Keylogger aufspürenDatenspione enttarnen
Legale Keylogger
Keylogger aufspüren
Datenspione arbeiten immer häufiger mit Keyloggern. Einer Studie der Sicherheitsfirma iDefense zufolge nahm die Verbreitung von Programmen, die unbemerkt Tastatureingaben aufzeichnen, im letzten Jahr um satte 65 Prozent zu – Tendenz steigend. Vor allem Schadprogramme installieren die PC-Spione, um unbemerkt an sensible Nutzerdaten zu kommen.
Im aktuellen Spyware-Report von Webroot rangiert etwa der Perfect Keylogger auf Platz 2 unter den Top-Ten der Spyware-Tools.Erstaunlich: Das Programm ist kein Hackerwerkzeug, sondern wird offiziell und legal über www.blazingtools.com vertrieben .
Keylogger aufspüren mit Hausmitteln
Keylogger aufspüren
Wer Software-Keyloggern auf die Spur kommen will, braucht in der Regel Spezialwerkzeuge. Mit den Bordmitteln von Windows ist den Schädlingen kaum beizukommen, weil diese sich vor der Anzeige im Taskmanager oder Explorer verstecken. Auch Autostart-Einträge verbergen sie etwa vor dem Windows-Tool Msconfig. Erfolgversprechender ist der Einsatz von Spyware- und Virenscannern, wie ein Test im PC-Professionell-Labor zeigt. Das gilt besonders, wenn es um den Schutz vor Schädlingen geht, die Keylogger hinterlassen. Diese werden in der Regel anhand aktueller Signaturen der Scanprogramme erkannt. Tatsächlich schlägt sich das kostenlos erhältliche Spybot Search & Destroy ( PCP-Code: SPYBOT) auf den ersten Blick recht wacker. Der Spion Perfect Keylogger wird sofort entdeckt und beim nächsten Neustart entfernt.
Auch die gerade mal 50 KByte große Freeware Anti-Keylogger zeigt, dass der Perfect Keylogger wohl nicht so perfekt ist, wie sein Name suggeriert. Weitere Tests mit gängigen Virenscannern von McAfee, Kaspersky und Antivir entdecken den Perfect Keylogger ebenfalls.
Spione im Windows-Kern
Keylogger aufspüren
In einer anderen Liga spielen Kernel-Keylogger wie Elite Keylogger, die keine verräterischen Prozess-Signaturen aufweisen, weil sie meist völlig unauffällig als Treiber gestartet werden. Selbst leistungsfähige Prozess- und Taskmanager wie Taskinfo 6.2 von www.iarsn.com ( PCP-Code: TASKINFO) zeigen keine verdächtigen Spuren. Spybot und Ad-Aware, in der Szene als Spyware-Jäger geschätzt, versagen hier kläglich. In die Reihe der Versager reihen sich auch Virenscanner ein, etwa NOD32, F-Secure und Kaspersky. Der Elite Keylogger entzieht sich hartnäckig allen Bemühungen, ihn ausfindig zu machen. Auch die oben genannten »Anti-Keylogger« können nicht verhindern, dass der Spion weiterhin Daten sammelt.
Abhilfe schafft die chinesische Allzweckwaffe gegen Rootkits, das manuell zu bedienende IceSword (PCP-Code: ICESWORD) mit englischsprachiger Bedienoberfläche. Das von IT-Experten als ultimativer Rootkit-Detektor anerkannte, nur rund 700 KByte große Tool zeigt nicht nur versteckte Prozesse, sondern auch Manipulationen im Windows-Kernel an. Genauer gesagt, bringt es Manipulationen in der System Service Descriptor Table ans Licht, in die sich Rootkits gerne einhängen.
Sie sollten sich Ihrer Sache aber absolut sicher sein, bevor Sie einen versteckten Prozess, einen Registry-Eintrag oder einen Treiber entfernen, denn IceSword legt kein Backup an. Zudem sind die Aktionen mit IceSword unwiderruflich. Sichern Sie also Ihre Bootpartition, mindestens aber die Registry vorher auf eine zweite Festplatte oder auf DVD. Verdächtige Objekte sind nur in den Fenstern Process und SSDT rot markiert; ansonsten brauchen Sie fundierte Systemkenntnisse, um die guten von den bösen Objekten zu unterscheiden. Manche Objekte können nicht direkt im angezeigten Fenster gelöscht werden. Hierfür gibt es zwei Hilfstools, die Sie unter Registry und File aktivieren. Beide Tools sind nicht komfortabel, können aber Einträge löschen, die von Rootkits geschützt sind.
IceSword stellt die Hooks (Manipulationen am Kernel) in Rot dar. Da das Werkzeug natürlich nicht weiß, welche Hooks etwa zu einer Firewall gehören und welche zu einem Schädling, muss der Nutzer erst durch eine Websuche prüfen, hinter welchem Namen sich der Schädling verbergen könnte. Im Test ermitteln wir etwa, dass die Datei vsdata.sys zur Zonealarm-Desktop-Firewall gehört. Eine zweite verdächtige Datei hat den Namen \SystemRoot\system32\drivers\crusoe2k.sys – im Explorer taucht sie nicht auf. PCpro prüft auch noch mit Rootkit Revealer nach, und auch der moniert diese Datei.
Wer zielgerichteter nach möglichen Schädlingen recherchieren will, dem empfiehlt sich die Nutzung des Malware-Searchers von Metasploit.
Schädlinge entfernen
Keylogger aufspüren
Wenn man erst mal weiß, wo der Schädling zu lokalisieren ist, kann die Löschaktion relativ problemlos gestartet werden. Durch den Rootkit-Mechanismus gut getarnt, kommt der Anwender dem Keylogger im laufenden Betrieb nur durch IceSword bei, oder er bootet den PC mit einer spywarefreien Start-CD und löscht dann den Keylogger auf der Festplatte. Das geht zum Beispiel mit der Ultimate Boot CD von der Heft-DVD ( PCP-Code: UBCD).
Das Löschen mit IceSword ist einfach: Den Menüeintrag File aktivieren, mit dem nun aktivierten Datei-Explorer die crusoe2k.sys suchen und löschen.
System komplett reinigen
Keylogger aufspüren
Nach dem Booten ist der Keylogger nicht mehr aktiv. Jetzt können weitere Aufräum- und Reparaturarbeiten unternommen werden. Dazu gehört beispielsweise auch das Auffinden der Protokolldateien. Das ist mühsehlig, wenn man den Namen nicht kennt. Hier hilft oft nur, nach dem aktuellsten und größten Dateien im Windows-Verzeichnis (meistens unter system32) zu suchen und diese probeweise bis zum nächsten Systemstart umzubenennen, um sie dann vollständig zu löschen. Wer an einem fremden PC arbeitet, vielleicht noch dazu ohne Administratorrechte, steht allerdings auf verlorenem Posten gegen diese technisch raffinierten Datenspione. Er kann sich mit einem Trick aus der Affäre ziehen – dem Einsatz eines virtuellen Keyboards. Was die wenigsten wissen: Windows verfügt standardmäßig über dieses Eingabemittel. Wer unter Start/Ausführen OSK eintippt, erhält eine virtuelle, mausbedienbare Tastatur eingeblendet.
Noch einen Schritt weiter geht das kostenlose Mouse Only Keyboard ( PCP-Code: MOK) von www.myplanetsoft.com, bei dem die Mauseingaben mit Sternchen maskiert werden. Die Schutzwirkung bleibt allerdings fragwürdig, solange nicht zweifelsfrei klar ist, ob die Keylogger nicht laufend Screenshots erstellen oder Formulardaten über ein BHO (Browser Helper Object) im Internet Explorer abgreifen.
Verfügt man aber über Installationsrechte auf dem PC, kann man so gut wie allen Keyloggern direkt das Wasser abgraben. PCpro hat einige Produkte getestet, die selbst Kernel-Keylogger on the fly deaktivieren. Also selbst wenn die Spyware aktiv ist, wird sie durch Programme wie etwa den Advanced Anti Keylogger (kostenpflichtig, 60 US-Dollar unter www.anti-keylogger.net) wirkungsvoll unterdrückt. Nach der Installation des Advanced Anti Keyloggers wird der PC neu gestartet und alle
Programme, die auf Kernelebene arbeiten, in Quarantäne genommen. Dann definiert der Anwender für diese Programme einfache Regeln. Er kann diese auch einfach erlauben oder verbieten.
Spionage-Geräte in der Tastatur
Keylogger aufspüren
Bereits für nur 55 Euro gibt es einen Hardware-Keylogger zu kaufen, der von keinem Security-Tool (nicht mal den Spezial-Programmen) entdeckt werden kann. Die Installation ist denkbar einfach. Der Keylogger wird einfach zwischen PS/2-Buchse des Zielrechners und Keyboardstecker eingeschleift. Im Idealfall können so über 250 000 Tastaturanschläge gespeichert werden, was im PCpro-Test auch ohne Probleme klappt. Genauso simpel ist das Auslesen. Zu diesem Zweck verwenden die Tester die mitgelieferte Software KLogger-Reader.
Tipp: Das Einzige, was gegen Hardware-Keylogger hilft, ist die manuelle Inspektion des Rechners und seiner Anschlüsse. Selbst wenn der PS/2-Port softwaretechnisch gesperrt ist und das Keyboard via USB angeschlossen wird, können relativ unauffällig wirkende USB-Keylogger zwischengeschaltet werden. Noch unauffälliger ist die direkte Integration der PC-Wanze ins Keyboard. Für Elektronikbastler ist das kein Problem. Gegebenenfalls hilft der Trick, die Einschrauböffnungen auf der Rückseite des Keyboards mit farbigem Nagellack zu markieren, so dass Manipulationen schneller auffallen.
Vorbereitungen gegen Keylogger
Keylogger aufspüren
Keylogger zählen zu den tückischsten und gefährlichsten IT-Bedrohungen. Es liegt im Trend, ahnungslose PC-Anwender auszuspionieren, sei es, weil der Arbeitgeber oder der Ehepartner misstrauisch sind, sei es, weil die Datenmafia ein lukratives Interesse an ihren Kreditkartendaten und Online-Banking-Passwörtern hat. Die klassischen Spyware- und Virenjäger sind hier oftmals überfordert.
Eine Chance, die Datenspione zu entlarven, haben Sie nur, wenn Sie technologisch fortschrittliche (Anti-Rootkit-)Werkzeuge einsetzen. Um grundsätzlich zu verhindern, dass andere Personen Keylogger auf Ihrem PC installieren, sollten Sie speziell den Zugriff auf Ihrem PC absichern, etwa ein sicheres BIOS-Passwort vergeben, Festplattenverschlüsselung einsetzen und in regelmäßigen Abständen das Vorhandensein von Hardware-Keyloggern checken.
Flankierend kann eine professionelle Desktop-Firewall, etwa Zonealarm Pro, einen Keylogger daran hindern, ungefragt Daten zu übermitteln. Bei unseren Tests schlägt Zonealarm regelmäßig schon beim Installieren der Keylogger Alarm. Doch perfekt ist der Firewall-Schutz nicht – raffinierte Schädlinge mogeln sich vorbei.
Notfallplan
Keylogger aufspüren
6 Schritte gegen Keylogger
Hat sich ein Keylogger auf Ihrem System eingenistet, ist noch nicht alles verloren. PCpro hat einen Notfall-Plan für Sie entwickelt.
Schritt 1
Gehen Sie vom Schlimmsten aus: Ihr System ist durch Kernel-Keylogger vollständig kompromittiert. Erstellen Sie ein Image der infizierten Festplatte.
Schritt 2
Scannen Sie Ihr System nacheinander mit Spybot, Rootkit Revealer und IceSword und spüren Sie die Datenspione auf. Dann terminieren Sie diese und löschen die Logdateien durch mehrfaches Überschreiben.
Schritt 3
Wenn Sie nicht sicher sind, ob Sie mit dem Löschen erfolgreich waren und den Umfang der bisherigen Spionagetätigkeiten nicht überblicken, formatieren Sie Ihre Festplatte, setzen das Betriebssystem neu auf und ändern alle relevanten Passwörter.
Schritt 4
Sorgen Sie dafür, dass nur Sie gesicherten Zugriff auf Ihren PC haben. Arbeiten Sie ausschließlich mit einer verschlüsselten Bootpartition in Kombination mit einer Smartcard oder einem USB-Token.
Schritt 5
Sollte das aus irgendwelchen Gründen nicht möglich sein, können Sie Ihr System mit Anti-Keyloggern (Anti-Elite Keylogger, Advanced Anti Keylogger) sichern; noch übergreifender ist der Schutz durch ein Tool wie ProcessGuard, da hier verhaltensbasiert und im Vorfeld sämtliche Prozesse und Programme geblockt werden, die aktiv Systemstrukturen verändern.
Schritt 6
Sind diese Schutzmaßnahmen technisch oder organisatorisch nicht durchsetzbar, dann vertrauen Sie diesem PC keine Daten an, deren Missbrauch Ihnen persönlich schaden könnte.