鍵盤側錄程式是一種監控技術,可追蹤和記錄電腦或流動裝置上的每次鍵盤記錄。
目錄
雖然鍵盤側錄程式通常與惡意網絡活動相關,例如竊取登入憑證或敏感資料,但它亦可用於合法情況,例如員工監督或家長控制軟件。
鍵盤側錄程式類型
鍵盤側錄程式的運作方式和系統存取程度各有不同。以下是最常見的類型,每種類型都有不同的行為和對偵測的影響:
基於 API 的鍵盤側錄程式
這記錄程式利用標準系統 API 記錄按鍵。它們模仿硬件與軟件之間的正常互動,使它們特別難以與合法程序區別開來。每次按下或放開按鍵時,記錄程式都會實時擷取事件,而不會提醒用戶。
擷取表格的鍵盤記錄程式
在用戶提交網絡表格時,表格擷取器不會監控個別按鍵,而是擷取網站表格的全部內容。這表示用戶名稱、密碼、信用卡資料及其他敏感資料在加密及傳輸前均可被攔截。
核心層鍵盤記錄程式
透過在作業系統最深層的內核上操作,這些鍵盤記錄程式可以獲得行政級存取權限。它可以在不被標準防毒工具偵測的情況下記錄任何活動,使其成為最危險的品種之一。
基於 JavaScript 的鍵盤記錄程式
這些鍵盤側錄程式通常會被注入已遭入侵的網站或瀏覽器攻擊中,利用惡意腳本來監控網頁內的鍵盤輸入。它們經由跨網站腳本(XSS)、中間人攻擊或入侵第三方內容等方式部署。
硬件鍵盤記錄器
基於硬件的鍵盤記錄器是在鍵盤和電腦之間插入的物理裝置,甚至嵌入鍵盤本身。它們需要接入實體裝置才能安裝,但幾乎無法透過傳統防毒或軟件掃瞄偵測。安裝後,他們會將按鍵輸入記錄到內部記憶體,或以無線方式傳輸到外部接收器。
鍵盤側錄程式如何運作
鍵盤側錄程式的運作方式是攔截及記錄用戶的輸入,並經常利用隱匿策略來隱藏在用戶及保安軟件中。深入了解他們如何運作:
鍵盤側錄程式擷取鍵盤輸入
主要方式是在輸入鍵盤時攔截鍵盤記錄。他們通常透過以下途徑實現:
API 掛鉤:許多軟件鍵盤側錄程式都會使用系統級的掛鉤,例如 Windows 上的 SetWindowsHookEx API,在鍵盤到達應用程式前攔截鍵盤活動。
核心級攔截:更進階的鍵盤側錄程式可在內核層運作,直接從硬件擷取原始輸入數據,通常繞過用戶模式的保安防禦。
這讓鍵盤側錄程式可以記錄已鍵入文件及登入憑證的所有內容,而不會令用戶意識到問題。
鍵盤側錄程式的數據處理及隱蔽技術
除了記錄按鍵活動外,許多鍵盤側錄程式亦旨在收集更廣泛的用戶活動,並暗中傳送被盜的資料:
擴展數據採集:某些變種也會記錄剪貼簿內容、定期擷取螢幕截圖,或記錄瀏覽的網站和應用程式使用情況。
儲存及傳輸: 所擷取的資料會儲存在本機的隱藏檔案中,或透過電郵、FTP 或加密通訊渠道傳送至遠端伺服器。
潛藏運作: 為了避免被偵測,鍵盤側錄程式通常會偽裝成合法程序,利用 Rootkit 技巧隱藏其存在,或只在系統記憶體中運作,以躲避檔案式防毒掃瞄。
鍵盤側錄程式的真實使用
鍵盤側錄程式惡意使用案例
身份盜竊: 網絡罪犯可使用鍵盤側錄程式獲取用戶名稱、密碼、銀行憑證及個人識別碼。
監察:黑客可能會監控受害者的網上活動、閱讀電郵或追蹤對話。
企業間諜活動:在商業環境中,可部署鍵盤側錄程式以竊取商業秘密或未經授權存取機密資料。
鍵盤側錄程式合法使用案例
家長控制:有些家長會安裝鍵盤側錄程式來監控兒童的網上行為,確保他們安全及不會接觸不良內容。
工作場所監控:僱主可使用鍵盤側錄程式作為用戶端監控工具的一部分,以追蹤生產力及確保符合公司政策。然而,這必須以透明和合乎道德的方式進行,並尊重員工私隱權。
鍵盤側錄程式如何運作
鍵盤側錄程式的運作方式是攔截及記錄用戶的輸入,並經常利用隱匿策略來隱藏在用戶及保安軟件中。深入了解他們如何運作:
鍵盤側錄程式擷取鍵盤輸入
主要方式是在輸入鍵盤時攔截鍵盤記錄。他們通常透過以下途徑實現:
API 掛鉤:許多軟件鍵盤側錄程式都會使用系統級的掛鉤,例如 Windows 上的 SetWindowsHookEx API,在鍵盤到達應用程式前攔截鍵盤活動。
核心級攔截:更進階的鍵盤側錄程式可在內核層運作,直接從硬件擷取原始輸入數據,通常繞過用戶模式的保安防禦。
這讓鍵盤側錄程式可以記錄已鍵入文件及登入憑證的所有內容,而不會令用戶意識到問題。
鍵盤側錄程式數據處理及隱蔽技術
除了記錄按鍵活動外,許多鍵盤側錄程式亦旨在收集更廣泛的用戶活動,並暗中傳送被盜的資料:
擴展數據採集:某些變種也會記錄剪貼簿內容、定期擷取螢幕截圖,或記錄瀏覽的網站和應用程式使用情況。
儲存及傳輸: 所擷取的資料會儲存在本機的隱藏檔案中,或透過電郵、FTP 或加密通訊渠道傳送至遠端伺服器。
潛藏運作: 為了避免被偵測,鍵盤側錄程式通常會偽裝成合法程序,利用 Rootkit 技巧隱藏其存在,或只在系統記憶體中運作,以躲避檔案式防毒掃瞄。
鍵盤側錄程式如何感染裝置
鍵盤側錄程式一般都經由類似其他惡意程式類型的方法提供,包括:
網絡釣魚電郵及惡意附件:攻擊者發送令人信服的電郵內包含受感染文件或連結。開啟一個暗藏陷阱的檔案,如啟用巨集的 Word 文件,可以無聲安裝鍵盤側錄程式。
無檔案惡意程式技巧:無檔案鍵盤側錄程式不會留下明顯的痕跡,而是使用 PowerShell 或 DLL 注入等工具將程式碼直接注入記憶體。
木馬化軟件及軟件捆綁: 鍵盤側錄程式有時隱藏在看似合法的應用程式或盜版軟件中。安裝這些篡改程式會不小心在後台安裝鍵盤側錄程式。
惡意瀏覽器擴充功能(Man-in-the-Browser 攻擊): 虛假或已遭入侵的瀏覽器附加元件可擷取所有輸入網站表格的資料,避過密碼保護或虛擬鍵盤等防護。
偷渡式下載及入侵套件: 即使只是使用過時的瀏覽器或外掛程式來瀏覽已遭入侵的網站,也會觸發自動下載,而該下載會在您的裝置上無聲安裝鍵盤側錄程式。
USB Drops 及實體存取: 攻擊者可能會在鍵盤和電腦之間安裝受感染的 USB 裝置或實體硬件鍵盤側錄器,以無聲擷取數據。
鍵盤側錄程式的持續技巧
安裝後,鍵盤側錄程式會透過以下方法在重啟後繼續運作,並保持隱蔽:
自動啟動項目和已排程任務:鍵盤側錄程式將自己添加到啟動文件夾、登錄鍵或已排程的任務中,以在啟動時自動重新啟動。
安裝服務及程序注入: 部分側錄程式以系統服務形式安裝或注入合法程序(如 explorer.exe)內,以混合常規系統運作。
濫用合法工具:使用「就地取材」版本(如 wscript.exe 或 powershell.exe),鍵盤側錄程式可以在無明顯惡意程式蹤跡的情況下執行。
韌體或開機套件:高度精密的鍵盤側錄程式可能會感染系統 BIOS 或裝置韌體,使它們能夠在載入作業系統前啟動,而這種策略通常在針對性高價值攻擊中出現。
如何偵測及移除鍵盤側錄程式
辨識鍵盤側錄程式的存在可能很困難,但也有一些可疑跡象:
鍵盤回應出現意料之外的延遲或緩慢
在任務管理器或活動監控器中運行的未知或可疑流程
應用程式經常當機或出現系統異常行為
網頁瀏覽速度明顯變慢
若要移除鍵盤側錄程式:
使用反惡意程式或專用的反鍵盤側錄工具來掃瞄裝置。
隨時更新防毒軟件,並定期掃瞄來偵測新威脅。
開機進入安全模式以執行更深入的系統檢查。
重設瀏覽器及應用程式設定以排除惡意擴展。
如何防範鍵盤側錄程式
以下是一些預防鍵盤側錄程式感染的主動措施:
保持軟件更新 - 定期更新您的作業系統、瀏覽器及應用程式,以修補鍵盤側錄程式及惡意程式經常用作入侵的已知漏洞。
採用信譽良好的防毒及用戶端保安方案,以即時防護及行為偵測來阻截已知及新興威脅。
啟用多重認證 - 即使已洩漏密碼,多重認證亦增加了可封鎖未經授權存取的重要額外保安層。
虛擬鍵盤 - 虛擬鍵盤讓您點擊螢幕按鍵而非輸入,令基本鍵盤記錄器更難擷取您的輸入。
用戶培訓及保安意識 - 定期教育用戶有關網絡釣魚風險、可疑下載及鍵盤側錄程式警告訊號。
Trend Vision One™ 平台
利用單一平台更快阻止威脅及管控您的網上風險。以人工智能、領導市場的威脅研究及情報為後盾,提供全面預防、偵測及回應功能以更有效管理保安運作。
Trend Vision One 支援各式各樣的資訊科技環境,自動化及協調工作流程,並提供專業的網絡保安服務,讓您可以整合及簡化保安運作。
Jon Clay 在網絡保安領域擁有超過 29 年經驗。他利用其業界經驗來教育及分享所有趨勢科技對外發佈的威脅研究及情報。