基于监听网络的键盘记录器检测

Question

众所周知，恶意软件经常使用键盘记录器。另外，一些病毒没有被病毒检测到，因此有些病毒，特别是APT，可能在系统中停留这么长时间而不被检测到。我认为，如果我能找到键盘记录器的活动，我可以增加检测病毒的机会，甚至是APT (我真正的目标不是APT，而是病毒)。

我想要一个软件(或系统)，通过查看网络流量来发现可能的键盘记录器活动。有这样的软件吗？这个软件不需要实时工作，它可能是一个日常分析工具，甚至可能是一个事件响应工具。

Answer 1

键盘记录器可以通过多种方式发送它收集的数据：

• 通过电子邮件发送
• 加密并通过电子邮件发送
• 将文件上载到FTP/SFTP服务器
• 使用带有GET/POST加密参数的HTTP请求
• 使用其他协议发送数据:可以生成巧尽心思构建的DNS请求，从而在合法的DNS请求中隐藏前过滤的数据。它还可以使用包报头中的保留位来隐藏数据。
• 等

正如您所看到的，发送数据的可能性很大，而且某个工具能够检测到所有这些可能性的可能性相当低。这并不意味着使用这样的工具(如Snort)不会提高您的整体安全性水平。

如果您有一个特定的键盘记录器(您知道它是如何工作的)，那么可以创建Snort规则来完成任务。

Answer 2

所有类型的流量监控工具都是这样做的，事实上，大企业认为它对它们的安全至关重要--因为无论安全性有多强，入侵都会发生。

这些工具从开放源码的喷鼻 (世界上使用最广泛的IDS/IPS )到所有主要供应商的设备和系统。

您可能希望查找的搜索术语是暹粒 --它不仅包括试图发现攻击，还包括通过监视通信渠道等检测较长期的入侵。