本記事ではElastic Securityにおいて、エンドポイント保護を担っているElastic Defendに今年(バージョン8.12より)新たに追加された、キーロガーおよびキーロギング検出機能について紹介します。

はじめに

キーロガーとはなにか？どのような危険性があるのか？

いかにして入力した文字を盗み取っているのか？

Windows API呼び出しを監視してキーロガーを検出する

監視するWindows API群:

追加したキーロガー検知ルール一覧:

Windowsのキーロガーを検知する

各Windows APIの呼び出しの際に取得しているデータ

まとめ

Windows APIの挙動を用いたキーロガー検知

情報窃取から端末を守る

In this article, we will introduce the keylogger and keylogging detection features added this year to Elastic Defend (starting from version 8.12), which is responsible for endpoint protection in Elastic Security.

Introduction

What is a keylogger and what are their risks?

How are keystrokes stolen?

Detecting keyloggers by monitoring Windows API calls

Monitored Windows APIs:

New keylogger endpoint detection rules:

Detecting Windows keyloggers

Data Collected During Windows API Calls

Conclusion

Keylogger detection using Windows API behaviors

Protecting your devices from information theft

Author

Asuka Najakima

Articles

情報窃取から端末を守る

Protecting your devices from information theft