کی لاگر (Keylogger) چیست؟

کی لاگر (Keylogger) چیست؟

کی لاگر (keylogger) یا ضبط کننده ضربات صفحه کلید، نوعی بدافزار یا سخت افزار جاسوسی هست که کلیدهایی که روی صفحه کلید فشار داده میشن رو ثبت و ذخیره میکنه. در ادامه اگر علاقمند به آموزش هک و امنیت هستید، با ما همراه باشید.

این اطلاعات بعد از ثبت به یک هکر از طریق سرور فرمان و کنترل (c&c) ارسال میشن. هکر با تحلیل این داده ها، نام های کاربری و رمزهای عبور رو شناسایی میکنه و از اون ها برای نفوذ به سیستم های امن استفاده میکنه.

انواع کی لاگر (Keylogger)

کی لاگرها در دو دسته کلی قرار میگیرن: نرم افزاری و سخت افزاری.

کی لاگر نرم افزاری (software keylogger) نوعی بدافزار هست که میتونه علاوه بر آلوده کردن دستگاه، در صورت برنامه ریزی، به دستگاه های دیگه هم منتقل بشه. اما کی لاگر سخت افزاری (hardware keylogger) از این قابلیت برخوردار نیست، اما همچنان اطلاعات ثبت شده رو برای هکر ارسال میکنه تا از اون ها برای نفوذ به سیستم های مختلف استفاده بشه.

کی لاگرهای نرم افزاری

کی لاگرهای نرم افزاری در قالب برنامه هایی نصب میشن که وظیفه سرقت داده های ورودی صفحه کلید رو دارن. این نوع کی لاگر رایج ترین روشی هست که هکرها برای سرقت اطلاعات از اون استفاده میکنن.

کی لاگر نرم افزاری زمانی روی سیستم نصب میشه که کاربر یک برنامه آلوده رو دانلود کنه. بعد از نصب، کی لاگر شروع به ردیابی و ثبت کلیدهای فشرده شده روی سیستم عامل میکنه و مسیر اون ها رو دنبال میکنه. به این ترتیب، میتونه تمام اطلاعات ورودی کاربر رو ذخیره کنه.

بعد از ثبت داده ها، کی لاگر اون ها رو به طور خودکار به سرور کنترل شده توسط هکر ارسال میکنه. هکر از طریق این سرور، داده های ذخیره شده رو دریافت میکنه و از اون ها برای کشف رمزهای عبور و دسترسی به حساب های کاربری قربانی استفاده میکنه.

اطلاعات سرقت شده ممکنه شامل حساب های ایمیل، اطلاعات بانکی و سایر حساب های حساس باشه. هدف نهایی هکرها ممکنه فقط نفوذ به یک حساب خاص نباشه، بلکه از این اطلاعات برای سرقت بیشتر داده ها و حملات گسترده تر استفاده بشه.

کی لاگرهای سخت افزاری

کی لاگر سخت افزاری عملکردی مشابه با نوع نرم افزاری داره، اما بزرگترین تفاوت اون اینه که برای ثبت داده ها، باید به طور فیزیکی به سیستم هدف متصل بشه. به همین دلیل، نظارت بر افرادی که به شبکه و دستگاه های متصل به اون دسترسی دارن، اهمیت زیادی داره.

اگه یک فرد غیرمجاز به یکی از دستگاه های شبکه دسترسی پیدا کنه، ممکنه یک کی لاگر سخت افزاری رو نصب کنه که برای مدت طولانی بدون شناسایی روی سیستم باقی بمونه. بعد از اینکه این دستگاه اطلاعات لازم رو جمع آوری کرد، هکر باید به طور فیزیکی به دستگاه دسترسی داشته باشه تا داده ها رو دانلود کنه.

دانلود داده ها فقط بعد از اتمام فرآیند ثبت کلیدها انجام میشه، چون تا زمانی که کی لاگر در حال کار هست، امکان دسترسی از راه دور به داده ها وجود نداره. در بعضی موارد، هکر ممکنه کی لاگر رو به wi-fi متصل کنه تا بدون نیاز به نزدیک شدن به دستگاه، اطلاعات رو به دست بیاره.

کی لاگرها چگونه ساخته میشن؟

مفهوم اصلی کی لاگرها اینه که باید در مسیری قرار بگیرن که بین فشرده شدن کلید روی صفحه کلید و نمایش اطلاعات اون روی مانیتور قرار داشته باشن. چندین روش برای انجام این کار وجود داره.

روش های ساخت کی لاگر

برخی هکرها از نظارت ویدیویی برای مشاهده ارتباط بین کلیدهای فشرده شده و اطلاعات نمایش داده شده روی مانیتور، استفاده میکنن. این کار با نصب یک دوربین در زاویه ای که هم صفحه کلید و هم نمایشگر رو پوشش بده، انجام میشه. بعد از ضبط ویدیو، هکر میتونه اون رو بازبینی کنه، سرعت ویدیو رو کاهش بده و کلیدهای فشرده شده رو مشاهده کنه.

یک مهاجم همچنین میتونه یک سخت افزار جاسوسی رو مستقیماً داخل صفحه کلید قرار بده. این دستگاه تمام کلیدهای فشرده شده رو ضبط میکنه و داده ها رو یا روی یک سرور ذخیره میکنه یا به یک دستگاه فیزیکی نزدیک ارسال میکنه.

علاوه بر این، نرم افزارهای کی لاگر میتونن طراحی بشن تا همه ورودی های صفحه کلید رو رهگیری کنن. این کار از طریق روش های مختلفی انجام میشه:

• تعویض درایور صفحه کلید با درایوری که هر ضربه کلید رو ثبت کنه
• استفاده از یک درایور فیلتر که در لایه ورودی صفحه کلید قرار داده بشه
• رهگیری توابع کرنل که از داده ها برای کمک به یادگیری ماشین استفاده میکنن و استخراج کلیدهای مورد نیاز برای عملکردهای احراز هویت
• رهگیری توابع کتابخانه های پیوند دینامیک (dll) که کدهای مشترک بین چندین برنامه رو ذخیره میکنن

روش های متداول برنامه نویسی کی لاگرهای نرم افزاری

نرم افزارهای کی لاگر که به عنوان یک نوع جاسوس افزار (spyware) شناخته میشن، با استفاده از روش های مختلفی ساخته میشن. اینجا به رایج ترین روش ها اشاره شده:

• استفاده از هوک سیستم (system hook) که تکنیکی برای تغییر رفتار سیستم عامل هست و برای رهگیری هر اعلان هنگام فشرده شدن کلید استفاده میشه. این نوع نرم افزار معمولاً با زبان c برنامه نویسی میشه.
• استفاده از درخواست اطلاعات دوره‌ای که اطلاعات ورودی صفحه کلید رو جمع آوری میکنه. این نوع کی لاگرها معمولاً با زبان های visual basic یا borland delphi نوشته میشن.
• نوشتن یک درایور فیلتر که در سیستم نصب و اجرا میشه. این نوع کی لاگرها معمولاً با زبان c نوشته میشن.

برخی از کی لاگرها که به عنوان روتکیت (rootkit) شناخته میشن، قابلیت پنهان شدن دارن تا از شناسایی دستی یا توسط آنتی ویروس ها جلوگیری کنن. این بدافزارها میتونن خودشون رو در حالت کاربری (user mode) یا کرنل (kernel mode) پنهان کنن.

چگونه یک کی لاگر را شناسایی کنیم؟

ساده ترین روش برای شناسایی کی لاگر، بررسی task manager هست. در این قسمت میتونید ببینید چه پردازش هایی در حال اجرا هستن.

تشخیص اینکه کدوم پردازش ها قانونی هستن و کدوم ممکنه به یک کی لاگر مربوط باشه، همیشه آسون نیست. اما میتونید نام هر پردازش رو در اینترنت جستجو کنید تا ببینید آیا کاربران دیگه در مورد اون هشدار دادن یا نه.

برای باز کردن task manager در ویندوز:

• روی نوار وظیفه (taskbar) کلیک راست کنید و گزینه task manager رو انتخاب کنید.

در این پنجره، برنامه هایی که در بخش apps نمایش داده میشن، همون هایی هستن که شما مستقیماً در حال استفاده از اون ها هستید.
کی لاگرها در این بخش دیده نمیشن، اما ممکنه در قسمت background processes قابل مشاهده باشن.

بررسی برنامه های استارتاپ برای یافتن کی لاگر

یکی دیگه از جاهایی که میتونید کی لاگرها رو پیدا کنید، تب startup در task manager هست.

کی لاگرها طوری تنظیم میشن که همیشه روی کامپیوتر اجرا بشن، بنابراین با روشن شدن سیستم عامل فعال میشن.

برای بررسی این قسمت:

• وارد تب startup بشید و لیست برنامه هایی که در زمان روشن شدن سیستم اجرا میشن رو بررسی کنید.
• به دنبال برنامه هایی بگردید که خودتون نصب نکردید یا به نظرتون مشکوک میان.
• اگه چیزی غیرعادی دیدید، روی اون کلیک کنید و دکمه disable رو در گوشه پایین سمت راست بزنید.

بررسی مصرف اینترنت برای یافتن کی لاگر

یکی دیگه از راه های شناسایی کی لاگر، بررسی گزارش مصرف اینترنت سیستم هست.

برای انجام این کار در ویندوز:

• دکمه windows + i رو همزمان فشار بدید تا صفحه تنظیمات باز بشه.
• به قسمت network & internet برید، بعد گزینه data usage رو انتخاب کنید.
• در این قسمت، لیستی از برنامه هایی که از اینترنت استفاده کردن نمایش داده میشه.

اگه چیزی مشکوک یا ناشناس در لیست دیدید، میتونید اسمش رو در اینترنت جستجو کنید تا بفهمید چی هست. ممکنه یکی از اون ها یک کی لاگر باشه.

بررسی افزونه های مرورگر برای شناسایی کی لاگر

کی لاگرها ممکنه به عنوان افزونه مرورگر هم نصب بشن. بنابراین اگه افزونه ای رو مشاهده کردید که خودتون نصب نکردید، غیرفعالش کنید.

نحوه دسترسی به افزونه های مرورگر در مرورگرهای معروف:

• safari: از منوی safari گزینه preferences رو انتخاب کنید، بعد روی extensions کلیک کنید.
• chrome: در نوار آدرس بنویسید chrome://extensions/
• opera: از منوی opera گزینه extensions رو انتخاب کنید، بعد manage extensions رو باز کنید.
• firefox: در نوار آدرس عبارت about:addons رو وارد کنید.
• microsoft edge: از منوی مرورگر گزینه extensions رو انتخاب کنید.
• internet explorer: از منوی tools گزینه manage add-ons رو انتخاب کنید.

با این روش ها، میتونید کی لاگرها رو روی سیستم یا مرورگر خودتون شناسایی و حذف کنید.

چگونه کی لاگرها به دستگاه شما حمله میکنن؟

برای اینکه یک کی لاگر به دستگاه شما دسترسی پیدا کنه، باید روی سیستم شما نصب بشه یا در مورد کی لاگرهای سخت افزاری، به صورت فیزیکی به کامپیوتر شما متصل بشه. روش های مختلفی برای حمله کی لاگرها به دستگاه شما وجود داره.

فیشینگ هدفمند (spear phishing)

فیشینگ هدفمند یکی از رایج ترین روش ها برای آلوده کردن سیستم به بدافزارها هست. در بیشتر موارد، یک ایمیل فیشینگ یا لینک آلوده برای هدف قرار دادن کاربر ارسال میشه.

این لینک ممکنه قانونی به نظر برسه و حتی به نظر برسه که از طرف یکی از دوستان یا بستگان شما ارسال شده. اما به محض اینکه ایمیل رو باز کنید یا روی لینک کلیک کنید، یک کی لاگر روی دستگاه شما نصب میشه.

حملات فیشینگ هدفمند همچنین میتونن برای اجرای حملات اخاذی اینترنتی (sextortion) مورد استفاده قرار بگیرن.

دانلود مخفیانه (drive-by download)

دانلود مخفیانه به شرایطی اشاره داره که در اون یک کی لاگر بدون اطلاع شما روی کامپیوترتون نصب میشه.

این کار معمولاً از طریق یک وب سایت مخرب انجام میشه. زمانی که شما از این سایت بازدید میکنید، بدافزار به طور خودکار روی سیستم شما دانلود و نصب میشه.

بعد از نصب، کی لاگر در پس زمینه اجرا میشه، بدون اینکه قابل تشخیص باشه و تمام کلیدهای فشرده شده شما رو ثبت میکنه و اون ها رو برای مهاجم ارسال میکنه.

اسب تروجان (trojan horse)

معمولاً کی لاگرها به همراه بدافزارهای اسب تروجان نصب میشن.

اسب تروجان شبیه به داستان اسب چوبی یونانی به نظر یک برنامه بی ضرر میاد، اما وقتی کاربر اون رو باز میکنه، بدافزار شامل کی لاگر روی دستگاه نصب میشه. (اگر قصد دارین در این رابطه، اطلاعات بیشتری بدست بیارین، این مقاله رو مطالعه کنین.)

بعد از نصب، این بدافزار تمام کلیدهای فشرده شده کاربر رو ثبت میکنه و اون ها رو برای مهاجم ارسال میکنه.

مشکلاتی که کی لاگرها ایجاد میکنن

علاوه بر تهدید امنیت دستگاه شما، کی لاگرها میتونن مشکلات جانبی دیگه ای هم روی دستگاه ایجاد کنن.

اثرات مخرب کی لاگرها میتونه بسته به نوع دستگاه آلوده شده متفاوت باشه.

دسکتاپ ها و لپ تاپ ها

پردازش های ناشناخته که منابع سیستم رو مصرف میکنن

همه نرم افزارها برای اجرا شدن نیاز به یک پردازش دارن و کی لاگرها هم از این قاعده مستثنا نیستن. هر پردازشی که روی سیستم شما اجرا میشه، مقداری از قدرت پردازشی رو مصرف میکنه. پردازش مربوط به کی لاگرها هم بعد از فعال شدن، میتونه روی عملکرد کلی سیستم تأثیر منفی بذاره. ممکنه باعث بشه برنامه های دیگه درست اجرا نشن یا کند بشن.

برای بررسی پردازش های در حال اجرا، میتونید task manager رو باز کنید. نحوه انجام این کار در بخش “چگونه یک کی لاگر را شناسایی کنیم؟” توضیح داده شده.

تأخیر در تایپ کردن

چون کی لاگر خودش رو بین صفحه کلید و نمایشگر قرار میده، ممکنه باعث ایجاد تأخیر در نمایش کاراکترهای تایپ شده بشه.

اگه معمولاً حروف و اعداد، بلافاصله بعد از فشردن کلید روی صفحه نمایش ظاهر میشن، اما ناگهان متوجه یک تأخیر کوچک در تایپ شدید، این میتونه نشونه ای از وجود یک کی لاگر باشه.

البته گاهی این مشکل به کمبود حافظه ram یا مشکلات سیستمی دیگه هم مربوط میشه، اما در صورت مشاهده چنین تأخیری بهتره سیستم رو برای وجود کی لاگر بررسی کنید.

فریز شدن ناگهانی برنامه ها

کی لاگرها ممکنه پردازش های عادی سیستم رو مختل کنن، که باعث میشه برنامه ها به طور تصادفی هنگ کنن.

اگه متوجه شدید که برنامه ها بیشتر از حد معمول فریز میشن، احتمال داره یک کی لاگر در حال اجرا روی سیستم شما باشه.

اندروید و آیفون

هرچند کی لاگرهای سخت افزاری برای موبایل ها طراحی نشدن، اما گوشی های اندروید و آیفون میتونن قربانی کی لاگرهای نرم افزاری بشن.

کی لاگرهای موبایلی به جای ثبت کلیدهای فشرده شده، محل لمس صفحه رو رهگیری میکنن. این یعنی میتونن دکمه های مجازی‌ای که کاربر فشار میده رو تشخیص بدن و اطلاعات رو برای مهاجم ارسال کنن.

این نوع کی لاگرها حتی میتونن بیشتر از یک کی لاگر معمولی اطلاعات ثبت کنن:

• گرفتن اسکرین شات
• ضبط فعالیت دوربین
• رهگیری اطلاعات چاپگرهای متصل شده
• ضبط صداهای ورودی از میکروفون
• بررسی ترافیک شبکه
• جلوگیری از ورود کاربر به برخی وب سایت ها

برای نصب یک کی لاگر روی موبایل، هکر فقط به چند لحظه دسترسی فیزیکی به گوشی نیاز داره. همچنین ممکنه با کلیک روی یک لینک یا باز کردن یک فایل آلوده، ناخواسته یک کی لاگر رو روی دستگاه خودتون نصب کنید.

چگونه دستگاه های خودم رو از کی لاگرها محافظت کنم؟

بهترین راه استفاده از یک آنتی ویروس قوی یا فایروال هست. اما راه های دیگه ای هم هست که میتونه احتمال آلوده شدن به کی لاگر رو کاهش بده:

استفاده از مدیر رمزعبور (password manager):

این ابزارها میتونن رمزهای پیچیده تولید کنن و از طرفی به جای تایپ کردن رمز، خودشون به طور خودکار فیلدهای رمزعبور رو پر کنن. اگه رمز رو تایپ نکنید، کی لاگر هم نمیتونه چیزی ثبت کنه. چون معمولاً کاراکترهای رمز به شکل ستاره نمایش داده میشن، حتی نظارت تصویری هم نمیتونه رمز شما رو تشخیص بده.

فعال کردن احراز هویت چند مرحله ای (mfa):

اگه یک کی لاگر موفق بشه رمز شما رو به دست بیاره، مرحله دوم احراز هویت میتونه از ورود غیرمجاز جلوگیری کنه.

استفاده از صفحه کلید مجازی (virtual keyboard):

این روش میتونه از ثبت کلیدهای فشرده شده توسط کی لاگر جلوگیری کنه. حتی کی لاگرهای سطح پایین که روی کرنل اجرا میشن هم نمیتونن داده های وارد شده از طریق کیبورد مجازی رو ثبت کنن. در ویندوز میتونید با فشار دادن دکمه windows + r و تایپ osk صفحه کلید مجازی رو باز کنید.

بررسی اتصالات سخت افزاری کامپیوتر:

هرچند کی لاگرهای سخت افزاری رایج نیستن، اما اگه پشت کیس کامپیوتر خودتون رو بررسی نکنید، ممکنه یک هکر یک کی لاگر سخت افزاری نصب کرده باشه. این موضوع به خصوص در هنگام استفاده از کامپیوترهای عمومی خطرناکه، چون ممکنه مهاجم کی لاگر رو روزها یا هفته ها قبل از ورود شما به سایت های بانکی، حساب های کاربری یا ایمیل نصب کرده باشه.

با رعایت این نکات میتونید امنیت سیستم خودتون رو افزایش بدید و از حملات کی لاگرها جلوگیری کنید.

در انتها اگر این مطلب براتون مفید و کاربردی بود خوشحال میشیم که نظرات و سوالاتتون رو با ما به اشتراک بگذارین.