键盘记录器.

键盘记录器会捕获键盘输入,将其本地存储或外泄给攻击者。软件型键盘记录器以用户态钩子(SetWindowsHookEx)、内核驱动或恶意浏览器扩展的形式运行;硬件型键盘记录器则串联在键盘与计算机之间,或隐藏在被改装的外设内部。攻击者借此收集凭据、手动输入的一次性密码(OTP)、银行数据、聊天信息以及知识产权,并将其作为标准模块集成进信息窃取器、银行木马和间谍工具套件,例如 Agent Tesla、HawkEye 和 Snake Keylogger。

键盘记录比个人电脑出现得更早。在冷战时期最精巧的行动之一中,苏联人于大约 1976 年至 1984 年间窃听了美国驻莫斯科大使馆的 IBM Selectric 打字机:藏在空心支撑杆中的磁强计感测印字"高尔夫球"字头的旋转与倾斜,然后将加密的击键数据通过无线电脉冲发送出去。NSA 的 GUNMAN 项目 最终在一名技术员发现电源开关里多出一个线圈后揭开了这些植入物的真相——这证明了捕获人们的输入根本无需任何软件。

防御措施包括具备行为监控的 EDR、基于硬件密钥(FIDO2/WebAuthn)的抗钓鱼 MFA(使被窃取的密码失去价值)、操作系统的凭据输入保护、对工作站连线的物理检查,以及禁用未使用的 USB 端口。

flowchart LR
  K[用户按下按键] --> C[键盘记录器捕获输入]
  C --> S[软件钩子或驱动]
  C --> H[硬件串联设备]
  S --> E[编码并缓存]
  H --> E
  E --> X[外泄至攻击者 C2]
  X --> U[凭据或数据窃取]