Screenlogger funktionieren ähnlich wie Keylogger, nur dass keine Tastatureingaben aufgezeichnet werden, sondern Monitorsignale gespeichert werden. Sie werden auch als Frame- oder Videograbber bezeichnet. Diese Geräte sind typischerweise in Form eines Verlängerungskabels mit einem größeren Stecker aufgebaut.
Bei diesem Angriffsszenario muss der Angreifer allerdings wieder physisch vor Ort sein. Wird ein derartiger Adapter versteckt unter dem Tisch angebracht und später wieder abgeholt, kann somit unbemerkt die Monitorausgabe ausspioniert werden.
Beispielgerät
Das am häufigsten verkaufte Produkt heißt VideoGhost. Da für jede Anschlussart ein eigener Adapter benötigt wird, ist er jeweils für VGA, DVI und HDMI verfügbar. Es handelt sich bei VideoGhost um ein Hardwaregerät, das Screenshots aufzeichnet und als Bilddateien auf dem internen Speicher speichert. Die Stromversorgung erfolgt über einen zusätzlichen USB-Anschluss, der direkt an den Rechner angeschlossen werden kann. Die integrierte Batterie ermöglicht Datums- und Zeitstempel. Die Elektronik befindet sich im größeren Ende mit der Buchse.
In diesem Beispiel hier wird die Variante mit einem HDMI-Stecker verwendet. Das vorhandene HDMI-Kabel wird ausgesteckt und dafür der VideoGhost Adapter eingesteckt. Zusätzlich wird das USB-Kabel am Rechner für die Stromversorgung angeschlossen. Auf der anderen Seite wird das bisherige HDMI-Kabel in die HDMI-Buchse gesteckt. Wird nun der Rechner angeschaltet, wird alle zehn Sekunden ein Screenshot erzeugt und auf dem integrierten Speicher des Screenloggers gespeichert.
Um die Aufnahmen anzusehen, muss am größeren Ende mit der HDMI-Buchse der kleine blaue Taster kurz gedrückt werden. Daraufhin wird die Übertragung des HDMI-Signals beendet und der VideoGhost Adapter verhält sich über den USB-Anschluss wie ein USB-Speicherstick. Der Video-Logger erscheint als Wechsellaufwerk mit aufgenommenen Screenshots als JPG-Dateien. Dort ist auch die Konfigurationsdatei zu finden, über diese kann das Zeitintervall für die Screenshots konfiguriert werden.
WiFi Variante
Eine weitere Variante eines Screenloggers ist der HDMI Screen Crab des Anbieters Hak5. Er hat eine ähnliche Funktionsweise wie der VideoGhost Adapter, verfügt allerdings als Speicher über eine MicroSD-Speicherkarte und eine zusätzliche WiFi-Funktion. Neben Fotos können auch Videos aufgezeichnet werden. Besteht per WiFi eine Verbindung mit dem Internet, kann das HDMI-Signal live auf einen entfernten Rechner bzw. in die Cloud gestreamt werden.
Gegenmaßnahmen
Eine einfache Gegenmaßnahme ist bei Screenloggern schwierig zu realisieren, da sie nicht als weiteres Gerät erkannt werden und daher auch keine Software oder Treiber benötigt werden. Der Vorteil ist allerdings, dass zumindest das hier vorgestellte Beispielgerät über keinen Passwortschutz verfügt. Dadurch kann nach der Entdeckung die Informationen ausgelesen werden und abgeschätzt werden, seit wann der Adapter angeschlossen ist.
Als effektive Abwehrmaßnahme sind hier ebenfalls bauliche Maßnahmen als Schutz zu empfehlen. Der Rechner ist dann so zu verbauen (z.B. in einem abschließbaren Fach im Schreibtisch), dass ein Anschluss eines Screen Loggers nicht mehr möglich ist.
Logger Artikelserie
Dieser Artikel ist Teil der Artikelserie „Logger als Angriffstools“, die dem Themenschwerpunkt Hacking Hardware angehört. In dieser Artikelserie beschreibe ich verschiedene Arten von Loggern, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können.
- Tastaturüberwachung per Keylogger
- EvilCrow-Keylogger – Programmierbares Tool
- Heimliche Screenshots per Screenlogger
- WLAN Screenlogger Screen Crab
- 12.11.2024 (Workshop) Hacking- und Pentest-Hardware Workshop, scheible.it, Böblingen (weitere Infos)