, penting untuk mengikuti prinsip “percaya tetapi verifikasi.”
Jika Anda sendiri memutuskan untuk memata-matai komputer seseorang, Anda harus dengan jujur memperingatkan pengguna tentang hal ini. Jika tidak, jika spionase terdeteksi, Anda bisa mendapatkan banyak masalah di kepala Anda :) Oleh karena itu, sebelum Anda memata-matai, pikirkan dua kali!
P.S. Izin diberikan untuk menyalin dan mengutip artikel ini secara bebas, asalkan tautan aktif terbuka ke sumbernya ditunjukkan dan kepengarangan Ruslan Tertyshny dipertahankan.
Virus mata-mata!
Spyware adalah momok abad ini. Jutaan komputer di dunia terinfeksi program spyware berbahaya ini, dan banyak yang tidak menyadarinya.
Mata-mata tidak hanya membahayakan keamanan informasi Anda, namun juga secara signifikan mengurangi kecepatan komputer Anda. Saat Anda mengunduh salah satu paket spyware, program tersebut secara otomatis terinstal di komputer Anda, apa pun keinginan Anda. Terkadang, selama instalasi, mata-mata meminta Anda menginstal perangkat lunak sponsor. Ketika diinstal, spyware mencoba menginstal dirinya sendiri di registri sistem komputer Anda dan tetap di sana sampai Anda menghapusnya sepenuhnya dari sana.
Mata-mata tersebut, melahap potensi komputer, mengurangi kinerja prosesor pusat dan memori. Akibatnya, PC Anda melambat atau bahkan berhenti merespons sepenuhnya. Spyware tidak akan hilang dengan sendirinya, namun hanya akan menyebabkan kelambatan yang semakin besar seiring Spyware terus mengumpulkan informasi dari komputer Anda. Ada tiga cara utama spyware dapat menghancurkan sistem Anda:
1. Ada mata-mata yang terus memantau semua pembelian Anda. Jika Anda menggunakan kartu kredit, Anda mungkin akan kehilangan keuangan Anda; program mata-mata akan mengetahui nomor kartu kredit Anda dan memberi Anda kesempatan untuk menggunakannya untuk pembelian oleh orang lain. Anda mungkin tidak mengetahui hal ini sampai Anda mengetahui bahwa Anda kekurangan uang.
2. Peretas (mereka yang berada di belakang layar) akan dapat memperoleh akses ke komputer Anda dan informasi tentangnya. Mereka akan dapat mengetahui kunci mana yang Anda gunakan secara real time, membobol komputer Anda, mengubah pengaturan browser, dan menginstal program mereka tanpa persetujuan Anda. Selain itu, mata-mata juga dapat mengumpulkan informasi tentang alamat email, kata sandi, bahkan nomor kartu kredit. Namun masalah ini dapat diatasi, namun lihat saja dan pelajari dengan cermat semua program penghapus spyware yang tersedia dan ulasannya, karena beberapa di antaranya dapat menyebabkan lebih banyak kerugian daripada manfaat.
3. Spyware dapat menemukan informasi tentang alamat email Anda. Jika hal ini terjadi maka Anda akan menghadapi banyak masalah, salah satunya Anda akan dibanjiri surat iklan begitu saja.
Bahkan jika Anda adalah pengguna sederhana, ada beberapa hal yang dapat Anda lakukan dengan mudah untuk meningkatkan kecepatan komputer Anda dengan cepat dan andal. Metode pertama dan paling mudah diakses yang harus Anda lakukan adalah mendefrag disk Anda. "Defragmentation Wizard" di komputer Anda akan membantu Anda melakukannya. Anda mungkin ingin melakukannya dengan cepat, namun mungkin memerlukan waktu lama. Prosesnya tidak boleh diganggu. Dengan pekerjaan rutin, pemeriksaan berikutnya akan memakan waktu lebih sedikit.
Cara kedua adalah dengan menginstal dan menggunakan program anti-spyware yang bagus. Misalnya, Spyware Doctor pandai menanganinya.
Selanjutnya, Anda dapat secara terprogram di browser mengurangi periode penyimpanan halaman yang dikunjungi, jika Anda tidak memerlukannya, dari satu bulan, seperti default, menjadi 1-2 hari, atau menghapusnya segera setelah meninggalkan halaman situs.
Saat Anda menonaktifkan desktop, beban pada RAM Anda akan berkurang. Dan Anda tidak akan merasakan perbedaan dalam desain dan pengerjaan.
Pastikan Anda memiliki program antivirus yang bagus dan menggunakannya terus-menerus. Jika Anda menghapus virus dan mencegah penyebarannya, Anda akan mempercepat komputer Anda secara signifikan.
Setelah Anda mengikuti aturan sederhana ini, Anda akan kagum melihat betapa cepatnya komputer Anda dan berapa banyak ruang disk yang Anda kosongkan.
2 Juni 2016 pukul 12:29 siangKami menulis malware kami sendiri. Bagian 1: Belajar menulis keylogger yang benar-benar “tidak terdeteksi”.
- Terjemahan
Dunia hacker dapat dibagi menjadi tiga kelompok penyerang:
1) “Skids” (script kiddies) – peretas pemula yang mengumpulkan potongan kode dan utilitas terkenal dan menggunakannya untuk membuat malware sederhana.
2) “Pembeli” adalah pengusaha yang tidak bermoral, remaja dan pencari sensasi lainnya. Mereka membeli layanan untuk menulis perangkat lunak tersebut di Internet, mengumpulkan berbagai informasi pribadi dengan bantuannya, dan mungkin menjualnya kembali.
3) “Black Hat Coders” - pakar pemrograman dan pakar arsitektur. Mereka menulis kode di notepad dan mengembangkan eksploitasi baru dari awal.
Bisakah seseorang dengan kemampuan pemrograman yang baik menjadi yang terakhir? Saya tidak berpikir Anda akan mulai membuat sesuatu seperti regin (tautan) setelah menghadiri beberapa sesi DEFCON. Di sisi lain, saya percaya bahwa petugas keamanan informasi harus menguasai beberapa konsep yang menjadi dasar pembuatan malware.
Mengapa personel keamanan informasi memerlukan keterampilan yang meragukan ini?
Kenali musuh Anda. Seperti yang telah kita bahas di blog Inside Out, Anda perlu berpikir seperti pelaku untuk menghentikannya. Saya seorang spesialis keamanan informasi di Varonis dan menurut pengalaman saya, Anda akan lebih kuat dalam bidang ini jika Anda memahami gerakan apa yang akan dilakukan penyerang. Jadi saya memutuskan untuk memulai serangkaian postingan tentang detail di balik malware dan berbagai jenis alat peretasan. Setelah Anda menyadari betapa mudahnya membuat perangkat lunak yang tidak terdeteksi, Anda mungkin ingin mempertimbangkan kembali kebijakan keamanan perusahaan Anda. Sekarang lebih terinci.
Untuk kelas informal "hacking 101" ini, Anda memerlukan pengetahuan pemrograman (C# dan java) dan pemahaman dasar arsitektur Windows. Perlu diingat bahwa pada kenyataannya malware tersebut ditulis dalam C/C++/Delphi agar tidak bergantung pada kerangka kerja.
pencatat kunci
Keylogger adalah perangkat lunak atau semacam perangkat fisik yang dapat mencegat dan mengingat penekanan tombol pada mesin yang disusupi. Hal ini dapat dianggap sebagai jebakan digital untuk setiap penekanan tombol pada keyboard.
Seringkali fungsi ini diimplementasikan dalam perangkat lunak lain yang lebih kompleks, misalnya Trojan (Remote Access Trojans RATS), yang memastikan pengiriman data yang dicegat kembali ke penyerang. Ada juga keylogger perangkat keras, namun kurang umum karena... memerlukan akses fisik langsung ke mesin.
Namun, membuat fungsi dasar keylogger cukup mudah untuk diprogram. PERINGATAN. Jika Anda ingin mencoba salah satu hal berikut, pastikan Anda memiliki izin dan tidak mengganggu lingkungan yang ada, dan sebaiknya lakukan semuanya di VM yang terisolasi. Selanjutnya, kode ini tidak akan dioptimalkan, saya hanya akan menunjukkan kepada Anda baris kode yang dapat menyelesaikan tugas, ini bukan cara yang paling elegan atau optimal. Dan terakhir, saya tidak akan memberi tahu Anda cara membuat keylogger tahan terhadap reboot atau mencoba membuatnya benar-benar tidak terdeteksi menggunakan teknik pemrograman khusus, serta perlindungan dari penghapusan meskipun terdeteksi.
Untuk terhubung ke keyboard Anda hanya perlu menggunakan 2 baris di C#:
1. 2. 3. publik statis eksternal int GetAsyncKeyState(Int32 i);
Anda dapat mempelajari lebih lanjut tentang fungsi GetAsyncKeyState di MSDN:
Untuk memahaminya: fungsi ini menentukan apakah suatu tombol ditekan atau dilepaskan pada saat panggilan dan apakah tombol tersebut ditekan setelah panggilan sebelumnya. Sekarang kami terus-menerus memanggil fungsi ini untuk menerima data dari keyboard:
1. while (benar) 2. ( 3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }
Apa yang terjadi di sini? Loop ini akan melakukan polling pada setiap kunci setiap 100 md untuk menentukan statusnya. Jika salah satunya ditekan (atau telah ditekan), pesan tentang hal ini akan ditampilkan di konsol. Dalam kehidupan nyata, data ini di-buffer dan dikirim ke penyerang.
Pencatat kunci pintar
Tunggu, apakah ada gunanya mencoba menghapus semua informasi dari semua aplikasi?
Kode di atas menarik input keyboard mentah dari jendela dan kolom input apa pun yang saat ini menjadi fokus. Jika tujuan Anda adalah nomor kartu kredit dan kata sandi, maka pendekatan ini tidak terlalu efektif. Untuk skenario dunia nyata, ketika keylogger tersebut dijalankan pada ratusan atau ribuan mesin, penguraian data selanjutnya bisa menjadi sangat lama dan pada akhirnya tidak berarti, karena Informasi yang berharga bagi penyerang mungkin sudah kedaluwarsa pada saat itu.
Anggap saja saya ingin mendapatkan kredensial Facebook atau Gmail untuk menjual suka. Lalu ide barunya adalah mengaktifkan keylogging hanya ketika jendela browser aktif dan ada kata Gmail atau facebook di judul halaman. Dengan menggunakan metode ini saya meningkatkan peluang mendapatkan kredensial.
Kode versi kedua:
1. while (benar) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if (line.Contains("Gmail")|| line.Contains("Facebook - Masuk atau Daftar")) 8. ( 9. //pemeriksaan keyboard 10. ) 11. ) 12. Thread.Sleep(100); 13.)
Cuplikan ini akan mendeteksi jendela aktif setiap 100 ms. Hal ini dilakukan dengan menggunakan fungsi GetForegroundWindow (informasi lebih lanjut tentang MSDN). Judul halaman disimpan dalam variabel buff, jika berisi gmail atau facebook, maka fragmen pemindaian keyboard dipanggil.
Dengan melakukan ini, kami memastikan bahwa keyboard hanya dipindai ketika jendela browser terbuka di situs facebook dan gmail.
Keylogger yang lebih cerdas
Mari kita asumsikan bahwa penyerang dapat memperoleh data menggunakan kode yang mirip dengan kita. Anggap saja dia cukup ambisius untuk menginfeksi puluhan atau ratusan ribu mesin. Hasilnya: file besar dengan teks berukuran gigabyte yang masih perlu menemukan informasi yang diperlukan. Saatnya berkenalan dengan ekspresi reguler atau regex. Ini seperti bahasa mini untuk membuat templat tertentu dan memindai teks agar sesuai dengan templat yang diberikan. Anda dapat mengetahui lebih lanjut di sini.
Untuk mempermudah, saya akan langsung memberikan ekspresi siap pakai yang sesuai dengan nama login dan kata sandi:
1. //Mencari alamat pos 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* + \-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) ( 3)(1,3)))$ 3. 4. 5. //Mencari kata sandi 6. (?=^.(6,)$)(?=.*\d)(?=.*)
Ungkapan-ungkapan ini di sini sebagai petunjuk tentang apa yang dapat dilakukan dengan menggunakannya. Dengan menggunakan ekspresi reguler, Anda dapat mencari (dan menemukan!) konstruksi apa pun yang memiliki format spesifik dan tidak berubah, misalnya nomor paspor, kartu kredit, akun, dan bahkan kata sandi.
Memang, ekspresi reguler bukanlah jenis kode yang paling mudah dibaca, namun merupakan salah satu teman terbaik programmer jika ada tugas penguraian teks. Java, C#, JavaScript, dan bahasa populer lainnya sudah memiliki fungsi siap pakai yang dapat Anda gunakan untuk meneruskan ekspresi reguler reguler.
Untuk C# tampilannya seperti ini:
1. Regex re = Regex baru(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@((([\-\w]+\.)+(2,4))|(((1,3)\.) (3)(1,3)))$"); 2. Regex re2 = Regex baru(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. rangkaian email = " [dilindungi email]"; 4. string pass = "abcde3FG"; 5. Hasil pertandingan = re.Match(email); 6. Hasil pertandingan2 = re2.Match(pass);
Dimana ekspresi pertama (re) akan cocok dengan email mana pun, dan ekspresi kedua (re2) akan cocok dengan struktur alfanumerik yang lebih dari 6 karakter.
Gratis dan sama sekali tidak terdeteksi
Dalam contoh saya, saya menggunakan Visual Studio - Anda dapat menggunakan lingkungan favorit Anda - untuk membuat keylogger seperti itu dalam 30 menit.
Jika saya seorang penyerang sungguhan, maka saya akan membidik beberapa target nyata (situs perbankan, jejaring sosial, dll.) dan memodifikasi kode agar sesuai dengan sasaran tersebut. Tentu saja, saya juga akan menjalankan kampanye email phishing dengan program kami, menyamar sebagai faktur biasa atau lampiran lainnya.
Masih ada satu pertanyaan: apakah perangkat lunak tersebut benar-benar tidak dapat dideteksi oleh program keamanan?
Saya mengkompilasi kode saya dan memeriksa file exe di situs Virustotal. Ini adalah alat berbasis web yang menghitung hash file yang Anda unduh dan mencarinya berdasarkan database virus yang dikenal. Kejutan! Tentu saja tidak ada yang ditemukan.
Inilah poin utamanya! Anda selalu dapat mengubah kode dan mengembangkannya, selalu selangkah lebih maju dari pemindai ancaman. Jika Anda dapat menulis kode Anda sendiri, hampir dijamin tidak akan terdeteksi. Tentang ini
Surat kabar Belanda NRC Handelsblad melaporkan, mengutip dokumen yang diberikan oleh mantan pegawai Badan Keamanan Nasional (NSA) Edward Snowden, bahwa badan tersebut telah menginfeksi lebih dari 50.000 ribu jaringan komputer di seluruh dunia dengan virus mata-mata.
Jaringan diretas dan terinfeksi untuk menginstal perangkat lunak guna memantau informasi pribadi yang diposting di jejaring sosial. Pada tahun 2012, jaringan yang berlokasi di AS, Tiongkok, Brasil, India, Venezuela, sejumlah negara Afrika dan Arab, serta jaringan yang berlokasi di Rusia diserang oleh virus spyware.
Metode pengawasan informasi serupa juga digunakan oleh Pusat Komunikasi Pemerintah Inggris (GCHQ). Karyawannya memperoleh akses ke data pribadi yang terletak di jaringan penyedia Internet Belgia Belgacom dan Organisasi Internasional Negara-negara Pengekspor Minyak (OPEC). Untuk mengumpulkan informasi, badan intelijen Inggris menggunakan metode “penetrasi kuantum”, yang memungkinkan virus spyware menembus komputer melalui halaman jejaring sosial LinkedIn dan penyedia Internet Belgacom.
Virus mata-mata
Dunia pertama kali mengetahui tentang pengawasan massal di Internet pada musim panas 2013, berkat informasi yang diberikan oleh mantan karyawan NSA Edward Snowden. Masyarakat marah dengan fakta seperti itu. Namun, apa yang sebenarnya terjadi dan proses apa yang terjadi di Internet - hal ini dapat dipahami dengan menggunakan pengetahuan psikologi sistem-vektor.
Virus mata-mata adalah tanda era informasi
Kita hidup di era informasi. Ini bukan sekadar pernyataan abstrak. Menurut psikologi sistem-vektor, setelah Perang Dunia Kedua kita memasuki fase kulit perkembangan manusia, ketika kuartil informasi, yang terdiri dari dua ukuran - suara dan visual - menerima perkembangan terbesar. (Kuartel adalah seperempat dari matriks delapan dimensi, model yang diadopsi dalam psikologi sistem-vektor untuk menggambarkan semua tingkat sifat dunia fisik dan jiwa manusia).
Ukuran suara dan visual pada seseorang memanifestasikan dirinya sebagai vektor suara dan visual, yang saluran persepsi utamanya masing-masing adalah telinga dan mata. Merekalah yang paling bertanggung jawab atas persepsi informasi. Langkah-langkah ini menciptakan realitas baru yang memenuhi kebutuhan masyarakat audio-visual, di mana gambar dan kata berkuasa (penglihatan menikmati apa yang dilihatnya, dan suara senang menuangkan pikiran ke dalam kata-kata).
Virus mata-mata
Perkembangan ukuran suara dan visual memberikan peningkatan umum pada tingkat intelektual umat manusia dan pembentukan pemikiran kolektif. Oleh karena itu, di era informasi, Internet menjadi platform utama terungkapnya peristiwa-peristiwa utama masyarakat manusia. Komunikasi, bisnis, politik dan bentuk intelijen baru dengan bantuan virus mata-mata telah berpindah ke sini. Perang yang semakin bersifat informasional telah terjadi di sini. “Revolusi Oranye” dan “Musim Semi Arab” lahir di sini. Realitas virtual menjadi nyata dan signifikan dalam isu-isu utama – isu keamanan nasional dan kelangsungan hidup bangsa.
Virus mata-mata melayani para kardinal abu-abu
Ruang Internet menjadi semakin mengancam keamanan negara. Oleh karena itu, ketegangan alami antara ukuran suara dan penciuman mulai muncul di sini.
Marina Golomolzina