In questo video vedremo come funziona il keylogger pro AirDrive forensic.
Tra le sue funzioni principali abbiamo:
- la possibilità di connetterlo alla rete di casa.
- Ha un’interfaccia web di gestione
- Può Inviare i log in tempo reale ad un secondo computer in ascolto tramite un client UDP
- Potrebbe inviare i log tramite mail, ma non funziona.
- Potete fare i download dei log in remoto dall’interfaccia web.
Download dei manuali Keylogger
Come vedete le sue dimensioni sono molto ridotte e si inserisce tra la tastiera e la presa USB del computer.
Il modello esatto di questo dispositivi, da come possiamo vedere sulla confezione, è AirDrive Forensic Keylogger Pro.
Con il dispositivo abbiamo anche alcuni fogli di documentazione in inglese.
vai al minuto 0:00:30
Qui, per esempio, vengono riportate le caratteristiche principali del keylogger.
1. È un dispositivo che potete connettere alla vostra rete wifi
2. Potete abilitare la registrazione la data e l’ora in cui avviene la cattura dei log.
3. Inviare i log per posta e per ultimo Inviare i log in tempo reale ad un secondo computer.
vai al minuto 0:00:52
Però vi dico già che l’invio delle mail non funziona, vi farò vedere anche le prove che ho fatto.
All’interno ci sono le istruzioni per la prima configurazione.
Nella descrizione vi lascio il link per scaricare il manuale utente in cui potete trovare più informazioni.
vai al minuto 0:01:13
Qui vi spiega anche come collegare il keylogger nel caso volgiate utilizzare un hub USB.
Quasi in fondo al manuale avete la lista di come vengono registrati i caratteri speciali.
Ma ora vediamo come funziona questo keylogger.
vai al minuto 0:01:31
Dopo che avete collegato il dispositivo, dovreste vedere, tra le reti disponibili, un SSID che
inizia con la parola AIR seguito da un codice univoco.
Questa è una rete aperte, per cui dovete solo premere il tasto connetti.
vai al minuto 0:01:46
Questa rete funziona da access point WiFi ed è in grado di assegnare anche gli indirizzi IP ai dispositivi.
Se eseguite il comando ipcofig, potete vedere che il dispositivo ha assegnato al PC l’indirizzo 4.2 finale e come gateway il 4.1 finale.
L’indirizzo 4.1 è quello di default del keylogger, ma questo indirizzo lo trovate anche nelle istruzioni di installazione.
vai al minuto 0:02:14
Con questo abbiamo verificato che il PC si è connesso correttamente ed ha tutti i parametri per comunicare con il dispositivo.
Non ci resta che aprire il browser e digitare l’indirizzo del keylogger.
Nella homepage ci viene già mostrato il log della tastiera.
vai al minuto 0:02:31
Come vedete è suddiviso in pagine, con i links qui sotto possiamo scorrere tutte le pagine disponibili.
Con i link Download ci mostra la schermata in cui possiamo selezionare le pagine che vogliamo scaricare ed in fine possiamo fare il download del file di log.
vai al minuto 0:02:45
Quello che viene scaricato è un semplicissimo file testo e se lo apriamo, possiamo vedere che il contenuto corrisponde a quello che abbiamo visto nella homepage.
Ora andiamo a vedere alcune impostazioni del dispositivo.
La prima cosa che possiamo configurare è l’access point.
vai al minuto 0:03:03
Potete cambiare il nome dell’SSID.
É consigliabile impostare una sicurezza per la rete invece di lasciarla aperta.
L’ultima opzione vi consente di nascondere il nome della rete.
Fate attenzione con questa impostazione, perché se non vi ricordate il nome SSID non riuscirete più a connettervi al dispositivo, per cui segnatevi da qualche parte il nome dell’Access point.
vai al minuto 0:03:28
Il keylogger non ha un pulsante di reset che vi permette di ripristinare le impostazioni di fabbrica.
Abbiamo anche le impostazioni del key logging.
Potete scegliere quali caratteri speciali registrare, selezionate il layout della tastiera corretto.
Il livello del filtro è impostato su un valore medio.
vai al minuto 0:03:48
Se vedete che alcuni caratteri non vengono registrati, provate ad abbassare il valore.
Aumentate il filtro se, invece, vengono registrate informazioni che non riguardano l’input della tastiera.
L’ultima opzione, che permette di passare da keylogger a flash driver è disabilitata, probabilmente non funziona su questo modello.
vai al minuto 0:04:07
Le impostazioni WiFi Device, ci permettono di collegare il dispositivo alla nostra rete WiFi di casa.
Abilitiamo la funzione e inseriamo le impostazioni della rete di casa (nome rete e password).
Dopo che salviamo le impostazioni, il dispositivo sarà raggiungibile tramite un indirizzo assegnato dal nostro router.
vai al minuto 0:04:27
Per sapere qual è l’indirizzo che ha preso, andiamo a controllare la lista dei client DHCP sul router.
Se il dispositivo non compare in questa lista, posso comunque dedurre, dall’indirizzo assegnato
allo smartphone che abbia preso un indirizzo successivo a quello del telefono, il 152 finale.
vai al minuto 0:04:47
Come vedete ora risponde sul 1.152 finale, che è un indirizzo della mia rete wifi di casa.
Nonostante il keylogger sia collegato come client, non ha smesso di funzionare anche come access point.
Se controlliamo la lista delle reti disponibili, possiamo vedere che è ancora presente l’SSID del dispositivo.
vai al minuto 0:05:08
A questo punto possiamo anche nascondere il nome della rete, andando ad attivare la funzione Access Point nascosto.
La cosa importare è memorizzare il nome della rete, e la password se non lasciate la rete aperta.
Ora la rete viene vista come rete nascosta.
Purtroppo non è possibile disabilitare l’access point.
vai al minuto 0:05:31
Per connettevi alla rete dovrete conoscere in nome SSID anche se non è stata impostata una password.
Se eseguite la connessione all’access point del dispositivo, potrete raggiungerlo nuovamente al suo indirizzo IP di default 4.1 finale.
Questo è utile nel caso in cui il dispositivo non riesce più a connettersi alla vostra rete di casa.
vai al minuto 0:05:57
Ora vedremo il data streaming.
Andremo a monitorare quello che viene digitato su un computer remoto con indirizzo 180 finale.
Di default questa funzione è disabilitata.
Il target Host è il computer a cui inviare lo streaming, cioè questo computer.
vai al minuto 0:06:15
La target port la trovate già impostata, ma potete anche cambiarla.
Per ricevere lo streaming abbiamo bisogno di un client UDP.
Lo potete scaricare direttamente dall’interfaccia di gestione tramite il link client di esempio
che trovate nelle note importanti.
vai al minuto 0:06:36
Un tools molto utile per verificare le porte aperte sul pc, è TCPview.
Dal sito di Microsoft potrete scaricare l’ultima versione.
Con questo tool vi mostro cosa succede quando utilizziamo il client per lo streaming.
Per prima cosa avvio TCPview.
vai al minuto 0:06:54
Questo programma vi mostra tutte le porte aperte sul PC e quando se ne aprono di nuove vengono evidenziate da una banda verde, quelle che vengono chiuse vengono evidenziate in rosso.
Ora apriamo il cliente per lo streaming.
La porta di ricezione deve coincidere con quella che abbiamo inserito nell’interfaccia web.
vai al minuto 0:07:16
Dal cliente dobbiamo fare il binding della porta con il tasto in basso a destra.
Appena premo il tasto, TCPview mi segnala che è stata effettivamente attivata la porta UDP 25998 sull’indirizzo lacale e il client è pronto a ricevere i dati.
I caratteri che vedete comparire vengono digitati dal computer remoto e inviati in tempo reale a questo computer.
vai al minuto 0:07:40
Un’altra funzione che ha questo keylogger è il time-stamping.
Il dispositivo regola la data e l’ora tramite il server NTP.
L’effetto sul file di log è questo: viene registrata anche la data e l’ora in cui vengono premuti i tasti.
L’ultima cosa che possiamo provare è l’invio dei log per posta elettronica.
vai al minuto 0:08:06
Se leggiamo le note importanti che vengono riportate in fondo alla pagina, vediamo che il dispositivo supporta solo l’invio delle mail in chiaro sulla porta 25.
Trovare un server di posta che non richieda SSL/TLS credo che sia quasi impossibile.
Inoltre per Gmail bisognerebbe abilitare l’opzione per le apps meno sicure, cosa che non è più supportata da qualche mese; al massimo si potrebbe pensare di generare la password per le app.
vai al minuto 0:08:36
Comunque ho provato a configurare la posta con Gmail, ma non c’è modo di farlo funzionare.
Inoltre ho voluto verificare se l’invio della mail potesse funzionare sulla porta 25, per cui ho installato il server di posta gratuito HmailServer sul computer con indirizzo 180 finale.
vai al minuto 0:08:54
Come potete vedere dalle impostazioni la configurazione della posta è piuttosto semplice: Inserite la mail del destinatario, la frequenza di invio del report, come server ho inserito l’indirizzo IP del PC su cui ho installato il server di posta.
Poi abbiamo l’utente e la password per autenticarci sul server di posta e in fine la porta 25.
vai al minuto 0:09:16
Una cosa che voglio farvi notare è l’indirizzo IP del dispositivo, ora è raggiungibile al
151 finale e non più al 152 , questo perché ho riavviato il computer su cui è collegato il keylogger.
Questo capita quando non è possibile impostare un indirizzo IP statico al dispositivo.
vai al minuto 0:09:36
Ogni volta che il dispositivo viene riavviato è possibile che dobbiate verificare se è cambiato l’indirizzo IP.
Quella che ho aperto adesso è la finestra di desktop remoto e sono collegato con il PC 180 finale.
Al suo interno possiamo vedere i log del server di posta.
vai al minuto 0:09:53
Per esempio questa riga ci dice che un messaggio è arrivato ma è stato cancellato.
Più in alto vediamo che sono stati effettivamente ricevuti dei caratteri del log, ma appena sotto, il server risponde con il codice 503 sequenza di comandi errata.
Questo, invece è un messaggio che è stato correttamente consegnato e che ho inviato dal client di posta di Thunderbird.
