USB Rubber Ducky ve BadUSB Saldırıları
Mart 19, 2026
USB cihazları, ofis ve saha ortamlarında hâlâ en yaygın ve en “güvenilen” çevre birimlerindendir. Klavye, fare, ağ adaptörü, şarj kablosu veya depolama aygıtı gibi görünen bir donanım, çoğu kullanıcı için risk çağrıştırmaz. Tam da bu nedenle USB tabanlı saldırılar, insan reflekslerini ve işletim sistemlerinin varsayılan güven modelini hedef alır. USB Rubber Ducky ve BadUSB kavramları bu alanda sık anılır; ikisi aynı şey değildir ama ortak bir noktaları vardır: USB’nin “tak-çalıştır” konforunu kötüye kullanarak sistemde istenmeyen eylemler tetiklemek.
Bu konu doğası gereği kötüye kullanıma açıktır. Bu nedenle uygulanabilir saldırı talimatları, cihaz programlama adımları veya komut dizileri vermeden; saldırıların çalışma mantığını, hangi koşullarda etkili olduğunu, kurumların nasıl tespit edebileceğini ve riskin nasıl azaltılacağını savunma odaklı şekilde ele almak gerekir. Bu makale, USB Rubber Ducky ve BadUSB saldırılarını yüksek seviyede açıklarken; güvenlik bariyerlerini (insan + süreç + teknoloji) katmanlı biçimde nasıl kurabileceğinizi de özetler.
USB Rubber Ducky Nedir?
USB Rubber Ducky, dışarıdan bakıldığında sıradan bir USB bellek gibi görünen; ancak bilgisayara takıldığında kendini “klavye” (HID – Human Interface Device) olarak tanıtan bir cihaz konseptidir. İşletim sistemleri, klavyeyi genellikle güvenli bir çevre birimi olarak kabul eder ve çoğu zaman ek doğrulama istemeden girişleri alır. Bu da saldırganın, kullanıcının yerine hızlı tuş girdileri üreterek sistemde belirli işlemleri tetikleyebileceği bir risk alanı oluşturur.
Rubber Ducky benzeri saldırıların gücü, bir yazılım açığından ziyade ‘güven ilişkisi’nden gelir. Kullanıcı bir USB takar; sistem onu klavye olarak görür; ardından kısa süreli otomatik girdilerle kullanıcı etkileşimi varmış gibi eylemler başlatılabilir. Burada riskin büyüklüğü, kullanıcının oturumunun açık olup olmadığına, yetki seviyesine ve uç nokta güvenlik politikalarına bağlıdır.
BadUSB Nedir?
BadUSB, USB cihazlarının firmware/denetleyici katmanının kötüye kullanımıyla ilişkilendirilen daha geniş bir kavramdır. Burada mesele, cihazın ‘dosya içeriği’ değil; cihazın USB üzerinden kendini nasıl tanıttığıdır. Bir cihaz depolama olarak görünürken, aynı anda farklı bir USB sınıfı gibi davranabilir veya kimliğini değiştirebilir. Bu yaklaşım, güvenlik kontrollerini atlatmayı ve kullanıcıyı yanıltmayı kolaylaştırabilir.
BadUSB’i özellikle riskli yapan nokta, klasik antivirüs taramalarının “dosya” üzerinden çalışmasıdır. Firmware seviyesinde davranış değişikliği olduğunda, dosya taraması tek başına yeterli sinyal üretemeyebilir. Bu yüzden BadUSB riski, cihaz kontrol politikaları ve port güvenliği ile yönetilmesi gereken bir donanım güvenliği problemidir.
Saldırı Mantığı: Neyi Hedefler?
USB Rubber Ducky ve BadUSB saldırıları, farklı teknik katmanlarda dursa da benzer hedeflere yönelir:
- Kullanıcı eylemini taklit etmek: Klavye/fare gibi davranarak kullanıcı etkileşimi varmış gibi işlem başlatmak.
• Güvenlik kararını ‘sessizce’ aşmak: Kullanıcı onayı veya ek doğrulama gerektiren adımları hız baskısıyla tetiklemek.
• Kısa sürede etki üretmek: Cihaz takıldıktan sonra hızlı aksiyon alarak analistin müdahale penceresini daraltmak.
• Kalıcılık veya erişim kolaylaştırma: Tek seferlik etki, daha sonra uzaktan erişim veya daha büyük bir saldırı zinciri için zemin oluşturabilir.
Bu saldırılar çoğu zaman “içeri sokma” problemiyle birleşir: cihazın binaya veya çalışma alanına girmesi (sosyal mühendislik, unutulan USB, hediye cihazlar, kargo). Dolayısıyla savunma, sadece teknik değil; fiziksel güvenlik ve farkındalık katmanlarını da içermelidir.
Yaygın Risk Senaryoları (Yüksek Seviye)
Uygulanabilir istismar adımlarına girmeden, kurumlarda bu saldırıların etkili olduğu tipik senaryo desenleri şunlardır:
1) Açık oturum ve yüksek yetki:
Kullanıcı oturumu açık ve yetkisi yüksekse, USB üzerinden tetiklenen işlemlerin etkisi büyür. Bu, “least privilege” ilkesinin neden kritik olduğunu gösterir.
2) BYOD ve kontrolsüz çevre birimleri:
Kurum, hangi USB cihazlarının takılabildiğini kontrol etmiyorsa; bilinmeyen cihazlar kolayca içeri girer. Evden çalışma senaryolarında bu risk daha görünmez hâle gelebilir.
3) Kiosk ve ortak kullanım alanları:
Toplantı odası PC’leri, resepsiyon cihazları, demo makineleri gibi ortak kullanım alanlarında fiziksel erişim daha kolaydır.
4) Güvenlik politikası istisnaları:
“Bir kereden bir şey olmaz” yaklaşımıyla verilen istisnalar (USB serbest, ekran kilidi kapalı, admin hakları yaygın) saldırganın işini kolaylaştırır.
5) Zayıf izleme:
USB takma olayları, yeni HID cihazları veya ani komut çalıştırma davranışları izlenmiyorsa, olay geç fark edilir.
Tespit ve Görünürlük: Ne İzlenebilir?
USB tabanlı saldırıları tamamen engellemek zor olabilir; ancak iyi telemetri ile erken yakalamak mümkündür. Savunma tarafında izlenebilecek sinyaller:
- Yeni USB/HID cihaz olayları: Özellikle beklenmeyen zamanda eklenen klavye benzeri cihazlar.
• Anormal kullanıcı etkileşimi: Çok kısa sürede aşırı hızlı ‘girdi’ davranışı, olağandışı uygulama açılışları.
• Komut çalıştırma anormallikleri: Kullanıcının alışık olmadığı süreç zincirleri, beklenmeyen yönetim araçlarının açılması.
• Politika ihlalleri: Kurumsal cihazda yetkisiz USB sınıfı denemeleri veya engellenen cihaz kayıtları.
• Fiziksel olay korelasyonu: Güvenlik kameraları, turnike kayıtları veya ziyaretçi loglarıyla zaman eşleştirme.
Bu sinyallerin değer üretmesi için EDR telemetrisi, işletim sistemi olay kayıtları ve cihaz yönetimi (MDM/Endpoint Management) verileri birlikte değerlendirilmelidir.
Risk Azaltma: İnsan + Süreç + Teknoloji
USB Rubber Ducky ve BadUSB riskini düşürmek için en iyi yaklaşım katmanlı savunmadır:
1) İnsan (farkındalık):
Kullanıcıların ‘bulunan USB’yi takmama’ refleksi geliştirmesi, en ucuz ve en etkili bariyerlerden biridir. Farkındalık, korkutma değil, net kural ve kolay raporlama kanalı (bulunan cihazı teslim etme) ile desteklenmelidir.
2) Süreç (politika ve kontrol):
USB kullanım politikası yazılı olmalı: hangi birimler kullanabilir, hangi cihaz türleri izinli, istisna süreci nasıl? Teslimat/hediye cihazların kayıt altına alınması ve onay süreci, saldırı yüzeyini daraltır. Ayrıca ekran kilidi, oturum süreleri ve admin haklarının sınırlandırılması, USB etkisini düşürür.
3) Teknoloji (kontrol ve izleme):
Cihaz kontrolü (device control) ile izinli USB sınıfları ve izinli cihaz listeleri uygulanabilir. HID cihazlarına sınırlama, yeni klavye takıldığında uyarı/engelleme, yalnızca kurumsal imzalı depolama cihazlarına izin verme gibi yaklaşımlar kurum politikasına göre değerlendirilebilir. EDR/XDR tarafında USB olaylarının korelasyonu ve otomatik ticket/izolasyon akışları (SOAR) kurulabilir.
Bu katmanlar birlikte uygulandığında, saldırganın ‘tak-çalıştır’ avantajı azalır ve risk yönetilebilir hâle gelir.
Sonuç
USB Rubber Ducky ve BadUSB saldırıları, teknik bir zafiyetten çok güven ilişkisini ve fiziksel erişimi hedefleyen tehditlerdir. Rubber Ducky benzeri yaklaşım, USB’nin kendini klavye gibi tanıtıp kullanıcı etkileşimini taklit etmesine dayanır; BadUSB ise firmware/USB kimliği katmanındaki manipülasyonlarla daha geniş bir risk alanı oluşturur.
Kurumlar bu tehdidi; kullanıcı farkındalığı, net USB politikaları, cihaz kontrol teknolojileri, EDR/XDR görünürlüğü ve fiziksel güvenlikle birlikte ele aldığında, hem olasılık hem etki belirgin biçimde düşer. En önemli mesaj şudur: USB güvenliği, “yasakla geç” kadar “kontrol et, izle, yönet” disiplinini gerektirir.