Enquanto estudava na universidade, fiquei interessado em keyloggers de hardware e, portanto, decidi comprar um para um trabalho de pesquisa. Este dispositivo é específico para teclados USB com fio (não Wi-Fi ou Bluetooth) que registra cada tecla digitada, sem a necessidade de drivers ou se preocupar com qualquer produto de segurança. Pensei por que não escrever uma resenha e compartilhar algumas descobertas interessantes.
NÃO tolero nem incentivo o uso de tais dispositivos para fins ILEGAIS.
Para aqueles de vocês que estão pensando - Por que conectá-lo a um laptop? - No momento não tenho computador torre, então resolvi usar o que tinha disponível, meu notebook e um teclado Logitech USB. Nenhuma desmontagem ou engenharia reversa foi tentada, neste momento.
O dispositivo
O dispositivo KeyGrabber Nano keylogger é o menor keylogger de hardware USB disponível no mercado. O Nano, como o nome sugere, tem as dimensões de apenas: 35mm (L) x 20mm (A) x 12mm (L). Existem duas versões; um com Wi-Fi e outro sem Wi-Fi. Esta revisão é baseada na (edição sem Wi-Fi), que está atualmente disponível nos EUA por $ 55,99 ou na UE por € 51,99. Outros locais podem variar em preços, devido ao frete e pacotes. A empresa que o vende chama-se 'KeeLog' na (UE) e 'Aqua Electronics Inc' nos (EUA).
A maioria dos keyloggers de hardware típicos são um tanto perceptíveis e bastante volumosos, embora muitas vezes estejam fora de vista e instalados na parte traseira dos sistemas. Com uma rápida olhada, eles podem ser vistos a uma milha de distância.
Aqui está o dispositivo comparado a uma moeda britânica de cinco centavos:
Características
- Compacto e Discreto
- Sistema de arquivos flash com capacidade de memória (16 MB)
- Compatível com todos os teclados USB (incluindo Linux e Mac)
- Transparente para a operação do computador, indetectável para scanners de segurança
- Nenhum software ou driver necessário e sistema operacional independente
- Memória protegida com criptografia forte de 128 bits
- Suporte de layout de teclado nacional rápido e fácil
Apoiar
O dispositivo suporta a maioria das palavras-chave do tipo USB com fio, incluindo modelos retroiluminados e não retroiluminados, classificações de energia de 4,5 V a 5,5 V CC (da porta USB). Como este é um keylogger de hardware , ele funciona em todos os sistemas operacionais; Windows, Mac OS, Linux sem problemas. Já testei as versões USB 2.0 e 3.0, que funcionam perfeitamente. Aqui está um exemplo do meu teclado iluminado Logitech K740 (potência 5V == 300mA) conectado a um sistema Debian, com e sem o dispositivo.
Saída do dmesg :
With device on USB 3.0 port
...
[ 144.384517] usb 1-1: new full-speed USB device number 6 using xhci_hcd
[ 144.531879] usb 1-1: New USB device found, idVendor=046d, idProduct=c318
[ 144.531893] usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[ 144.531903] usb 1-1: Product: Logitech Illuminated Keyboard
[ 144.531912] usb 1-1: Manufacturer: Logitech
[ 146.694372] input: Logitech Logitech Illuminated Keyboard as /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.0/0003:046D:C318.0001/input/input12
[ 146.752576] hid-generic 0003:046D:C318.0001: input,hidraw0: USB HID v1.11 Keyboard [Logitech Logitech Illuminated Keyboard] on usb-0000:00:14.0-1/input0
[ 146.753391] input: Logitech Logitech Illuminated Keyboard as /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.1/0003:046D:C318.0002/input/input13
[ 146.812373] hid-generic 0003:046D:C318.0002: input,hiddev0,hidraw1: USB HID v1.11 Device [Logitech Logitech Illuminated Keyboard] on usb-0000:00:14.0-1/input1
...
Without device on USB 3.0 port
...
[ 392.120268] usb 1-1: new full-speed USB device number 8 using xhci_hcd
[ 392.266333] usb 1-1: New USB device found, idVendor=046d, idProduct=c318
[ 392.266347] usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=0
[ 392.266357] usb 1-1: Product: Logitech Illuminated Keyboard
[ 392.266365] usb 1-1: Manufacturer: Logitech
[ 392.274911] input: Logitech Logitech Illuminated Keyboard as /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.0/0003:046D:C318.0003/input/input14
[ 392.334189] hid-generic 0003:046D:C318.0003: input,hidraw0: USB HID v1.11 Keyboard [Logitech Logitech Illuminated Keyboard] on usb-0000:00:14.0-1/input0
[ 392.339795] input: Logitech Logitech Illuminated Keyboard as /devices/pci0000:00/0000:00:14.0/usb1/1-1/1-1:1.1/0003:046D:C318.0004/input/input15
[ 392.397846] hid-generic 0003:046D:C318.0004: input,hiddev0,hidraw1: USB HID v1.11 Device [Logitech Logitech Illuminated Keyboard] on usb-0000:00:14.0-1/input1
...
Como você pode ver, é completamente transparente para o sistema operacional.
Diferentes layouts de teclado
Há um total de 48 layouts de teclado nacionais diferentes suportados. Este é um aspecto importante se você estiver pensando em usar o dispositivo em diferentes países. Os layouts garantem que cada pressionamento de tecla seja processado e armazenado corretamente. Esta opção não está habilitada por padrão, mas pode ser facilmente alterada atualizando o arquivo de configuração para corresponder a um layout de teclado escolhido.
Abaixo está uma lista de todos os idiomas e layouts suportados:
Cada pasta contém um nome de arquivo chamado layout.usb que é colocado na raiz do USB. Além disso, o arquivo de configuração precisa ser atualizado com a configuração: DisableLayout=No. A lista completa e atualizada pode ser baixada aqui .
Configuração
O dispositivo pode ser configurado através do arquivo config.txt localizado na raiz do USB. O modo de armazenamento de dados deve ser ativado para visualizar ou editar os arquivos. Os parâmetros mais relevantes estão listados abaixo:
Parâmetro | Valores | Exemplo | Descrição Senha | Senha de 3 caracteres (KBS padrão) | Senha=SVL | Combinação de teclas de três caracteres para ativar o modo Flash Drive. Criptografia | Sim, Não (padrão) | Criptografia=Não | Pendrive Criptografia AES LogSpecialKeys | Nenhum, Médio (padrão), Completo | LogSpecialKeys=Completo | Nível de registro de chave especial. DesabilitarLog | Sim, Não (padrão) | DisableLogging=Sim | Sinalizador de desativação do registro de pressionamento de tecla. DisableLayout | Sim, Não (padrão) | DisableLayout=Sim | Bandeira de desativação do layout nacional.
Modo de armazenamento de dados
O modo de armazenamento é ativado quando uma combinação de 3 teclas é digitada simultaneamente através de um teclado USB conectado. Uma vez pressionado, um novo dispositivo de armazenamento de 16 MB aparecerá com o nome “KEYGRABBER” e o teclado parará de funcionar, a menos que seja reconectado. A combinação de teclas secretas padrão é ( K + B + S ). Isso pode ser alterado para quaisquer 3 caracteres, de acordo com seu layout de teclado típico, editando o Passwordparâmetro no arquivo de configuração.
Exemplo de saída de log.txt (LogSpecialKeys definido como Médio):
[Pwr]example.com[Ent]
news.ycombinator.com[Ent]
[Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck][Bck]google.com[Ent]
[Alt][Tab][Win][Tab][Win][Tab][Win][Tab][Win][Tab][Win][Tab][Win][Tab]example[Ent]
sb[Pwr][Cap]g[Cap]reat for getting [Cap]bios p[Cap]asswords ()[Cap]*[Ent]
[Ent]p$ssw0rd123%`[Ent]
[Ent][Tab]qwertyuiop[][Ent]
[Cap]asdfghjkl;'#[Ent]
\zxcvbnm,./[Ent]
[F6][F5][Esc][F11][F11]sb
Criptografia
Além de uma chave secreta, há também uma opção para habilitar a criptografia AES de 128 bits para “proteger” contra adulteração do dispositivo. No entanto, é prejudicado pela combinação de senha mencionada abaixo. Esta opção está desativada por padrão, mas pode ser ativada editando o arquivo config.txt e configurando Encryption=Yes. Fazer isso também reformatará e limpará os dados registrados.
Desvantagens
A leitura do arquivo de log pode se tornar confusa para usuários não técnicos, devido ao fato de o dispositivo registrar entradas de teclado bruto, especialmente quando a LogSpecialKeys=Fullopção é selecionada. O dispositivo vem com um software chamado 'KL Tools' que auxilia os usuários na configuração e visualização dos dados gravados usando uma GUI intuitiva. No entanto, outros podem preferir escrever seus próprios scripts de fraseado.
Opção de criptografia e chave de senha. A maior desvantagem é a senha secreta de 3 chaves. Por exemplo, suponha que uma senha use caracteres [az], o que deixaria um keyspace de apenas 26 x 25 x 24 = 15.600. As chaves também precisam ser inseridas simultaneamente. Portanto, se a senha for KBS, qualquer permutação ativará o modo de armazenamento, por exemplo, (SBK ou BSK), diminuindo ainda mais o espaço-chave. Bastaria um dispositivo HID modificado conectado ao keylogger para executar um simples ataque de dicionário, independentemente de a opção de criptografia estar habilitada ou não.
Enquanto um teclado USB está conectado, parte do conector USB macho fica exposta (como mostra a primeira fotografia). Teria sido muito mais limpo se tivesse um acabamento completamente 'flush'.
Resumo
As principais vantagens são seu tamanho e suporte para layouts de teclado multinacionais. Eu realmente gosto da ativação exclusiva do modo de armazenamento por meio de uma combinação de senha de 3 teclas. No entanto, teria sido uma solução muito melhor permitir uma senha mais longa inserida em sequência, que reconheceria por padrão e entraria no modo de armazenamento. Embora, eu não ache que haja muita informação a ser obtida para fins investigativos, possivelmente arquivar Metadados. Independentemente disso, é um problema que um usuário deve estar ciente se um dispositivo for encontrado.
O KeyGrabber Nano é sem dúvida um dispositivo interessante com o qual me diverti muito brincando. Se você está procurando um pequeno dispositivo keylogger USB oculto, esta seria minha primeira escolha. Eu realmente gostaria de experimentar a versão Wi-Fi, se o custo não fosse tão alto. Em um post futuro, posso mostrar um ataque de força bruta contra o dispositivo usando um Rubber Ducky USB (HID).
Comentários
Postar um comentário