Keylogger Nedir ve Nasıl Tespit Edilir?

Bazen tuş vuruşu kaydedici veya klavye yakalama olarak da adlandırılan keylogger, belirli bir bilgisayarda her tuş vuruşunu izlemek ve kaydetmek için kullanılan bir tür gözetim teknolojisidir. Yasa dışı şekilde ve izinsiz olarak kullanılabilir.
Keylogger yazılımı, Apple iPhone ve Android cihazlar gibi akıllı telefonlarda da kullanılabilir.

Keylogger’lar genellikle siber suçlular tarafından kişisel olarak tanımlanabilir bilgileri (PII), oturum açma kimlik bilgilerini ve hassas kurumsal verileri çalmak için bir casus yazılım aracı olarak kullanılır.

Keylogger’ların bazı kullanımları, değişen derecelerde etik veya uygun olarak kabul edilebilir. Keylogger kaydediciler ayrıca aşağıdakiler tarafından da kullanılabilir:

• İşverenlerin çalışanların bilgisayar faaliyetlerini gözlemlemesi;
• Ebeveynlerin çocuklarının internet kullanımını denetlemesi;
• Cihaz sahiplerinin cihazlarındaki olası yetkisiz etkinlikleri izlemesi;
• Güvenlik güçlerinin bilgisayar kullanımını içeren olayları analiz etmek için.

Keylogger türleri

Donanım tabanlı bir keylogger, klavye ve bilgisayar arasında bir bağlayıcı görevi gören küçük bir aygıttır. Aygıt, sıradan bir klavye PS/2 konektörüne, bilgisayar kablolarının bir parçasına veya bir USB adaptörüne benzeyecek şekilde tasarlanmıştır. Bu, bir kullanıcının davranışını izlemek isteyen birinin aygıtı gizlemesini nispeten kolaylaştırır.

Bir keylogging yazılım programı, kurulum için kullanıcının bilgisayarına fiziksel erişim gerektirmez. Belirli bir bilgisayardaki etkinliği izlemek isteyen biri tarafından bilerek indirilebilir veya farkında olmadan kötü amaçlı yazılım olarak indirilip bir rootkit veya uzaktan yönetim Truva Atı (RAT) kapsamında yürütülebilir. Rootkit, manuel algılama veya antivirüs taramalarından kaçınmak için gizlice başlatabilir.

Keylogger’lar nasıl çalışır?

Bir keylogger’ın nasıl çalıştığı, türüne bağlıdır. Donanım ve yazılım keylogger’ları, ortamları nedeniyle farklı çalışır. Çoğu iş istasyonu klavyesi bilgisayarın arkasına takılır ve bağlantıları kullanıcının görüş alanının dışında tutar. Bir donanım keylogger’ı, klavyenin kendi içine kurulmuş bir modül şeklinde de gelebilir.

Kullanıcı klavyede yazdığında, keylogger her tuş vuruşunu toplar ve birkaç gigabayta kadar bellek kapasitesine sahip olabilen kendi sabit sürücüsüne metin olarak kaydeder. Keylogger’ı kuran kişi, toplanan bilgilere erişmek için daha sonra geri dönmeli ve cihazı fiziksel olarak çıkarmalıdır. Ayrıca, kablosuz klavye ile alıcısı arasında aktarılan veri paketlerini kesebilen ve şifresini çözebilen kablosuz keylogger sniffer’ları da vardır.

Yaygın bir yazılım keylogger, genellikle aynı dizine yüklenen iki dosyadan oluşur: kaydı yapan bir dinamik bağlantı kitaplığı (DLL) dosyası ve DLL dosyasını yükleyen ve onu tetikleyen yürütülebilir bir dosya. Keylogger programı, kullanıcının yazdığı her tuş vuruşunu kaydeder ve bilgileri periyodik olarak internet üzerinden programı kuran kişiye yükler. Bilgisayar korsanları, klavye uygulama programı arabirimlerini (API’ler) başka bir uygulamaya, kötü amaçlı komut dosyası yerleştirme veya bellek yerleştirmeye kullanmak için tuş günlüğü yazılımı tasarlayabilir.

İki ana yazılım keylogger türü vardır: Kullanıcı modu keylogger’ları ve çekirdek modu keylogger’ları.

Bir kullanıcı modu keylogger, klavye ve fare hareketlerini engellemek için bir Windows API’si kullanır. GetAsyncKeyState veya GetKeyState API işlevleri, keylogger’a bağlı olarak da yakalanabilir. Bu keylogger’lar, saldırganın her tuş basımını aktif olarak izlemesini gerektirir.

Çekirdek modu keylogger, daha güçlü ve karmaşık bir yazılım keylogging yöntemidir. Daha yüksek ayrıcalıklarla çalışır ve bir sistemde bulunması daha zor olabilir. Çekirdek modu tuş kaydedicileri, tuş vuruşlarını engelleyebilen filtre sürücüleri kullanır. Ayrıca çekirdek aracılığıyla dahili Windows sistemini de değiştirebilirler.

Bazı tuş günlüğü programları, tuş vuruşlarının yanı sıra, panoya kopyalanan herhangi bir şeyi yakalama ve kullanıcının ekranının veya tek bir uygulamanın ekran görüntülerini alma gibi kullanıcı verilerini kaydetme işlevleri de içerebilir.

Keylogger algılama ve kaldırma

Farklı teknikler kullanan keylogger’ların çeşitliliği nedeniyle, tek bir algılama veya kaldırma yönteminin en etkili olduğu düşünülmez. Keylogger’lar bir işletim sistemi çekirdeğini manipüle edebildiğinden, bir bilgisayarın Görev Yöneticisi’ni incelemek, bir keylogger’ı tespit etmek için yeterli değildir.

Anti-keylogger yazılım programı gibi güvenlik yazılımı, bir bilgisayardaki dosyaları bir keylogger imza tabanı veya ortak keylogger özelliklerinin bir kontrol listesi ile karşılaştırarak yazılım tabanlı keylogger’ları taramak için özel olarak tasarlanmıştır. Bir anti-keylogger kullanmak, antivirüs veya casus yazılım önleme programından daha etkili olabilir. İkincisi yanlışlıkla keylogger’ı casus yazılım yerine meşru bir program olarak tanımlayabilir.

Bir casus yazılım önleme uygulamasının kullandığı tekniğe bağlı olarak, sahip olduğundan daha düşük ayrıcalıklara sahip keylogger yazılımını bulabilir ve devre dışı bırakabilir. Bir ağ izleyicisi kullanmak, bir uygulama her ağ bağlantısı kurmaya çalıştığında kullanıcının bilgilendirilmesini sağlayarak güvenlik ekibine olası herhangi bir keylogger etkinliğini durdurma fırsatı verir.

Keylogger’lara karşı koruma

Görsel inceleme, donanım keylogger’larını tanımlayabilirken, büyük ölçekte uygulamak pratik değildir ve zaman alıcıdır. Bunun yerine, bireyler bir keylogger’a karşı korunmaya yardımcı olmak için bir güvenlik duvarı kullanabilir.

Keylogger’lar kurbandan saldırgana verileri ileri geri ilettiğinden, güvenlik duvarı bu veri aktarımını keşfedebilir ve önleyebilir.

Kullanıcı adı ve parola alanlarını otomatik olarak dolduran parola yöneticileri, keylogger’lara karşı korunmaya da yardımcı olabilir. İzleme yazılımı ve antivirüs yazılımı ayrıca bir sistemin sağlığını takip edebilir ve keylogger’ları önleyebilir.

USB ve PS/2 bağlantı noktalarına erişimi veya kurcalamayı engelleyen sistem kafesleri, kullanıcının masaüstü kurulumuna eklenebilir. Ekstra önlemler arasında, bir saldırganın bir kullanıcının hesabında oturum açmak için çalınan bir parolayı tek başına kullanmamasını sağlamak için iki faktörlü kimlik doğrulamanın (2FA) bir parçası olarak bir güvenlik belirteci kullanılması veya kullanımı engellemek için bir ekran klavyesi ve sesten metne yazılım kullanılması yer alır.

Uygulama izin verilenler listesi, yalnızca belgelenmiş, yetkilendirilmiş programların bir sistemde çalışmasına izin vermek için de kullanılabilir. Ayrıca herhangi bir sistemi güncel tutmak her zaman iyi bir fikirdir.