新时代-键盘记录器
1. 前言
在网络安全领域,攻击者不断寻找新的方法来获取敏感信息,绕过防御系统并渗透目标网络。在红队操作中,键盘记录(Keylogging)和剪切板记录(Clipboard Logging)是两种常用且高效的技术手段。通过捕获用户的键盘输入和剪切板内容,红队能够获取大量宝贵的信息,从而推进其渗透测试和攻击活动。
1.1 为什么说他是新时代的?
之前的所有键盘记录都是一次运行监控全部程序,导致数据监控的不是很直观,因为也有一些其他的键盘输入。这也导致系统占用较大。
这个工具,是可以指定某个进程单独的去监控用户的输入,这样就筛选掉了大量的垃圾内容,只留下我们想要的。 那么问题来了,只监控一个是否会有一点单一?比如我们要监控 keeppass 和 浏览器,两个,是否要进行两次?不是的,他不仅能够在单一进程中监控GUI事件,还能在不同进程之间进行监控。这意味着它可以同时对多个应用程序的界面进行操作捕捉,扩大了监控的范围。 这就比较厉害了!具体我们往下看
2. 什么是键盘记录?
键盘记录器是一种监控并记录计算机上键盘输入的软件。虽然它们可用于合法的用户监视,但常被恶意行为者滥用,用于窃取敏感信息,如身份验证凭据、信用卡详细信息及其他机密数据。本文重点介绍软件键盘记录器,尽管也存在通过USB直接连接到PC的硬件键盘记录器。通过键盘记录器窃取的敏感信息可能用于盗窃资金或作为进一步网络攻击的跳板。因此,尽管键盘记录器本身不会直接损坏计算机,但早期检测对于防止后续更具侵入性的网络攻击至关重要。
3. 键盘记录的作用?
- 获取凭证和敏感信息:记录目标用户的键盘输入,获取用户名、密码和其他敏感数据。
- 定制攻击策略:分析用户操作模式,帮助设计针对性更强的钓鱼和社会工程攻击。
- 支持横向移动和权限提升:利用记录到的凭证进行系统内部横向移动和提升权限。
- 持久性访问:确保长期对目标系统的访问,收集信息和跟踪活动而不被发现。
4. 工具原理
4.1 利用UIA框架监控GUI变化
UIA基础:Windows UIA是一个允许程序与Windows图形元素交互的框架。此工具通过研究和利用UIA,能够对各种Windows应用程序的图形用户界面(GUI)进行监控。
事件处理:程序中定义了两个主要的事件处理函数。
MyAutomationEventHandler:用于处理UIA的基本事件,例如新窗口的打开等;MyPropertyChangedEventHandler:则用于处理属性改变事件,比如文本框中内容的输入、修改等。这两个处理函数能够捕捉到用户在GUI上进行的各种操作和数据输入,从而实现对用户行为的监控。
5. 工具特点
跨进程和域的监控能力:此工具不仅能够在单一进程中监控GUI事件,还能在不同进程之间进行监控。这意味着它可以同时对多个应用程序的界面进行操作捕捉,扩大了监控的范围。
浏览器域监控:程序甚至能够在浏览器的不同域中添加处理函数,进一步拓展了其监控能力。例如在使用浏览器时,无论用户访问的是哪个网站或网页应用,此工具都有可能对其进行界面事件的监控。
6. 使用示例
说了那么多,我们现在来体验一下这个工具所能达到的效果:
6.1 监控整个系统 【建议不要使用】
为什么不建议使用呢?
这样资源占用较大,文件内容也过大,如果想使用这一种,使用老版的就行
1 | Spyndicapped.exe spy |
他会将剪切板和用户的输入都记录下来
6.2 监控某个特定进程 【推荐】
- 查看现在已经开启的进程
1 | Spyndicapped.exe find |
- 指定进程进行监控,并生成文件 我这边监控微信的输入,并且生成123.log
1 | Spyndicapped.exe spy --pid 16896 --logfile 123.log |
我们看到已经成功记录
7. 总结
此工具的出现,其实对于HW的红队来说,意义不大,因为HW是对于时间的要求极高,其他的都可以排后,所以什么简单使用什么就可以了。但是对于APT组织来说……可以有很多的思考空间!
8. 工具下载地址
Github:https://github.com/CICADA8-Research/Spyndicapped
或者夸克网盘:
链接:https://pan.quark.cn/s/0a414077c29f
About this Post
This post is written by 杨CC, licensed under CC BY-NC 4.0.