Linux keylogger tanpa root atau sudo! Apakah ini nyata?

Seseorang di Youtube mengklaim memiliki keylogger di Ubuntu yang tidak dieksekusi atau diinstal sebagai root. Tautan di bawah ini menunjukkan demo berfungsi.

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

Meskipun mereka mengklaim sebaliknya, orang ini bisa menginstalnya sebagai root sebelum menunjukkan untuk video. Apakah ada bukti semi-kredibel lain bahwa ini benar-benar mungkin tanpa root untuk instalasi atau eksekusi?

UPDATE: Perangkat lunak yang dirujuk dalam jawaban 24 Juni tidak akan menginstal tanpa sudo / root. Saya telah menambahkan hadiah kepada siapa pun yang memberikan tautan ke perangkat lunak keylogger Linux yang berfungsi yang dapat diinstal dan dijalankan dengan hak pengguna biasa.

Ya itu nyata. Jika Anda telah dieksploitasi melalui browser dan penyerang dapat menjalankan kode dengan hak istimewa pengguna Anda, ia dapat mendaftarkan program melalui fasilitas autostart GNOME atau KDE yang menjalankan program saat login. Program apa pun bisa mendapatkan kode pindaian dari tombol yang ditekan di Sistem X Window. Itu mudah ditunjukkan dengan perintah xinput. Lihat posting blog pada isolasi GUI untuk detailnya.

Konsep dalam video itu adalah 100% nyata dan kodenya sangat sederhana.

Identifikasi id keyboard Anda dengan: xinput --list

Log penekanan tombol dengan: xinput --test $id

Cocokkan angka dengan kunci dengan: xmodmap -pke

Ya itu mungkin.
Anda dapat mencobanya di komputer Anda sendiri dengan lkl perangkat lunak serupa .

Saya belum menonton video, jadi saya merespons kesan yang saya dapatkan tentang apa yang diklaimnya dari utas SU daripada video yang Anda kutip.

Jika penyerang dapat menjalankan kode pada mesin Anda sebagai pengguna Anda, maka mereka dapat mencatat penekanan tombol Anda.

Ya, benar. Semua aplikasi yang Anda jalankan memiliki akses ke penekanan tombol Anda. Jika Anda mengetikkan sesuatu di browser web Anda, browser web Anda memiliki akses ke penekanan tombol Anda.

Ah, katamu, tapi bagaimana dengan mencatat penekanan tombol di aplikasi lain? Selama aplikasi lain berjalan di server X yang sama, mereka masih bisa login. X11 tidak berusaha mengisolasi aplikasi - itu bukan tugasnya. X11 memungkinkan program untuk menentukan pintasan global, yang berguna untuk metode input, untuk mendefinisikan makro, dll.

Jika penyerang dapat menjalankan kode sebagai pengguna Anda, ia juga dapat membaca dan memodifikasi file Anda, dan menyebabkan semua jenis kerusakan lainnya.

Ini bukan ancaman. Itu bagian dari ekspektasi normal suatu sistem kerja. Jika Anda mengizinkan penyerang menjalankan kode pada mesin Anda, mesin Anda tidak aman lagi. Ini seperti jika Anda membuka pintu depan dan membiarkan pembunuh kapak masuk: jika Anda terbelah menjadi dua, itu bukan karena pintu depan Anda tidak aman.

Keylogger hanya dapat mencatat kunci yang ditekan oleh pengguna yang terinfeksi. (Setidaknya selama pengguna yang terinfeksi tidak mengetikkan kata sandi sudo.)

Itu 100% mungkin. Untuk ttys / ptys (mode teks), cara termudah adalah menambahkan shim ke / bin / {ba, da, a} sh (misalnya, segmen .code kedua, RX) dan mengubah titik masuk (seperti ELF virus akan). Kecuali akses ke hal itu dalam hal ini, seseorang dapat memodifikasi ~ / .profile atau ~ / .bashrc (dll.), Sebagai model hipotetis yang sangat sederhana:

exec ~ / .malicious_programme

yang dapat memuat kode objek bersama dinamis untuk menyembunyikan program jahat yang dimaksud (contoh: izinkan. profil dibaca dan dimodifikasi, tetapi sembunyikan barisnya. Dan / atau sembunyikan program.)

Seseorang kemudian dapat menggunakan sistem UNIX98 pty (7) atau bahkan hanya pipa (2) untuk merekam semua input dalam shell bercabang, dengan anggapan fd tidak ditandai FD_CLOEXEC, dan bahkan mengubah input pengguna ke shell.

Di X11, meskipun kdm / gdm / xdm dijalankan sebagai setuid root (atau kemampuan yang setara [lihat setcap (8)] atau model keamanan apa pun yang Anda gunakan jika tidak default), semuanya menjadi lebih rumit, jelas. Jika seseorang dapat meningkatkan hak istimewa? iopl (2) atau ioperm (2) membuat hidup lebih mudah dengan akses langsung ke port keyboard 0x60 / 0x64 pada x86. Karena kami menganggap Anda tidak bisa, kami harus mencari rute alternatif. Saya tahu beberapa, tapi saya tidak sepenuhnya yakin Anda ingin disertasi tentang bagaimana hal itu mungkin dan antarmuka yang terlibat.

Cukuplah untuk mengatakan, dering 3, trojan non-superuser sangat mungkin di * nix, terlepas dari proses isolasi, sebagai akibat dari berbagai masalah (terutama dengan X) yang telah menambahkan fitur untuk daemon mode pengguna untuk menyediakan, misalnya, teks -untuk-pidato dukungan untuk semua aplikasi tanpa kompromi keamanan sistem. Saya sudah menguraikan satu yang bekerja secara analog dengan ttysnoops (yang sudah lama melewati tanggal kedaluwarsanya), dan tidak memerlukan root. Saya memiliki kode sampel untuk kasus ini (yang akan mencakup terminal di dalam X), tetapi saya belum mempublikasikannya. Jika Anda ingin informasi lebih lanjut, silakan hubungi saya.

Ya, dimungkinkan untuk menginstal perangkat lunak tanpa hak su atau sudo; Namun, ini biasanya dilakukan melalui eksploitasi eskalasi hak istimewa. Video itu melakukan pekerjaan yang cukup baik dari kemampuan keylogger itu, tetapi meninggalkan sedikit detail pada instalasi keylogger. Mungkin ada sedikit tipu daya di sini, tetapi sulit untuk mengatakannya dari video itu sendiri.

Untuk tujuan pengujian, saya membuat keylogger TTY yang secara dinamis dapat melampirkan tty pengguna dan program tidak perlu diinstal oleh root dan dapat digunakan oleh akun apa pun. Setelah terpasang, itu akan mencatat input yang cocok dengan pola yang diberikan pada baris perintah ketika program dimulai.

Apakah mungkin dengan sistem seperti Crunchbang (distro berbasis Debian) cukup tambahkan izin ke file sudoers dengan menggunakan nano visudo di terminal dan tambahkan keylogger ke autostart seperti logkeys untuk Linux misalnya logkeys --mulai --output /home/user/.secret / log

Semoga berhasil