Linux Keylogger ohne root oder sudo! Ist es echt?

Ja, es ist real. Wenn Sie über einen Browser ausgenutzt wurden und ein Angreifer Code mit Ihren Benutzerrechten ausführen kann, kann er ein Programm über GNOME-oder KDE-Autostart-Funktionen registrieren, die Programme beim Anmelden ausführen. Jedes Programm kann Scan-Codes von gedrückten Tasten im X Window-System erhalten. Es ist leicht mit xinput Befehl demonstriert. Siehe Blog-Post auf GUI Isolation für Details.

Das Konzept in diesem video ist 100% real und der code ist sehr einfach.

Identifizieren Sie Ihre Tastatur-ID mit: xinput --list

Tastenanschläge protokollieren mit: xinput --test $id

Zahlen mit Tasten abgleichen mit: xmodmap -pke

Ja es ist möglich.
Sie können es auf Ihrem eigenen Computer mit ähnlicher Software versuchen lkl .

Ich habe das Video nicht gesehen, also antworte ich auf den Eindruck, den ich davon habe, was es aus dem SU-Thread behauptet, und nicht auf das Video, das Sie zitieren.

Wenn ein Angreifer Code auf Ihrem Computer als Benutzer ausführen kann, kann er Ihre Tastendrücke protokollieren.

Nun, duh. Alle Anwendungen, die Sie ausführen, haben Zugriff auf Ihre Tastendrücke. Wenn Sie Sachen in Ihrem Webbrowser eingeben, hat Ihr Webbrowser Zugriff auf Ihre Tastendrücke.

Ah, sagst du, aber was ist mit den Tastendrücken in einer anderen Anwendung? Solange die andere Anwendung auf demselben X-Server ausgeführt wird, können sie weiterhin protokolliert werden. X11 versucht nicht, Anwendungen zu isolieren - das ist nicht seine Aufgabe. X11 ermöglicht es Programmen, globale Verknüpfungen zu definieren, was für Eingabemethoden, Makros usw. nützlich ist.

Wenn der Angreifer Code als Benutzer ausführen kann, kann er auch Ihre Dateien lesen und ändern und alle Arten von anderen Schäden verursachen.

Dies ist keine Bedrohung. Es ist Teil der normalen Erwartungen eines working system. Wenn Sie einem Angreifer erlauben, Code auf Ihrem Computer auszuführen, ist Ihr Computer nicht mehr sicher. Es ist wie wenn Sie Ihre Haustür öffnen und einen Axtmörder hereinlassen: Wenn Sie dann in zwei Teile gespalten werden, liegt das nicht daran, dass Ihre Haustür unsicher ist.

Der Keylogger kann nur die vom infizierten Benutzer gedrückten Tasten protokollieren. (Zumindest solange der infizierte Benutzer das Sudo-Passwort nicht eingibt.)

Es ist 100% möglich. Für ttys / ptys (Textmodus) ist es am einfachsten, /bin/{ba,da,a}sh ein shim hinzuzufügen (z. B. eine Sekunde .codesegment, R-X) und ändern Sie den Einstiegspunkt (so wie es ein ELF-Virus tun würde). Abgesehen davon kann man in diesem Fall ~/ändern.profil oder ~/.bashrc (etc.), als ein sehr einfaches hypothetisches Modell:

Exec ~/.malicious_programm

, das dynamischen Code für gemeinsam genutzte Objekte laden kann, um das betreffende Schadprogramm auszublenden (Beispiel: Zulassen .profil lesen und änderung, aber verstecken Sie die Zeile. Und / oder das Programm ausblenden.)

Man kann dann das UNIX98 pty(7) - System verwenden oder sogar einfach pipe(2), um alle Eingaben in einer gegabelten Shell aufzuzeichnen, vorausgesetzt, die fd ist nicht mit FD_CLOEXEC markiert, und sogar Benutzereingaben an die Shell ändern.

In X11, obwohl kdm/gdm/xdm als setuid root ausgeführt wird (oder das Äquivalent in capabilities [siehe setcap(8)] oder welches Sicherheitsmodell auch immer Sie verwenden, wenn nicht standardmäßig), werden die Dinge natürlich komplizierter. Wenn man erhöhen kann privilegien? iopl(2) oder ioperm (2) macht das Leben ganz einfach mit direktem Zugriff auf 0x60 / 0x64 Tastatur-Ports auf x86. Da wir davon ausgehen, dass Sie nicht können, müssen wir nach einer alternativen Route suchen. Ich kenne mehrere, bin mir aber nicht ganz sicher, ob Sie eine Dissertation darüber wünschen, wie es möglich ist und welche Schnittstellen es gibt.

Es genügt zu sagen, Ring 3, Nicht-Superuser-Trojaner sind auf *nix trotz Prozessisolierung aufgrund verschiedener Probleme (insbesondere mit X) durchaus möglich, die Funktionen für hinzugefügt haben benutzermodus-Daemons, um z. B. Text-to-Speech-Unterstützung für alle Apps bereitzustellen, ohne die Sicherheit des Systems zu beeinträchtigen. Ich habe bereits eine skizziert, die analog zu ttysnoops funktioniert (die lange nach dem Ablaufdatum liegt) und keine root erfordert. Ich habe Beispielcode für diesen Fall (der in Terminals in X enthalten wäre), aber ich habe ihn noch nicht veröffentlicht. Wenn Sie mehr Informationen wünschen, kontaktieren Sie mich bitte.

Ja, es ist möglich, Software ohne su-oder sudo-Berechtigungen zu installieren; Dies geschieht jedoch normalerweise durch einen Privilege-Eskalations-Exploit. Dieses Video macht einen ziemlich guten Job der Fähigkeiten dieses Keyloggers, aber es lässt ein bisschen Details über die Keylogger-Installation aus. Es mag hier ein bisschen Tricks geben, aber es ist schwer, allein aus dem Video zu erzählen.

Zu Testzwecken habe ich einen TTY-Keylogger erstellt, der dynamisch an die TTY eines Benutzers angehängt werden kann, und das Programm muss nicht von root installiert werden und kann von jedem Konto verwendet werden. Einmal angehängt, protokolliert es Eingaben, die dem Muster entsprechen, das in der Befehlszeile angegeben ist, wenn das Programm gestartet wird.

Ist möglich mit Systemen wie Crunchbang (Debian-basierte Distribution) Fügen Sie einfach Berechtigungen zur Sudoers-Datei hinzu indem Sie nano visudo im Terminal verwenden und Keylogger zum Autostart hinzufügen wie logkeys für Linux zum Beispiel logkeys --start --output /home/user/.geheimnis / log

Viel Glück