Олейников кейлоггеры

1.

СЕРТИФИКАЦИЯ ИС
КЕЙЛОГГЕРЫ

2.

Содержание
01
Что такое кейлоггер
02
Типы кейлоггеров
03
Принципы работы
04
Каналы заражения
05
07
09
Признаки заражения
Законодательство
Примеры атак
06
08
10
Методы защиты
Статистика угроз
Выводы

3.

01 | ОПРЕДЕЛЕНИЕ
Цели кейлоггеров
Что такое
кейлоггер
Учетные данные
Финансовая информация
Кейлоггер (keylogger) — это программа или аппаратное устройство,
предназначенное для записи всех нажатий клавиш на клавиатуре компьютера
Переписка
или мобильного устройства.
Коммерческие тайны
«журнал клавиш»
Двойственная природа
Законное использование
Злонамеренное
Ключевая особенность:
незаметно для пользователя

4.

02 | КЛАССИФИКАЦИЯ
Типы кейлоггеров
Программные
Аппаратные
API-based
USB/PS/2
Легко
между клавиатурой и ПК
обнаруживаются
Kernel-based
Keyboard PCB
Сложно
внутрь клавиатуры
обнаружить
Form-grabbing
Wireless Sniffers
перед отправкой
Memory-injecting
беспроводной клавиатурой
ATM Overlays
не создают файлов
Распространенность:
банкоматов
Преимущество:

5.

03 | МЕХАНИЗМЫ
Принципы работы программных кейлоггеров
Методы перехвата нажатий
1
Расширенный сбор данных
API-хукинг (User Mode)
SetWindowsHookEx
Буфер обмена
до того, как они
достигнут приложений
Легко обнаружить
2
Быстрая разработка
Перехват на уровне ядра (Kernel Mode)
драйверы клавиатуры
Сложно обнаружить
3
Скриншоты
История браузера
Требует root
Активные приложения
Form Grabbing
веб-форм перед отправкой
Обходит HTTPS
Целевой
Методы скрытия

6.

04 | АППАРАТНЫЕ УГРОЗЫ
Аппаратные кейлоггеры: физическая угроза
Что такое аппаратный кейлоггер
Разновидности аппаратных кейлоггеров
физическое устройство
2MB-8GB
USB/PS/2 Inline
между кабелем клавиатуры и портом
6 мес
Встроенные (PCB)
внутрь клавиатуры
Почему они опасны
Независимость от ОС
любой операционной системе
Wireless Sniffers
беспроводной клавиатурой
Невидимость для антивирусов
не может обнаружить
ATM Overlays
банкоматов и терминалов
Удаленный доступ
WiFi и Bluetooth
Как обнаружить

7.

05 | КАНАЛЫ ЗАРАЖЕНИЯ
Как кейлоггеры проникают в систему
Фишинговые письма
Malvertising
Троянизированное ПО
вредоносными вложениями
Рост >500%
Высокий риск
84% инфостилеров
ClickFix
Вредоносные сайты
фейковые CAPTCHA
Тренд 2024-2025
EtherHiding
Drive-by downloads
Мгновенное заражение
блокчейне
Новая техника

8.

06 | ДИАГНОСТИКА
Признаки заражения кейлоггером
Системные индикаторы
Сетевая активность
Замедление работы
Необъяснимый трафик
медленнее обычного
исходящий трафик
Задержки при вводе
Подозрительные соединения
100-500мс
Высокая загрузка CPU
неизвестным IP-адресам
Ночная активность
значительные ресурсы
ночное время
Шум вентилятора
даже без нагрузки
Поведенческие признаки
Автозаполнение работает некорректно
Неожиданные уведомления
Подозрительная активность
отключились
Важно понимать
абсолютно незаметно
не гарантирует безопасность

9.

07 | ОБНАРУЖЕНИЕ
Методы обнаружения кейлоггеров
Ручная диагностика
1
Антивирусное ПО
Malwarebytes
Task Manager / Activity Monitor
подозрительные или неизвестные
Ctrl+Shift+Esc
2
Kaspersky
Проверка автозагрузки
Анализ сетевого трафика
Bitdefender / Norton
файервол или анализаторы
Wireshark
3
Anti Keylogger Elite
GlassWire
Проверка автозагрузки
msconfig
Win+R → msconfig
Специализированные инструменты
Реестр
Process Hollowing Detection
Rootkit scanners
Sysinternals Suite
Крайняя мера
чистую установку ОС

10.

08 | ЗАЩИТА
Методы защиты от кейлоггеров
Профилактика
Обновления
Технические
Поведенческие
Экранная клавиатура
ОС и приложения
Осторожность с письмами
OSK.exe
распознавать фишинг
Менеджеры паролей
KeePass, 1Password
вложения от неизвестных
Обучение
Регулярные проверки
несколько раз в месяц
Проверенные источники
официальных сайтов
Многофакторная аутентификация
MFA/2FA
Мониторинг трафика
файерволы и IDS
Проверка USB
публичных компьютерах
Аппаратные кошельки
Ledger, Trezor
Резервное копирование
бекапы важных данных
Золотое правило
комплексный подход
Ни один метод не дает 100% защиты

11.

09 | ЗАКОНОДАТЕЛЬСТВО
Уголовная ответственность в РФ
272
Статья 272 УК РФ
Статья 273 УК РФ
273
Что карается:
Что карается:
Создание
Распространение
Использование
Наказание:
Важно:
100-500K
формальный
до 7 лет
Наказание:
до 7 лет
274
Статья 274 УК РФ
Что карается:
Кейлоггеры в законодательстве
явно упоминаются
Условие:
крупного ущерба
+ штраф

12.

10 | СТАТИСТИКА
Тренды киберугроз 2024-2025
Рост инфостилеров
Финансовый ущерб
Lumma Stealer
+21%
Danabot
+52%
$4.88M
88%
Цели атак:
#1
#2
Техника ClickFix
+500%
#3
Самый распространенный стилер
SnakeStealer
Кейлоггер
Скриншоты
Буфер обмена

13.

11 | ПРИМЕРЫ
Известные кейлоггеры и реальные кейсы
Известные программы
Реальные кейсы атак
SnakeStealer
Активен
APT-группировка атакует российских ИТ-подрядчиков
CopyCat
HawkEye Reborn
Полиморфный
19 месяцев
каждые 24 часа
HellCat ransomware group
Lumma Stealer
C++/ASM
кражу сессий
обходить двухфакторную аутентификацию
Канадская фишинговая кампания
Prometheus TDS
Ключевой вывод
не просто рекордеры нажатий
инфостилеров

14.

12 | ЭВОЛЮЦИЯ
Современные методы маскировки
Полиморфный код
Бесфайловые атаки
выглядит по-разному
прямо в оперативную память
Преимущества для злоумышленников
Пример: HawkEye Reborn
каждые 24 часа
Невидимость
Исчезновение
Сложность
Как работает:
Технологии:
PowerShell
WMI
.NET in-memory

15.

ЗАКЛЮЧЕНИЕ
Выводы и рекомендации
Ключевые выводы
1
Проверьте систему
одной из самых опасных
2
3
Что делать прямо сейчас
многофункциональные инфостилеры
88% зараженных устройств
4
недостаточно
Включите MFA
Используйте менеджер паролей
крайне сложным
Обновите все ПО
Комплексный подход к защите
Регулярные обновления
MFA на всех аккаунтах
Мониторинг трафика
Обучение пользователей
Помните
Ваши данные ценны
Защищайте их соответствующим образом