Birisinin Windows bilgisayarınıza uzaktan erişimi olduğunu nasıl anlarsınız?

En tehlikeli kötü amaçlı yazılım türlerinden bazıları, uzaktan erişim sağlayan Truva atları (RAT'ler) ve çekirdek düzeyindeki kök araç takımları gibi, kurbanın bilgisayarına uzaktan erişim sağlamak için tasarlanmıştır . Sessiz çalıştıkları için tespit edilmeleri zordur. Birisinin Windows bilgisayarınıza yetkisiz uzaktan erişim sağladığından endişeleniyorsanız, tehdidi nasıl doğrulayıp kaldıracağınızı öğrenin.

Birisi bilgisayarınıza eriştiğinde uyarı işaretleri

Uzaktan erişim girişimlerinin çoğu sessiz olsa da, yine de bazı uyarı işaretlerini beraberinde getirir. Bu işaretler Windows'un popülerliğinin göstergesi olabilir ancak bir araya geldiklerinde uzaktan erişim etkinliğinin güçlü kanıtları olabilirler.

• Alışılmadık fare/klavye davranışı : Eğer imleç düzensiz hareket ediyorsa veya müdahaleniz olmadan metin giriliyorsa, bu uzaktan kumandalı bir aracın işi olabilir. Bu araçlar aktif olarak kontrol edilmese bile imleç atlama/ışınlanma gibi sorunlara yol açabilir. Bu sinyal, fare ve klavyenin tarayıcının adres çubuğuna erişmesi ve bir web sitesi adresi girmesi gibi görevleri gerçekleştirmeye başlaması durumunda bir onay görevi de görebilir.
• Kendiliğinden açılıp kapanan programlar : Bilgisayar korsanları , sistem üzerinde daha fazla kontrol sahibi olmak veya güvenlik özelliklerini devre dışı bırakmak için belirli uygulamaları (örneğin antivirüs yazılımı veya Komut İstemi ) açmak üzere komutlar da gönderebilirler . Eğer programların kendi kendine açılıp kapandığını görüyorsanız bu bir uyarı işaretidir.
• Yeni bilinmeyen kullanıcı hesapları oluşturma : Bazı kötü niyetli kişiler, tespit edildikten sonra bile kalıcı erişim elde etmek için ikincil hesaplar oluşturmayı deneyebilir. Muhtemelen hesabı kilit ekranından gizlemek için kullanıcı değiştirme özelliğini devre dışı bırakacaklar. Windows Ayarları -> Hesaplar'a gidin ve Aile ve Diğer kullanıcılar altında ikincil hesabı bulun .

• Aniden yavaşlayan performans : Uzaktan kumanda işlemleri de kaynak yoğun olduğundan, performansta ani bir düşüş fark edebilirsiniz. Özellikle uzaktan kumandalı işlemler nedeniyle zaman zaman performans düşüşleri yaşanıyorsa bu husus dikkate alınmaya değer.
• Windows Uzak Masaüstü otomatik olarak etkinleştirilir : Windows Uzak Masaüstü oldukça savunmasızdır, bu nedenle bilgisayar korsanları genellikle uzak bağlantılar oluşturmak için bu özelliği kullanırlar. Bu özellik varsayılan olarak devre dışıdır, bu nedenle sizin müdahaleniz olmadan etkinleştirilirse, bir bilgisayar korsanı tarafından yapılabilir. Windows Ayarları'nda Sistem -> Uzak Masaüstü'ne gidin ve bu özelliğin etkin olup olmadığına bakın.

Bilgisayarınıza uzaktan erişildiğini nasıl doğrulayabilirsiniz?

Yukarıdaki belirtileri fark ederseniz şüphenizi doğrulamak için gerekli adımları atın. Uzaktan erişim sürecinde yer alan bileşenlerin/uygulamaların etkinliğini izleyerek, birisinin Windows bilgisayarınıza eriştiğini doğrulayabilirsiniz. İşte en güvenilir yöntemlerden bazıları:

Windows Olay Görüntüleyicisi günlüklerini kontrol edin

Windows Olay Görüntüleyicisi, kullanıcı etkinliğini izlemek ve RDP etkinliğini ve oturum açma günlüklerini izleyerek uzaktan erişim girişimlerini tespit etmeye yardımcı olmak için harika bir yerleşik araçtır.

Windows Arama'da "Olay Görüntüleyicisi"ni arayın ve Olay Görüntüleyicisi'ni açın .

Windows Günlükleri -> Güvenlik bölümüne gidin ve olayları kimliğe göre sıralamak için Olay Kimliği sekmesine tıklayın. ID'si 4624 olan tüm etkinlikleri arayın ve ayrıntılarını kontrol ederek hiçbirinin Oturum Açma Türü 10 olmadığından emin olun . Olay Kimliği 4624 oturum açma girişimlerini, Oturum Açma Türü 10 ise bilgisayar korsanlarının kullanabileceği uzaktan erişim hizmetlerini kullanarak yapılan uzaktan oturum açma girişimlerini ifade eder.

Ayrıca uzak oturum yeniden bağlantısını gösterdiği için 4778 numaralı Olay Kimliğini de arayabilirsiniz . Her etkinliğin ayrıntılar sayfasında, hesap adı veya ağ IP adresi gibi önemli tanımlayıcı bilgiler yer alacaktır.

Ağ trafiğini izleyin

Uzaktan erişim ağ bağlantısına bağlıdır, dolayısıyla ağ trafiğini izlemek bunu tespit etmenin güvenilir bir yoludur. Bu amaçla GlassWire'ın ücretsiz sürümünü kullanmanızı öneririz, çünkü bu sürüm hem kötü amaçlı bağlantıları izliyor hem de otomatik olarak koruyor.

GlassWire uygulamasında GlassWire Protect bölümünün altında tüm uygulama bağlantılarını göreceksiniz . Uygulama otomatik olarak bağlantıları değerlendirecek ve güvenilmeyenleri işaretleyecektir. Çoğu durumda uygulama kötü amaçlı uzak bağlantıları tespit edip sizi uyarabilir.

Uygulama algoritmalarının yanı sıra, bilinmeyen bir uygulamanın yüksek veri kullanımı gibi ipuçlarını da arayabilirsiniz. Uzaktan bağlantılar kalıcı veriler kullandığı için tespit edilmeleri kolaydır.

Zamanlanmış görevleri görüntüle

Uzaktan erişim girişimlerinin çoğu Windows'taki Görev Zamanlayıcı aracı kullanılarak yönetilir . Bu, bilgisayarların yeniden başlatılması sırasında hayatta kalmalarına ve sürekli çalışmak zorunda kalmadan görevleri yerine getirmelerine yardımcı olur. Bilgisayarınıza virüs bulaşmışsa Görev Zamanlayıcı'da bilinmeyen uygulamalardan gelen görevleri görürsünüz.

Windows Arama'da "görev zamanlayıcı" ifadesini arayın ve Görev Zamanlayıcı uygulamasını açın. Sol panelde Görev Zamanlayıcı (Yerel) -> Görev Zamanlayıcı Kitaplığı'nı açın . Microsoft dışındaki garip veya şüpheli klasörleri arayın. Herhangi bir klasör bulursanız, göreve sağ tıklayın ve Özellikler'i seçin.

Özellikler'de , Tetikleyiciler ve Eylemler sekmelerine bakarak görevin ne yaptığını ve ne zaman yürütüldüğünü öğrenin; bu, kötü olup olmadığını anlamak için yeterli olmalıdır . Örneğin, görev oturum açma sırasında veya sistem boştayken bilinmeyen bir uygulama veya betik çalıştırıyorsa, görev kötü amaçlı olabilir.

Şüpheli görevi bulamazsanız Microsoft'ta arama yapmak isteyebilirsiniz. Sistem klasörlerinde karmaşık bir zararlı yazılımın gizlenmesi mümkün olabilir. "systemMonitor" gibi genel adlara veya yanlış yazılmış adlara sahip olan şüpheli görünen görevleri arayın. Neyse ki her görev için araştırma yapmanıza gerek kalmayacak, çünkü çoğu Microsoft Corporation tarafından yazılmış olacak ve bunları rahatlıkla göz ardı edebilirsiniz.