Métodos para mitigar las amenazas de los keyloggers

  

¿Existe un método común que este tipo de malware utiliza para enviar su colección al pirata informático? Por ejemplo, ¿generalmente se ponen en contacto con un servidor directamente y por separado, o utilizan una conexión existente a través de un navegador web u otro programa benigno?

No con ninguna consistencia no hay. Aquí hay una serie de métodos que el Sr. Hacker podría usar:

• Escucha, a-la simple shell script. Básicamente, este método se basa en el sondeo del atacante para luego conectarse al puerto en cuestión. Bastante ingenuo y fácil de mitigar, solo permite las conexiones salientes, siempre. Haga esto a pesar de NAT, ya que IPv6 hará que esas defensas NAT desaparezcan.

• Conexión de salida por un componente del malware. Estos en realidad se dividen en secciones adicionales:

  • A algún número de puerto impar, como dodgy.site.example: 1337. Claramente, debería estar bloqueando las conexiones salientes a los puertos que no necesita, pero en el contexto de un entorno doméstico esto podría no ser práctico.
  • Por correo electrónico. Ya sea para un relé smtp conocido, un relé smtp dedicado o directamente (búsqueda MX + directamente al buzón). En cualquier caso, NO permita que salga el tráfico en el puerto 25 o incluso en el 587. Identifique un relé de confianza local o uno remoto y solo permita las conexiones en el puerto 25/587 que salen a esa máquina. Exigir TLS y el inicio de sesión autenticado.
  • Parece un protocolo legítimo, por ejemplo, Me he conectado a enlace pero no hablo ese protocolo. SPI / La inspección profunda de paquetes puede encontrar este tipo de cosas, o puede que no.
  • En realidad es un protocolo legítimo. ¿Te parece sospechoso un POST HTTP? Yo tampoco, pero dado que solo quiero obtener datos en algún lugar, CGI manejará bien la recopilación y HTTP POST probablemente se permita en todos lados. Sería un vector ideal de envío de datos.

En los dos casos anteriores, un servidor proxy autenticado puede ayudar, simplemente porque reduce la posibilidad de una conexión de salida, ya que no todo el malware es capaz de detectar o usar proxies.

Se pueden realizar varias mejoras en esto desde la perspectiva del malware.

• Conectar otra aplicación y ejecutar cualquiera de las conexiones salientes / entrantes en el contexto de ese proceso.
• Usar un rootkit para simplemente negarse a permitir que el software de escaneo local (como en el sistema) incluso sepa que la conexión de salida existe.

¿Cuál es la solución?

Bueno, probablemente la mejor manera es mantener su computadora limpia en primer lugar. La prevención es absolutamente mejor que curar, especialmente en el caso de una infección a nivel del núcleo. Sin embargo, saber que tiene un problema también es claramente importante, por lo que:

• Sistemas de detección de intrusiones.
• Supervisar los registros para detectar actividades sospechosas. Registros de firewall, registros del sistema operativo, etc. Vea IDS, pero hágalo usted mismo también.

Eso es todo. Si todos los puertos que no necesita están desactivados y está pasando todas las conexiones que desea a través de proxies o los está explorando razonablemente, lo mejor que puede hacer es la defensa reactiva en este caso.

Desde una perspectiva personal, estoy muy interesado en Control de acceso obligatorio . Sinceramente, creo que se pueden obtener muchos beneficios de la designación de recursos específicos que requiere una aplicación y lo digo como programador, ya que ayuda a definir las especificaciones. Si está utilizando una plataforma capaz de algún nivel de MAC, podría estar interesado en investigarlo. También he respondido recientemente una pregunta en Sandboxie que parece ser un excelente kit para Windows.

Desafortunadamente, la respuesta a la primera parte de su pregunta es que hay una variedad de técnicas que los registradores de teclado utilizan para comunicarse, y que incluyen el uso de conexiones existentes como http, por lo tanto, a menos que tenga un servidor de seguridad que funcione en una lista blanca Me resulta muy difícil prevenirlo.

Algunos keyloggers no se conectan, pero requieren un acceso local por parte del atacante para recoger los datos registrados, un problema por separado, pero nuevamente, no detectable por un firewall.

Realmente desea que su herramienta antimalware esté actualizada y utilice prácticas seguras al acceder a Internet, ya que los registradores de teclado son difíciles de detectar de otra manera.

Password Safe de Schneier viene con un teclado virtual donde, en lugar de escribir, haga clic en las letras que desee. Esto es más de seguridad aunque oscuridad porque está asumiendo que el atacante no está monitoreando estas acciones. Realmente, el problema es que ha sido hackeado y necesita eliminar el malware con un antivirus .

Hay un libro sobre este tema escrito por uno de los líderes de seguridad más importantes, Richard Bejtlich: cómo detectar datos que salen de su red: no es un problema fácil y realmente depende de su evaluación de riesgos. Hay casi infinitas formas posibles en que alguien puede enviar datos, desde una simple solicitud GET de HTTP, una conexión directa, una conexión inversa, hasta la combinación de otras conexiones y el uso de canales ocultos.

El libro se titula Detección de extrusión: monitoreo de seguridad para intrusiones internas

Creo que se vuelve más una paranoia cuando siempre hago esto antes de usar cualquier computadora. Compruebe todas las conexiones entrantes y salientes & Servicios que se ejecutan todo el tiempo en la Terminal. Si hay algo gracioso en marcha, ¡puedes comenzar a investigarlo!

Si no puede evitar infectarse, siempre puede instalar KeyScrambler

Esto es de nuevo, la seguridad a través de la oscuridad. Obviamente no puede detener a los keyloggers de hardware.