امروزه اهمیت حفظ اطلاعات و بالابردن امنیت در فضای اینترنتی بیش از هر زمان دیگری احساس می شود. انواع زیادی از راه های نفوذ و حمله به سیستم ها به وجود آمده که کی لاگر یکی از آن هاست. کیلاگر یکی از انواع حملات نرم افزاری یا سخت افزاری است که ابزاری قدرتمند برای نفوذ به اطلاعات مهم کاربران است.
در واقع این ابزار می تواند برای اهداف مثبت ازجمله ارتقا تجربه و نظارت بر کارمندان استفاده شود اما داشتن اطلاعات درباره این ابزار به ما کمک می کند که مورد حمله و سوء استفاده هکرها قرار نگیریم. در ادامه به معرفی کامل Keylogger، نشانه های تشخیص آن و راه های از بین بردن این بدافزار می پردازیم.
کیلاگر (Keylogger) چیست؟
کیلاگر یا ابزار ثبت کلید در ابتدا برای استفاده مفید طراحی شد. از این ابزار برای استفاده در دستگاه های اجرایی و سازمان های اطلاعاتی برای اهداف نظارتی استفاده می شد اما با توجه به ویژگی های خاصی که دارد مورد توجه هکرها نیز قرار گرفت. این ابزار به سادگی در سیستم شما نصب می شود و هر چیزی که تایپ کنید را ثبت و برای فرد یا سیستم خاصی به صورت مخفیانه ارسال می کند.
حال فرض کنید شما وارد برنامه موبایل بانکتان شده اید و یوزرنیم و پسوردتان را وارد کرده اید. در این صورت هکر اطلاعات ورود موبایل بانک شما را دارد و می تواند از آن سوء استفاده کند. این نظارت در همه فضاها صورت می گیرد. فرض کنید در برنامه تلگرام در حال چت کردن با همسر خود هستید و در رابطه با موضوع حساس و خصوصی با او مشورت می کنید. هکر می تواند تمام این پیام ها را بخواند و از آن بر علیه شما استفاده کند.
مهم ترین اهداف هکر از نصب کی لاگر بر روی سیستم ما دسترسی به اطلاعات شخصی مانند رمزهای عبور ایمیل ها و دیگر حساب های کاربری مان (اینستاگرام، تلگرام، توییتر و…)، جاسوسی در مسائل شخصی یا کاری ما، سرقت موجودی بانکی و دسترسی به اطلاعات محرمانه ما جهت باج گیری می باشد.
هدف کیلاگر به دست آوردن پسورد اکانت های مهم کاربر است.
انواع کیلاگر
به طور کلی کیلاگر ها به دو دسته سخت افزاری و نرم افزاری تقسیم می شوند. انواع نرم افزاری کی لاگر در قالب یک نرم افزار بر روی دستگاه نصب می شوند و به صورت مخفیانه اجرا می شوند. نوع سخت افزاری نیز به سه شکل در دسترس است.
- ابزاری که به شکل یک صفحه کلید عادی ارائه می شود و مشابه هر صفحه کلید دیگری است.
- ابزاری که به کابل کیبورد وصل می شود.
- ابزاری که داخل کیبورد قرار می گیرد.
همچنین کی لاگرهای مختلف می توانند در سطوح مختلفی فعالیت کنند یا اطلاعات بخش خاصی از دستگاه را مخابره کنند.
انواع حملات Keylogger نرم افزاری:
- Kernel-based: در این روش Keyloggerها در لایه کرنل سیستم عامل قرار می گیرند که تشخیص آن کار بسیار دشواری است.
- API-based: در این روش Keylogger از توابع سیستمی مثل GetAsyncKeyState استفاده می کند.
- Packet analyzers: این روش با مانیتور کردن ترافیک شبکه و استفاده از متد POST در HTML اقدام به بازخوانی پکت ها می کند و از محتوای بسته ها، اطلاعات مورد نیاز را استخراج می کند.
- Form grabbing based: در این روش Keylogger فقط به مرور گرهای موجود در سیستم عامل حمله می کند و هربار یک نسخه از اطلاعات کاربر در این بخش را ارسال می کند.
- Memory injection based: در این روش Keylogger حافظه Ram را تحت تاثیر قرار می دهد و تمام اطلاعاتی که وارد رم می شوند را دریافت و ثبت می کند.
انواع حملات Keylogger سخت افزاری:
- Electromagnetic emissions: این نوع Keylogger می تواند تا فاصله بیست متری از سیم یک کیبورد قرار گیرد و با شنود کردن پالس ها و سیگنال های الکتریکی، کلید فشرده شده را تشخیص دهد.
- Wireless keyboard sniffers: این نوع Keyloggerها در محیط هایی که دارای کیبورد بیسیم هستند قرار می گیرند و اطلاعات رد و بدل شده را که به صورت کد هستند decode و ارسال می کنند.
- Keyboard overlays: این نوع از Keylogger نوعی از کاور Keypad موجود در دستگاه های ATM هستند که اقدام به ثبت اطلاعات می کنند.
- Optical surveillance: این نوع Keylogger یک دوربین کوچک است که در کنار کیبورد تا فاصله حداکثر یک متری قرار می گیرد و اطلاعات را ضبط می کند.
- Firmware-based: این نوع Keylogger در BIOS سیستم قرار می گیرد و نقش کنترل کننده Keylogger را دارد.
- Keyboard hardware: این گونه Keylogger ها به دو نوع داخلی و خارجی هستند. نوع داخلی آنها از پیش تعبیه شده در داخل کیبورد قرار دارند و نوع خارجی آنها در انتهای پورت کیبورد قرار می گیرند که با توجه به USB و یا PS2 بودن پورت کیبورد متفاوت هستند.
کی لاگر چگونه نصب می شود؟
قبل تر توضیح دادیم که کی لاگرها به دو دسته سخت افزاری و نرم افزاری تقسیم می شوند. کیلاگر سخت افزاری می تواند بدون نصب هیچ نرم افزار دیگری کار کند. نرم افزارهای امنیتی موجود در کامپبوتر هم نمی توانند کیلاگر را تشخیص دهند چرا که یک قطعه سخت افزاری است و قابل تشخیص توسط نرم افزار نیست.
از طرفی نرم افزار کی لاگر به صورت یک فایل مخفی اجرایی در سیستم شما نصب می شود و به صورت کاملا مخفیانه به فعالیت خود ادامه می دهد. این برنامه که معمولا پسوند exe، apk و… دارد به چند روش می تواند وارد سیستم شما شود.
- هکر شخصا به سیستم شما دسترسی داشته باشد و آن را بر روی کامپیوتر، لپتاپ یا گوشی تان نصب کند.
- فایل مخرب در سایت های غیرمعتبر پنهان شده و شما با دانلود یک نرم افزار یا عکس و فیلم از سایت باعث شوید که در پشت صحنه یک برنامه کی لاگر بر روی سیستم یا موبایلتان نصب شود.
- به روش فیشینگ و ایجاد اعتماد وارد سیستم شود.
- ورود به واسطه تروجان ها
- و…
تنها وظیفه کیلاگرها این است که اطلاعات کلیدهای فشرده شده را به مقصد ارسال کنند و برای شخص دیگری بفرستند. پس در جواب این سوال که آیا کیلاگر تصاویر شخصی من را برمی دارد باید بگوییم خیر. این وظیفه می تواند توسط یک برنامه مخرب دیگر انجام شود. اما کیلاگر وظیفه ارسال کاراکترها را برعهده دارد.
مثلا کیلاگر با ثبت و ارسال یوزر و پسورد حساب اینستاگرامتان باعث هک اینستاگرام شما می شود. یا اینکه با به دست آوردن کد عبور گالری شما باعث می شود که هکر از پسورد نرم افزار قفل گذار شما مطلع شود و با هک گوشی به گالری شما هم دست پیدا کند. کیلاگرها علاوه بر نام کلید مورد استفاده، می توانند اطلاعاتی مثل طول زمان فشار کلید، زمان فشار کلید، سرعت فشار دادن کلید را نیز ارسال کنند.
امروزه کیلاگرها پیچیده تر شده اند و به نوعی با سایر بدافزارها ترکیب شده و در نهایت اثرات مخرب تری را به وجود آورده اند. مثلا برخی از این کیلاگرهای ترکیبی این امکان را دارند که به موقعیت مکانی شما، صفحه نمایش و حتی دوربین هم دسترسی داشته و اطلاعات آن را ارسال کنند. البته این موضوع جزو وظایف کیلاگر نیست. بلکه بدافزار نصب شده نوع ترکیبی از چند بدافزار مختلف از جمله شنود، ردیابی و… است.
چگونه می توان کیلاگر را شناسایی کرد؟
معمولا بدافزار کیلاگر طوری طراحی می شود که به راحتی قابل تشخیص نباشد و کاربران عادی از آن جایی که آیکنی برای این برنامه نمی بینند متوجه وجود آن نمی شوند. برای تشخیص کیلاگر سخت افزاری بهتر است که همه جای کامپیوتر را چک کنید تا از امنیت آن مطمئن شوید. به علاوه اینکه کیبورد خود را از مکان مطمئن خریداری کنید. یک سری اتفاقات عجیب می توانند نشانه های نصب کی لاگر بر روی موبایل یا کامپیوتر شما باشند:
- مشاهده پیام های متنی عجیب و غریب که مطمئن هستید خودتان ارسال نکرده اید.
- خالی شدن سریع شارژ باتری
- داغ شدن تلفن همراه یا کامپیوتر
- بارگذاری وب سایت ها با سرعتی کمتر از سرعت همیشگی
- خاموش و روشن شدن غیرطبیعی سیستم آلوده شده
- رفتار های عجیب و غیرعادی موس و کیبورد
- نمایش مداوم پیام های خطا
همچنین یک سری راه ها برای تشخیص کی لاگر نرم افزاری وجود دارد که در ادامه آن را معرفی می کنیم.
بررسی Programs and Features
در Programs and Features شما می توانید لیست برنامه های نصب شده بر روی کامپیوتر یا گوشی تان را ببینید. به این بخش مراجعه کنید و با دقت به دنبال برنامه مشکوکی باشید که خودتان آن را نصب نکرده اید. برنامه های مشکوک را بلااستفاده را حذف کنید.
بررسی Task Manager در کامپیوتر و لپ تاپ
Task Manager به شما این امکان را می دهد تا برنامه های فعال در سیستم شخصی خود را ببینید. برای استفاده از این برنامه همزمان کلیدهای Ctrl + Alt + Del را فشار دهید و به سربرگ Process مراجعه کنید. در این صفحه لیست فایل های مشغول پردازش لیست شده است. تمام لیست را با دقت بررسی کرده و به دنبال فایلی با اسم مشکوک باشید. کلید End process را بزنید و برنامه را از لیست خارج کنید.
اسکن بدافزار جهت کشف کیلاگر
برنامه های آنتی کیلاگر مثل Antispyware ،Spyware blaste و یا Keylogger Detector که مخصوص از بین بردن کیلاگرها طراحی شده اند می توانند به شما در این راه کمک زیادی کنند. با برنامه آنتی کیلاگر خود کل سیستم یا موبایلتان را اسکن کنید تا هرگونه نرم افزار مخربی که مخفی شده است شناسایی شود.
بررسی دقیق پوشه ها
هر برنامه ای که بر روی تلفن همراه یا کامپیوتر شما نصب می شود، یک پوشه مخصوص به خود ایجاد می کند. شما می توانید به بخش پوشه های مربوط به برنامه های نصبی مراجعه کنید و تک تک فولدرها را با دقت بررسی کنید. با شناسایی پوشه مشکوک می توانید نرم افزار مربوط به آن را از نصب خارج کنید.
روش های مقابله با Keylogger ها
اولین راه برای جلوگیری از آسیب ها و حملات پیشگیری کردن است. قبل از هرچیزی یک سری اقدامات اولیه باید انجام دهید تا از ورود کی لاگر به سیستم خود جلوگیری کنید. اگر نگران حملات سایبری و اطلاعات شخصی خود هستید یا به هر دلیلی احساس می کنید که یک کی لاگر روی سیستم شما نصب شده است؛ با استفاده از روش های زیر، می توانید با این بدافزارها مقابله کنید:
- آنتی ویروس خود را به روز نگه دارید.
- یک آنتی کی لاگر قوی و به روز مثل Antispyware، Spyware blaste و یا Keylogger Detector نصب کنید.
- به هیچ وجه بر روی لینک های مشکوک کلیک نکنید.
- اگر به سیستم خود دسترسی نداشتید و مجبور به استفاده از سیستم های کافی نت هستید، حتما از کیبورد مجازی استفاده کنید.
- از وب سایت های نامعتبر و شناخته نشده دانلود نکنید.
- ترجیحا در بازه های زمانی مشخص مثلا هر 6 ماه یا هر 9 ماه یک بار ویندوز نصب شده روی کامپیوتر خود را عوض کنید (درایو ویندوز را فرمت و مجدداً نصب کنید).
- هنگام وارد کردن اطلاعات حساس (مثل اطلاعات کارت بانکی هنگام خرید) از صفحه کلید مجازی استفاده کنید.
- از یک password manager استفاده کنید (این برنامه پسوردهای شما را به صورت اتوماتیک وارد می کند).
- یک تعمیرکار مطمئن و قابل اعتماد را برای تعمیر لپ تاپ یا موبایلتان انتخاب کنید.
- روی گوشی و سیستمتان پسورد مطمئن بگذارید تا در عدم حضور شما کسی نتواند نرم افزاری نصب کند.
- نرم افزارهای مورد نیازتان را تنها از سایت های معتبر مثل پلی استور یا اپ استور دانلود کنید.
- از احراز هویت دومرحله ای استفاده کنید.
استفاده از صفحه کلید مجازی
یکی از امن ترین روش ها برای حفظ رمزهای عبور حساس استفاده از صفحه کلید مجازی یا On Screen Keyboard است. این برنامه برای زمان هایی که شک دارید برنامه جاسوسی روی سیستمتان نصب است یا نه خیلی مفید است. همچنین ممکن است مجبور باشید از سیستم فرد دیگری استفاده کنید و نمی دانید سیستم آلوده به بدافزار هست یا نه؟
برای دسترسی به این ابزار کافی است در منوی ویندوز کلمه On Screen Keyboard را تایپ کنید تا برنامه مربوطه برایتان باز شود. در صورتی که به این روش موفق نشدید صفحه کلید مجازی را اجرا کنید از منوی Start قسمت Accessories و سپس Ease of Access برنامه On Screen Keyboard را اجرا کنید و یا با فشردن کلیدهای Window+R پنجره Run ویندوز را فراخوانی کرده و با استفاده از دستور osk برنامه On Screen Keyboard را اجرا کنید.
این برنامه یک کیبورد نرم افزاری در اختیار شما قرار می دهد که برای تایپ با آن می توانید با استفاده از موس دکمه های مدنظرتان را انتخاب کنید. با این کار اگر کیلاگر سخت افزاری یا نرم افزاری بر روی سیستم نصب باشد متوجه تایپ کردن شما نمی شود. البته این امکان وجود دارد که از شانس بد بدافزار دیگری وجود داشته و به سیستم شما نفوذ کند. اما این روش قطعا یکی از بهترین روش ها برای مقابله با کیلاگر است.