rootまたはsudoなしのLinuxキーロガー!本当ですか?


29

Youtubeの誰かが、ルートとして実行もインストールもされていないUbuntuにキーロガーを持っていると主張しています。以下のリンクは、動作のデモを示しています。

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

反対の主張にもかかわらず、この人は、ビデオのデモを行う前にルートとしてインストールすることができました。これがインストールまたは実行のルートなしで本当に可能であるという他の半信頼できる証拠はありますか?

更新:6月24日の回答で参照されたソフトウェアは、sudo / rootなしではインストールされません。通常のユーザー特権でインストールして実行できる、動作するLinuxキーロガーソフトウェアへのリンクを提供する人には、賞金を追加しました。


これはXレベルで簡単に行えると思います。グローバルショートカットのあるプログラムについて考えてください。
デニスニコラエンコ

Xウィンドウシステムのキーロガーを防ぐには、XにSELinuxを実装する必要があります。私の知る限り、広く普及しているLinuxディストリビューションはすぐにそれを行いません。nsa.gov/research/_files/selinux/papers/x11/t1.shtml
デニスニコラエンコ

実際の作業例を知っていますか?それが実際に動作するのを見ることなく、私は懐疑的です。また、キーロガーがsudo / root権限なしでインストールされる可能性があることを知らずに、それに対して防御するためにAppArmorまたはSELinuxをセットアップする複雑さに対処することは価値がありません。
マイクロウェーブ


3
ビデオの重要なポイントを回答に要約してください。削除されるか、サーバーが使用できなくなる可能性があります。(はい、私が投稿しているように、YouTubeはダウンしています。)また、あなたの質問が何であるかを理解するために訪問者にビデオを見ることを要求するのはむしろ失礼です。
ジル「SO-悪であるのをやめる」

回答:


29

はい、それは本物です。ブラウザ経由で悪用され、攻撃者がユーザー特権でコードを実行できる場合、ログイン時にプログラムを実行するGNOMEまたはKDE自動起動機能を介してプログラムを登録できます。どのプログラムでも、X Window Systemで押されたキーのスキャンコードを取得できます。それはxinputコマンドで簡単に実演できます。詳細については、GUI分離に関するブログ投稿を参照してください。


12

そのビデオのコンセプトは100%リアルで、コードは非常にシンプルです。

キーボードIDを識別するには: xinput --list

以下を使用してキーストロークを記録します。 xinput --test $id

数字とキーを一致させる: xmodmap -pke


11

はい、可能です。
同様のソフトウェアlklを使用して、自分のマシンで試すことができます。


本物だと怖い。それをテストする仮想マシンをセットアップします。しかし、次のパズルは、ブラウザのエクスプロイトなどを介して何らかの形で自身をインストールする場合、またはそれが実行された場合にインターネットに何かを送信することを少なくとも積極的にブロックする方法を即座に検出する方法です。
マイクロウェーブ

この分野の知識はほとんどありませんが、wiki.ubuntu.com / SELinuxが役立つかもしれません。元の質問を調査結果で自由に更新してください。:D
bbaja42

1
ビデオだけでは、デマを言うのは難しい、本物、またはそれよりも少ないようです。巨大な脆弱性(suidトリック、sudoタイムアウト、粗悪なシステムツールなど、悪心)を示すことを想定してビデオを作成したい場合は、開始する場所を既に考えています。ばかです。しかし、YouTubeのビデオに基づいて結論を出すことはできません。
アンドリューランバート

@Amazedの有効なポイントですが、お気軽にlklをインストールして自分のマシンでテストしてください。
bbaja42

1
うまくいきませんでした。実行中make installにエラーが発生しました cannot create regular file '/usr/local/bin/lkl': Permission denied。実行sudo make installしてもエラーは発生しませんでしたが、実際にlklを実行しようとすると別のエラーが発生しましたHave to be root to perform a iopl()!
マイクロウェーブ

9

私はビデオを見ていませんので、引用したビデオではなく、SUスレッドから主張する内容について得た印象に対応しています。

攻撃者がユーザーとしてマシン上でコードを実行できる場合、攻撃者はキーの押下を記録できます。

まあ、まあ。実行中のすべてのアプリケーションは、キーを押してアクセスできます。Webブラウザーで入力している場合、Webブラウザーはキーを押します。

ああ、あなたは言いますが、別のアプリケーションでキーの押下を記録するのはどうですか?他のアプリケーションが同じXサーバーで実行されている限り、それらは引き続きログに記録できます。X11はアプリケーションを分離しようとはしません—それは仕事ではありません。X11では、プログラムでグローバルショートカットを定義できます。これは、入力メソッド、マクロなどを定義するのに便利です。

攻撃者がユーザーとしてコードを実行できる場合、ファイルを読み取ったり変更したりして、他のあらゆる種類の害を引き起こすこともできます。

これは脅威ではありません。これは、稼働中のシステムの通常の期待の一部です。攻撃者がマシンでコードを実行できるようにすると、マシンは安全ではなくなります。玄関のドアを開けて、x殺人者を入れてしまうようなものです。もし、2つに割られてしまうのは、玄関が安全でないからではありません。

キーロガーは、感染したユーザーが押したキーのみをログに記録できます。(少なくとも、感染したユーザーがsudoパスワードを入力しない限り。)


法律#1を参照してください。
イッツィ

「攻撃者がマシンでコードを実行できないようにする」ことは素晴らしいセキュリティモデルです... LinuxユーザーがWindowsを使用すると、Windowsは完全に安全になります(「攻撃者にコードの実行を許可しない」) ...
GBR

3

100%可能です。ttys / ptys(テキストモード)の場合、最も簡単な方法は、/ bin / {ba、da、a} sh(たとえば、2番目の.codeセグメント、RX)にシムを追加し、エントリポイント(ELFなど)を変更することですウイルスが)。この場合のアクセスを禁止すると、非常に単純な仮想モデルとして〜/ .profileまたは〜/ .bashrc(など)を変更できます。

exec〜/ .malicious_programme

動的共有オブジェクトコードを読み込んで、問題の悪意のあるプログラムを非表示にする場合があります(例:.profileの読み取りと変更を許可しますが、行を非表示にします。プログラムを非表示にします。)

次に、fdにFD_CLOEXECのマークが付いていないと仮定して、UNIX98のpty(7)システムまたは単純にpipe(2)を使用して、フォークされたシェルにすべての入力を記録します。

X11では、kdm / gdm / xdmはsetuid root(または同等の機能[setcap(8)を参照])またはデフォルト以外の場合に使用しているセキュリティモデルとして実行されますが、明らかに複雑になります。特権を昇格できる場合は?iopl(2)またはioperm(2)は、x86の0x60 / 0x64キーボードポートに直接アクセスできるため、非常に簡単です。できないと想定しているため、別のルートを探す必要があります。私はいくつか知っていますが、それがどのように可能であり、関連するインターフェースに関する論文が必要なのか、完全にはわかりません。

言うまでもなく、リング3、非スーパーユーザーのトロイの木馬は、ユーザーモードデーモンがテキストなどを提供するための機能を追加したさまざまな問題(特にX)の結果として、* nixではかなり可能です。 -システムのセキュリティを損なうことなく、すべてのアプリの音声読み上げをサポートします。すでにttysnoops(有効期限を過ぎている)と同様に機能するものの概要を説明しましたが、rootは不要です。この場合のサンプルコード(Xの内部端末を含む)がありますが、まだ公開していません。詳細については、お気軽にお問い合わせください。


質問は「rootまたはsudoなし」と言います。攻撃者は/bin特権なしでプログラムをどのように変更しますか?
G-マンは「元に戻すモニカ言う

0

はい、suまたはsudo権限なしでソフトウェアをインストールできます。ただし、これは通常、権限昇格の悪用によって行われます。そのビデオは、そのキーロガーの機能についてはかなり良い仕事をしていますが、キーロガーのインストールに関する詳細は少し省いています。ここには少し巧妙なものがあるかもしれませんが、ビデオだけではわかりません。


あなたは言葉をひねっています。またはを実行 せずにシステムディレクトリにソフトウェアをインストールすることも可能ですが、特権昇格の悪用により、攻撃者にroot特権(別名「スーパーユーザー」または「su」特権)が与えられます。susudo
G-Manは「Reinstate Monica」と言います

0

テスト目的で、ユーザーのttyに動的にアタッチできるTTYキーロガーを作成しました。プログラムはrootでインストールする必要がなく、どのアカウントでも使用できます。接続すると、プログラムの起動時にコマンドラインで指定されたパターンに一致する入力を記録します。


-3

Crunchbang(Debianベースのディストリビューション)などのシステムでは、端末でnano visudoを使用してsudoersファイルにアクセス許可を追加し、 logloggers --start --output /home/user/.secretなどのLinuxのログキーのような自動起動にキーロガーを追加するだけで可能です/ログ

がんばろう


5
sudoersファイルを編集するには、rootまたはsudo特権が必要です。
マイクロウェーブ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.