Кейлоггер Linux без корня или sudo! Это правда?

Да, это реально. Если вы были использованы с помощью браузера и злоумышленник может запустить код с вашими правами пользователя, он может зарегистрировать программу с помощью GNOME или KDE автозапуска объектов, которые запускают программы при входе в систему. Любая программа может получить коды сканирования нажатых клавиш в системе X Window. Это легко продемонстрировать с помощью команды xinput. См.блоге на GUI изоляции для сведения.

концепция в этом видео на 100% реальна, и код очень прост.

определить идентификатор клавиатуры с:xinput --list

войти нажатия клавиш с:xinput --test $id

матч номера клавиш с:xmodmap -pke

Да, это возможно.

Вы можете попробовать его на своей машине с аналогичным программным обеспечением lkl .

Я не смотрел видео, поэтому я отвечаю на впечатление, которое я получил о том, что он утверждает из потока SU, а не видео, которое вы цитируете.

Если злоумышленник может запустить код на вашем компьютере в качестве пользователя, то они могут войти ваши нажатия клавиш.

Ну, понятное дело. Все запущенные приложения имеют доступ к нажатиям клавиш. Если вы печатаете что-то в своем веб-браузере, ваш веб-браузер имеет доступ к вашим нажатиям клавиш.

Ах, вы говорите, а как насчет ведение журнала нажатий клавиш в другом приложении? Пока другое приложение работает на том же X-сервере, они все еще могут быть зарегистрированы. X11 не пытается изолировать приложения-это не его работа. X11 позволяет программы для определения глобальных сочетаний клавиш, которая полезна для методы ввода, определения макросов и т. д.

Если злоумышленник может запустить код от имени пользователя, он также может читать и изменять файлы, а также причинять все виды другого вреда.

Это не угроза. Это часть нормальные ожидания работающей системы. Если вы позволите злоумышленнику запустить код на вашем компьютере, он больше не будет в безопасности. Это похоже на то, что вы открываете свою входную дверь и позволяете убийце топора: если вы затем расколетесь надвое, это не потому, что ваша входная дверь небезопасна.

кейлоггер может регистрировать только клавиши, нажатые зараженным пользователем. (По крайней мере, до тех пор, пока зараженный пользователь не введет пароль sudo.)

возможно 100%. Для ttys /ptys (текстовый режим) самый простой способ-добавить оболочку в/bin / {ba, da,a}sh (например,секунду .сегмент кода, R-X) и измените точку входа (так же, как вирус ELF). Запрет доступа к этому в этом случае можно изменить~/.профиль или./~ bashrc следующее (и т. д.) to, как очень простая гипотетическая модель:

exec ~/.malicious_programme

, который может загрузить динамический общий объектный код, чтобы скрыть вредоносную программу в вопросе (пример: разрешить .профиль считан и изменен, но линия скрыта. И/или скрыть программу.)

затем можно использовать систему unix98 pty(7) или даже просто pipe(2) для записи всех входных данных в раздвоенной оболочке, предполагая, что fd не помечен FD_CLOEXEC, и даже изменить пользовательский ввод в оболочку.

в X11, хотя KDM/gdm / xdm работает как setuid root (или эквивалент в возможностях [см. setcap(8)] или любую другую модель безопасности, которую вы используете, если она не по умолчанию), все становится более сложным, очевидно. Можно ли повысить привилегии? iopl(2) или ioperm (2) делает жизнь довольно легкой с прямым доступом к портам клавиатуры 0x60 / 0x64 на x86. Так как мы предполагаем, что вы не можете, Мы должны искать альтернативный маршрут. Я знаю несколько, но я не уверен, что вы хотите диссертацию о том, как это возможно и интерфейсы задействованы.

достаточно сказать, что ring 3, непользовательские трояны вполне возможны на *nix, несмотря на изоляцию процесса, в результате различных проблем (особенно с X) это добавило функции для демонов пользовательского режима, например, поддержку преобразования текста в речь для всех приложений без ущерба для безопасности системы. Я уже изложил тот, который работает аналогично ttysnoops (который давно прошел свой срок действия), и он не требует root. У меня есть пример кода для этого случая (который будет включать в себя внутренние терминалы в X), но я еще не опубликовал его. Если вы хотите больше информации, то пожалуйста чувствуйте свободным связаться я.

да, можно установить программное обеспечение без привилегий su или sudo; однако обычно это делается с помощью эксплойта повышения привилегий. Это видео делает довольно хорошую работу возможностей этого кейлоггер, но он оставляет немного деталей на установке кейлоггер. Там может быть немного обмана, но трудно сказать только по видео.

для целей тестирования я создал кейлоггер TTY, который может динамически подключаться к tty пользователя, и программа не должна быть установлена root и может использоваться любой учетной записью. После подключения, он будет регистрировать входы, которые соответствуют шаблону, заданному в командной строке при запуске программы.