Bir tuş kaydedici (keystroke logger'ın kısaltması), bir bilgisayarda veya mobil cihazda yapılan her bir tuş vuruşunu izleyen ve kaydeden bir tür gözetim teknolojisidir.
İçindekiler
Tuş kaydediciler genellikle oturum açma kimlik bilgilerini veya hassas verileri çalmak gibi kötü amaçlı siber faaliyetlerle ilişkilendirilse de, çalışan denetimi veya ebeveyn kontrol yazılımı gibi meşru senaryolarda da kullanılabilirler.
Tuş Kaydedici Türleri
Tuş kaydediciler, çalışma yöntemlerine ve sistem erişim düzeylerine göre değişir. Aşağıda, her biri tespit için farklı davranışlara ve sonuçlara sahip en yaygın türler verilmiştir:
API Tabanlı Tuş Kaydediciler
Bu kaydediciler, tuş vuruşlarını kaydetmek için standart sistem API'lerini kullanır. Bunlar, donanım ve yazılım arasındaki normal etkileşimleri taklit eder ve meşru süreçlerden ayrılmalarını özellikle zorlaştırır. Bir tuşa her basıldığında veya bırakıldığında, kaydedici kullanıcıyı uyarmadan olayı gerçek zamanlı olarak yakalar.
Form Yakalama Tuş Kaydedicileri
Bireysel tuş vuruşlarını izlemek yerine, form-grabber türü tuş kaydediciler, bir kullanıcı bir web formunu gönderdiğinde formun tüm içeriğini yakalar. Bu, kullanıcı adı, parola, kredi kartı bilgileri ve diğer hassas verilerin şifrelenip iletilmeden önce ele geçirilebileceği anlamına gelir.
Çekirdek Düzeyinde Tuş Kaydediciler
İşletim sisteminin en derin katmanı olan çekirdek (kernel) seviyesinde çalışan bu tuş kaydediciler, yönetici düzeyinde erişim elde eder. Standart antivirüs araçları tarafından tespit edilmeden her türlü faaliyeti kaydedebilirler, bu da onları en tehlikeli türlerden biri yapar.
JavaScript Tabanlı Tuş Kaydediciler
Genellikle ele geçirilmiş web sitelerine enjekte edilen veya tarayıcı tabanlı saldırılarla bulaşan bu tuş kaydediciler, bir web sayfasındaki klavye girişini izlemek için zararlı komut dosyaları kullanır. Çoğunlukla siteler arası komut dosyası çalıştırma (XSS), ortadaki adam (MitM) saldırıları veya ele geçirilmiş üçüncü taraf içerikler yoluyla yayılırlar.
Donanım Tabanlı Tuş Kaydediciler
Donanım tabanlı tuş kaydediciler, klavye ile bilgisayar arasına yerleştirilen veya doğrudan klavye içine gömülen fiziksel cihazlardır. Yüklemek için hedef cihaza fiziksel erişim gerektirirler, ancak geleneksel antivirüs veya yazılım taramaları ile neredeyse tespit edilemezler. Kurulduktan sonra, tuş vuruşlarını dahili belleğe kaydederler veya kablosuz olarak harici bir alıcıya iletirler.
Tuş Kaydediciler Nasıl Çalışır
Tuş kaydediciler, kullanıcı girdilerini yakalayarak ve kaydederek çalışır ve genellikle kullanıcılardan ve güvenlik yazılımından gizli kalmak için gizlilik taktiklerinden yararlanır. İşte nasıl çalıştıklarına daha yakından bir bakış:
Klavye Tuş Vuruşlarını Kaydeden Tuş Kaydedici
Tuş kaydedicilerin kullandığı temel yöntem, tuş vuruşlarını girildiği anda yakalamaktır. Bunu genellikle şu yollarla başarırlar:
API Kancalama: Birçok yazılım tabanlı tuş kaydedici, Windows’ta SetWindowsHookEx API’si gibi sistem düzeyinde kancalar (hook) kullanarak, klavye olaylarını uygulamalara ulaşmadan önce yakalar.
Çekirdek Düzeyinde Etkileşim: Daha gelişmiş tuş kaydediciler ise çekirdek (kernel) katmanında çalışarak, ham giriş verilerini doğrudan donanımdan yakalar ve çoğunlukla kullanıcı düzeyindeki güvenlik önlemlerini atlatır.
Bu, tuş kaydedicilerin, kullanıcı farkındalığı olmadan, yazılan belgelerden oturum açma kimlik bilgilerine kadar her şeyi kaydetmesini sağlar.
Tuş Kaydedicilerde Veri İşleme ve Gizlilik Teknikleri
Tuş vuruşlarını kaydetmenin yanı sıra, birçok tuş kaydedici daha geniş kullanıcı etkinliklerini de toplamak ve elde edilen bilgileri gizlice iletmek üzere tasarlanmıştır:
Genişletilmiş Veri Yakalama: Bazı varyantlar ayrıca pano içeriklerini kaydeder, periyodik ekran görüntüleri alır veya ziyaret edilen web sitelerini ve uygulama kullanımını kaydeder.
Saklama ve İletim: Yakalanan veriler ya gizli dosyalar halinde yerel olarak saklanır ya da e-posta, FTP veya şifreli iletişim kanalları üzerinden uzak bir sunucuya iletilir.
Gizlilik Operasyonları: Tespit edilmekten kaçınmak için tuş kaydediciler genellikle kendilerini meşru bir süreç gibi gizler, varlıklarını saklamak için rootkit teknikleri kullanır veya dosya tabanlı antivirüs taramalarından kaçmak amacıyla yalnızca sistem belleğinde çalışır.
Tuş Kaydedicilerin Gerçek Dünyada Kullanımı
Tuş Kaydediciler - Kötü Amaçlı Kullanım Durumları
Kimlik Hırsızlığı: Siber suçlular, kullanıcı adlarını, parolaları, bankacılık kimlik bilgilerini ve kişisel kimlik numaralarını (PIN'ler) yakalamak için tuş kaydedicileri kullanabilir.
Gözetim: Bilgisayar korsanları, kurbanın çevrimiçi faaliyetlerini izleyebilir, e-postaları okuyabilir veya konuşmaları izleyebilir.
Kurumsal Casusluk: İş ortamlarında, tuş kaydediciler ticari sırları çalmak veya gizli bilgilere yetkisiz erişim elde etmek için kullanılabilir.
Tuş Kaydediciler - Meşru Kullanım Durumları
Ebeveyn Gözetimi: Bazı ebeveynler, çocuklarının çevrimiçi davranışlarını izlemek ve güvenli olmalarını ve zararlı içerikle uğraşmamalarını sağlamak için tuş kaydediciler kurar.
İş Yeri İzleme: İşverenler, üretkenliği izlemek ve şirket politikalarına uyumu sağlamak için uç nokta izleme araçlarının bir parçası olarak tuş kaydedicileri kullanabilir. Ancak bu, şeffaf ve etik bir şekilde, çalışan gizlilik haklarına saygı gösterilerek yapılmalıdır.
Tuş Kaydediciler Nasıl Çalışır
Tuş kaydediciler, kullanıcı girdilerini yakalayarak ve kaydederek çalışır ve genellikle kullanıcılardan ve güvenlik yazılımından gizli kalmak için gizlilik taktiklerinden yararlanır. İşte nasıl çalıştıklarına daha yakından bir bakış:
Klavye Tuş Vuruşlarını Kaydeden Tuş Kaydedici
Tuş kaydedicilerin kullandığı temel yöntem, tuş vuruşlarını girildiği anda yakalamaktır. Bunu genellikle şu yollarla başarırlar:
API Kancalama: Birçok yazılım tabanlı tuş kaydedici, Windows’ta SetWindowsHookEx API’si gibi sistem düzeyinde kancalar (hook) kullanarak, klavye olaylarını uygulamalara ulaşmadan önce yakalar.
Çekirdek Düzeyinde Etkileşim: Daha gelişmiş tuş kaydediciler ise çekirdek (kernel) katmanında çalışarak, ham giriş verilerini doğrudan donanımdan yakalar ve çoğunlukla kullanıcı düzeyindeki güvenlik önlemlerini atlatır.
Bu, tuş kaydedicilerin, kullanıcı farkındalığı olmadan, yazılan belgelerden oturum açma kimlik bilgilerine kadar her şeyi kaydetmesini sağlar.
Tuş Kaydedicilerde Veri İşleme ve Gizlilik Teknikleri
Tuş vuruşlarını kaydetmenin yanı sıra, birçok tuş kaydedici daha geniş kullanıcı etkinliklerini de toplamak ve elde edilen bilgileri gizlice iletmek üzere tasarlanmıştır:
Genişletilmiş Veri Yakalama: Bazı varyantlar ayrıca pano içeriklerini kaydeder, periyodik ekran görüntüleri alır veya ziyaret edilen web sitelerini ve uygulama kullanımını kaydeder.
Saklama ve İletim: Yakalanan veriler ya gizli dosyalar halinde yerel olarak saklanır ya da e-posta, FTP veya şifreli iletişim kanalları üzerinden uzak bir sunucuya iletilir.
Gizlilik Operasyonları: Tespit edilmekten kaçınmak için tuş kaydediciler genellikle kendilerini meşru bir süreç gibi gizler, varlıklarını saklamak için rootkit teknikleri kullanır veya dosya tabanlı antivirüs taramalarından kaçmak amacıyla yalnızca sistem belleğinde çalışır.
Tuş Kaydediciler Cihazlara Nasıl Bulaşır
Tuş kaydediciler genellikle diğer kötü amaçlı yazılım türlerine benzer yöntemlerle sunulur:
Kimlik Avı E-postaları ve Kötü Amaçlı Ekler: Saldırganlar, enfekte belgeler veya bağlantılar içeren ikna edici e-postalar gönderir. Makro etkin bir Word belgesi gibi bubi tuzaklı bir dosyayı açmak, bir tuş kaydediciyi sessizce yükleyebilir.
Dosyasız Kötü Amaçlı Yazılım Teknikleri: Belirgin izler bırakmak yerine, dosyasız tuş kaydediciler PowerShell veya DLL enjeksiyonu gibi araçları kullanarak kodu doğrudan belleğe enjekte eder.
Trojan Eklenmiş Yazılım ve Yazılım Paketi: Tuş kaydediciler bazen görünüşte meşru uygulamaların veya korsan yazılım indirmelerinin içine gizlenir. Bu kurcalanmış programları yüklemek, kayıt cihazını farkında olmadan arka plana yükler.
Kötü Amaçlı Tarayıcı Uzantıları: Sahte veya güvenliği ihlal edilmiş tarayıcı eklentileri, parola yöneticileri veya sanal klavyeler gibi korumaları atlayarak web formlarına yazılan her şeyi yakalayabilir.
Drive-by Download’lar ve Sömürü Kitleri (Exploit Kits): Sadece güncel olmayan bir tarayıcı veya eklenti ile güvenliği ihlal edilmiş bir web sitesini ziyaret etmek bile cihazınıza sessiz bir şekilde bir tuş kaydedici yükleyecek olan otomatik bir indirmeyi tetikleyebilir.
Yerde ya da başka bir yerde bulunan USB sürücüler ve Fiziksel Erişim: Saldırganlar, virüslü USB cihazları yerleştirerek veya klavye ile bilgisayar arasına donanım tabanlı tuş kaydediciler fiziksel olarak takarak, hiçbir kullanıcı etkileşimine gerek duymadan verileri sessizce ele geçirebilirler.
Tuş Kaydedici Kalıcılık Teknikleri
Tuş kaydediciler kurulduktan sonra, yeniden başlatmaları atlatmayı ve aşağıdaki yöntemleri kullanarak gizli kalmayı amaçlar:
Girişleri ve Programlanan Görevleri Otomatik Başlatma: Tuş kaydediciler, önyüklemede otomatik olarak yeniden başlatmak için kendilerini başlangıç klasörlerine, kayıt defteri anahtarlarına veya planlanmış görevlere ekler.
Servis Kurulumu ve Proses Enjeksiyonu: Bazı kaydediciler, sistem hizmetleri olarak kurulur veya düzenli sistem işlemleriyle uyum sağlamak için meşru süreçlere (ör. explorer.exe) eklenir.
Meşru Araçların Kötüye Kullanımı: wscript.exe veya powershell.exe gibi sistemde hazır bulunan yazılımları (“living off the land binaries”) kullanarak, tuş kaydediciler hiçbir belirgin zararlı yazılım izi bırakmadan sessizce çalışabilir.
Aygıt Yazılımı veya Önyükleme Kitleri: Çok gelişmiş tuş kaydediciler, sistem BIOS veya cihaz yazılımına bulaşarak işletim sistemi yüklenmeden önce bile etkinleştirmelerini sağlayabilir; bu, genellikle hedefli, yüksek değerli saldırılarda görülen bir taktiktir.
Bir tuş kaydedici nasıl algılanır ve kaldırılır
Bir tuş kaydedicinin varlığını fark etmek zor olabilir; ancak dikkat edilmesi gereken bazı uyarı işaretleri vardır:
Klavye hassaslığında beklenmedik gecikme veya yavaşlık
Görev Yöneticisi veya Etkinlik Monitörü’nde bilinmeyen ya da şüpheli işlemlerin çalışması
Sık uygulama çökmeleri veya alışılmadık sistem davranışı
Fark edilir şekilde daha yavaş web tarama performansı
Tuş kaydedicileri kaldırmak için:
Cihazınızı taramak için kötü amaçlı yazılımdan veya özel tuş kaydediciden koruma araçları kullanın.
Antivirüs yazılımınızı güncel tutun ve yeni tehditleri yakalamak için düzenli taramalar gerçekleştirin.
Daha kapsamlı sistem kontrolleri yapmak için sistemi Güvenli Modda önyükleyin.
Kötü amaçlı uzantıları elemek için tarayıcı ve uygulama ayarlarını sıfırlayın.
Tuş kaydedicilere Karşı Nasıl Korunur
Tuş kaydedici enfeksiyonlarını önlemek için bazı proaktif adımlar şunlardır:
Yazılımı Güncel Tutun: İşletim sisteminizi, tarayıcılarınızı ve uygulamalarınızı düzenli olarak güncelleyin; çünkü tuş kaydediciler ve kötü amaçlı yazılımlar genellikle bilinen açıkları kullanır.
Antivirüs ve Uç Nokta Güvenliği Kullanın: Güvenilir antivirüs veya uç nokta güvenlik çözümlerini, hem bilinen hem de yeni tehditleri tespit etmek için gerçek zamanlı koruma ve davranışsal algılama özellikleriyle kurun.
Çok Faktörlü Kimlik Doğrulama (MFA) Etkinleştirin: Bir parola ele geçirilse bile, MFA yetkisiz erişimi engelleyebilecek ek bir güvenlik katmanı sağlar.
Sanal Klavyeler: Ekran üzerindeki tuşları tıklamanıza olanak tanıyan sanal klavyeler, basit tuş kaydedicilerin girdilerinizi yakalamasını zorlaştırır.
Trend Vision One™ Platformu
Saldırganları daha hızlı durdurmak ve siber risklerinizi kontrol altına almak tek bir platformla başlar. Yapay zeka, önde gelen tehdit araştırmaları ve istihbarat ile desteklenen kapsamlı önleme, tespit ve müdahale yetenekleriyle güvenliği bütünsel olarak yönetin.
Trend Vision One, çeşitli hibrit BT ortamlarını destekler, iş akışlarını otomatikleştirir ve düzenler ve uzman siber güvenlik hizmetleri sunar, böylece güvenlik operasyonlarınızı basitleştirebilir ve birleştirebilirsiniz.
Jon Clay, siber güvenlik alanında 29 yılı aşkın deneyime sahiptir. Jon, Trend Micro'nun harici olarak yayınlanan tüm tehdit araştırması ve istihbaratına ilişkin bilgileri toplamak ve paylaşmak için sektör deneyimini kullanıyor.