Linux keylogger без root або sudo! Це реально?

Хтось із Youtube стверджує, що в Ubuntu є кейлоггер, який не був виконаний і не встановлений як root. Посилання нижче показує демонстрацію його роботи.

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

Незважаючи на те, що вони стверджують протилежне, ця людина могла встановити його як корінь перед тим, як продемонструвати відео. Чи є інші напівдостовірні докази того, що це дійсно можливо без кореня для встановлення чи виконання?

ОНОВЛЕННЯ: Програмне забезпечення, на яке посилається у відповіді 24 червня, не встановлюється без sudo / root. Я додав щедрості тому, хто надає посилання на працююче програмне забезпечення Keylogger для Linux, яке можна встановити та запустити із звичайними привілеями користувача.

Так, це реально. Якщо ви використовувались через браузер, а зловмисник може запускати код з правами користувача, він може зареєструвати програму через засоби GNOME або KDE для автозапуску, які запускають програми під час входу. Будь-яка програма може отримати коди сканування натиснутих клавіш у X Window System. Це легко демонструється командою xinput. Детальніше див. У блозі про ізоляцію GUI .

Концепція цього відео є 100% реальною, і код дуже простий.

Ідентифікуйте свій ідентифікатор клавіатури за допомогою: xinput --list

Увійти натискання клавіш за допомогою: xinput --test $id

Зіставте числа до клавіш із: xmodmap -pke

Так, це можливо.
Ви можете спробувати його на власній машині з подібним програмним забезпеченням lkl .

Я ще не переглянув це відео, тому відповідаю на враження, які я отримав про те, що він стверджує з теми SU, а не про відео, яке ви цитуєте.

Якщо зловмисник може запустити код на вашій машині як ваш користувач, він може записати ваші натискання клавіш.

Ну, да. Усі запущені програми мають доступ до натискання клавіш. Якщо ви вводите речі у своєму веб-браузері, ваш веб-браузер має доступ до ваших натискань клавіш.

Ах, ви кажете, а як же реєструвати натискання клавіш в іншій програмі? Поки інша програма працює на тому ж X-сервері, вони все ще можуть бути зареєстровані. X11 не намагається ізолювати додатки - це не його робота. X11 дозволяє програмам визначати глобальні ярлики, що корисно для методів введення, визначати макроси тощо.

Якщо зловмисник може запустити код як ваш користувач, він також може читати та змінювати ваші файли та заподіювати всі інші види шкоди.

Це не загроза. Це частина нормальних очікувань робочої системи. Якщо ви дозволите зловмиснику запускати код на вашій машині, його машина вже не безпечна. Це так, як якщо ви відкриєте вхідні двері і дозволите вбивці сокири в себе: якщо потім вас розщеплять над двома, це не тому, що ваші вхідні двері не захищені.

Кейлоггер може лише клавіші журналу, натиснуті зараженим користувачем. (Принаймні, поки заражений користувач не введе пароль sudo.)

Це на 100% можливо. Для ttys / ptys (текстовий режим) найпростіший спосіб - додати shim до / bin / {ba, da, a} sh (наприклад, другий сегмент коду, RX) та змінити точку входу (як ELF) вірус би). Якщо заборонити доступ до цього в цьому випадку, ви можете змінити ~ / .profile або ~ / .bashrc (тощо) як дуже просту гіпотетичну модель:

exec ~ / .malicious_programme

який може завантажувати динамічний спільний код об'єкта, щоб приховати відповідну шкідливу програму (приклад: дозволяти .profile читати та змінювати, але приховувати рядок. та / або приховувати програму.)

Тоді можна використовувати систему UNIX98 pty (7) або навіть просто трубу (2) для запису всього входу у роздвоєну оболонку, якщо припустимо, що fd не позначений FD_CLOEXEC, і навіть змінити вхід користувача в оболонку.

У X11, хоча kdm / gdm / xdm працює як встановлений корінь (або еквівалент у можливостях [див. Setcap (8)] або будь-яку модель безпеки, яку ви використовуєте, якщо це не за замовчуванням), все стає складніше, очевидно. Якщо можна підвищити пільги? iopl (2) або ioperm (2) робить життя досить легким за допомогою прямого доступу до портів клавіатури 0x60 / 0x64 на x86. Оскільки ми припускаємо, що ви не можете, ми повинні шукати альтернативний маршрут. Мені відомо декілька, але я не зовсім впевнений, що ви хочете отримати дисертацію про те, як це можливо, та пов'язані інтерфейси.

Досить сказати, кільце 3, не надруковані трояни цілком можливі на * nix, незважаючи на ізоляцію процесу, внаслідок різних питань (особливо з X), що додає функції для демонів в режимі користувача для надання, наприклад, тексту -промова в мовленні для всіх додатків без шкоди для безпеки системи. Я вже окреслив той, який працює аналогічно ttysnoops (який давно минув його термін придатності), і він не потребує root. У мене є зразок коду для цього випадку (який би включав внутрішні термінали в X), але я ще не опублікував його. Якщо ви хочете отримати більше інформації, будь ласка, не соромтесь зв’язатися зі мною.

Так, можна встановити програмне забезпечення без привілеїв su або sudo; однак це, як правило, робиться за рахунок використання ескалації привілеїв. Це відео робить досить непогану роботу можливостей цього кейлоггера, але він залишає трохи деталей щодо установки кейлоггера. Тут може бути трохи хитрощів, але важко сказати лише з відео.

З метою тестування я створив TTY кейлоггер, який може динамічно приєднуватися до користувача tty, і програма не потребує встановлення root та може використовуватися будь-яким обліковим записом. Після приєднання він записуватиме вхідні дані, що відповідають шаблону, наведеному в командному рядку при запуску програми.

Це можливо для таких систем, як Crunchbang (дистрибутив на основі Debian), просто додайте дозволи до файлу судорів за допомогою нановізудо в терміналі та додайте кейлоггер для автозапуску, як логіки для Linux, наприклад logkeys --start --output /home/user/.secret / журнал

Удачі