Rootkit Nedir, Nasıl Önlemler Almalıyız?

Şu anda konuyu okuyanlar (Üyeler: 1, Ziyaretçi & Botlar: 0)


Umut YAZGAN

Güvenlik & Linux & Grafik
Yönetici
Moderatör
Katılım
9 Mar 2016
Mesajlar
1,791
Puanları
113
Konum
İstanbul / Beyoğlu
Merhaba, "Rootkitler" nedir esas amaçları neye göre hizmet etmektir? sorularına cevap arayacağımız aynı zamanda kötücüllerin kötücülü olarak tabir ettiğim bu hayalet yazılım tipini detaylı olarak inceleyeceğimiz konumuza hoş geldiniz. Rootkit'i bu kadar popüler yapan, son derece tehlikeli hale getiren sebepler aslında oldukça açık. Popüler dediğime bakmayın... Rootkitlerin popülerliği, Siber dünyanın diplerinde bu işlerle uğraşanların bildikleriyle doğru orantılı. Normal bir bilgisayar kullanıcısı "Rootkit de nedir duymadım öyle bir virüs çeşidi" der ise kanımca hoş karşılanması gerek. Fakat şöyle bir durum var ki tehlike derecesi herkes için geçerli. Rootkitler, en başta Unix/Linux sistemlerde boy göstermiş olsa da aynı tehdit tipini Windows sistemler içinde içerir. Bu kötücül projeyi tanımlarken iki ayrı parçaya bölmek doğru olabilir; Root-Kit (Kök dizine erişmek için çeşitli araçların kullanılması).

Rootkit'i Tanıyalım

Bu kötücül projenin tanımını yapmaya kalkarsak evet baya uzun sürebilir... Ama bahsetmekte yarar var. Rootkitler, vulnerable (korunmasız) sisteme sızdırıldıklarında bağlı makinenin, sunucunun dosyaları gibi kendisini taklit eder. Orijinal sistem dosyaları gibi göründükleri için ve kendilerini bu denli kamufle ettikleri için masum kullanıcı tarafından fark edilmesi zor hatta imkansız derecededir. Korsan kötücülü makineye enjekte etmeyi başarırsa istediğine ulaşmış demektir, artık uygun gördüğü ve bilgisi dahilinde olan zararlı kod parçacıklarını çalıştırması için önünde hiçbir engel kalmamıştır. Korsan rootkitleri çok severler zaten sevmeleri lazım. Böylesine işlerine yarayan kötücül yazılım türünü desteklemeyip, kullanmayıp ne yapacaklar değil mi?... Artık Rootkitlerin kendilerini kamufle ettiklerini biliyoruz, bir de işin diğer yüzü var. Kendilerini saklayabildikleri gibi meşhur kitlerini (araçlarını da) saklamayı başarırlar. Bu kitlere tüm dosya çeşitleri dahildir, yani her ne kullanılacaksa.

Diğer virüsleri düşünün, rootkit'in iki aşaması olabilir ama yine hizmet ettikleri faktör aynıdır. Sisteme sızdırılan rootkit, korsanın yeni gözde oyuncağıdır ve bunu masum kullanıcının makinesinde test eder... Sisteme katmaya çalıştığı diğer kötücülleri; virüs, keylogger, rat, solucan, trojan vb. Yine aynı şekilde kullandığı yöntemle kamufle edebilir kullanıcıyı zor duruma sokabilir. Rootkit'i bu kadar tehlikeli yapan nedir? diye bir soru sorulacaksa eğer cevabı sorusu kadar basittir aslında. Diğer kötücüllerin (virüslerin) davranma biçimini düşünün veya neyi hedeflediklerini, en basitinden "virüs" kavramını ele alalım. Virüs sisteme bulaştığında belirtileri neler olur? sisteminiz yavaşlar, bilgisayar tuhafça davranmaya başlamıştır, istediğiniz bazı eylemleri gerçekleştirmenize izin vermezler, vb. değil mi bu şekilde türetebiliriz.

Rootkit'in esas amacı ise sistem kontrolüdür. Korsan vulnerable sistemde isteklerini gerçekleştirmek için bu makinenin direksiyonunu elinde tutması gerektiğini bilir. Yani mantık tam olarak budur. Direksiyon olmadan araba kullanabilir misiniz? o halde bir deneyin... Ne demiştik, rootkitler kendilerini kamufle edebilme olanağına sahip kötücül türleridirler. Dolayısıyla sistemde kullanılan bir antivirüs var ise kolayca bu duvarı atlayıp diğer tarafa geçebilirler. Duvarı atladı fakat sonrası? atladıktan sonrası da var. Antivirüs yazılımı rootkit eğer üst mertebe bir şekilde kodlandıysa algılamamaya devam edecektir. Yok daha alt bir kademe de kodlandı ise fark edilmesi söz konusudur. Hatırlayın dostlar, bu yine güvenlik kategorisinde yayınladığım bir yazı içerisinde ki detaya tekabül ediyor. "Korsanın bilgisi ve yeteneği dahilinde" kötücülün tespit aşaması değişkenlik gösterebilir.

Sisteme kattığınız şüpheli bir yazılım düşünün sağlık derecesinden pek emin değilsiniz belki de bir kötücül? bu nokta da yapmanız gereken... Şüpheli bulduğunuz kötücül dosya, yazılımı hastaneye yatırmak olacaktır. (Makine'de izi kalmayacak şekilde kökünü kazımalısınız.) aksi halde korsan rootkit ile trafiği devam ettirecek veri alınacak veri gönderilecek sistem tehlike altında olmaya devam edecektir. Rootkit'i def etmenin yollarından ayrıca bahsedeceğiz merak etmeyin. Özetle kötücül yazılımları makineden tamamıyla uzaklaştırmalıyız ki, kalıntısı kalan bir kötücül rootkit'i (oyuncak ayısı) elinden alındığının farkına varamasın. Farkına varır ise işler karmaşıklaşmaya devam edecektir. Yani arkadaşlar, kötücül adına sistemde bir kalıntı kalmamalı. Aksi halde kötücül tekrar inject deneyecektir veya backdoors'ları yardıma çağıracaktır. Ve siz "tek gel diğer virüslere mi güveniyorsun?" dediğinizde sizi dinlemeyeceklerdir emin olabilirsiniz. Rootkitlerin mantığı kamufle olduğu için genel olarak görev yöneticisine göz gezdirmek istediğimizde onları göremeyiz. Hatta rootkit'in sistemde değiştirdiği ne varsa bunları yine kontrol etmek istediğinizde göremeyeceksiniz ve sanki virüs yokmuş gibi sistem temiz gibi algılayacaksınız.

Rootkit Türleri

&User-Kit: Bu yöntemde API zorunluluğu bulunmakta, .dll enfektesi dersek doğru olabilir zira; kötücül ilk önce bu dosya formatını ziyaret etmekte ve amacına sonra hizmet etmektedir.

&Kernel-Kit: Sistemin çekirdeği olarak kabul edilen bu bölüme direkt olarak gerçekleştirilen saldırılardır. Oldukça hayatidir fakat, kernel'e düzenlenen rootkit injecti sistemde yaşanan hatalar ve bunun gibi sebeplerden dolayı fark edilebilir duruma gelebilir.

&Permanent-Kit: Kötücül sistemin depolama birimlerinde ya da dosyalama sistemlerinde (örneğin registry) hayatını sürdürmeyi hedefler. Makine restart döngüsüne geçse bile her başlangıçta kendini yeniden tanıtmayı başaracaktır.

&Non-Permanent-Kit: Tek tür hafıza yöntemini esas alır. Dosyalama sistemleri ya da giriş çıkışlarla işi yoktur, bir yerde temelli kalmak gibi düşüncesi olmayan kötücül örneğidir. Her ne kadar kalıcı durum da olmasa da, anlık olarak büyük sorunlar yaşatabilir düzeydedir.

Rootkit Protection/Korunma Biçimleri

ツ︎ Anti Root-kit yazılımları kullanın.
ツ︎ Gerekmedikçe makine, sunucu da root olmayın.
ツ︎ Root parolası son derece güçlü olmalı.
ツ︎ Etkin firewall kullanımı.
ツ︎ Sistemin güvenlik güncelleştirmeleri ihmal edilmemeli.
ツ︎ Bilinmeyen dosyaları sisteminize dahil etmeyin.
ツ︎ Yazılım yüklerken ekstra dikkatli olun.

* Dikkatli olursak her şey daha kolay...

SDN/Forum adına hazırlanmıştır, alıntı değildir.
 

kilicbaligi

Profesör
Onursal Üye
Katılım
3 Şub 2018
Mesajlar
2,711
Puanları
113
* Dikkatli olursak her şey daha kolay...

SDN/Forum adına hazırlanmıştır, alıntı değildir.
Aynen öyle. :)

Orijinal yazılar için teşekkür ederim. Kahvemizi de hazırladık. Afiyetle; hem okuyalım hem kahvemizi yudumlayalım. ;)



Merhaba,
Virüs sisteme bulaştığında belirtileri neler olur? sisteminiz yavaşlar, bilgisayar tuhafça davranmaya başlamıştır, istediğiniz bazı eylemleri gerçekleştirmenize izin vermezler, vb. değil mi bu şekilde türetebiliriz.
Tipik rootkit enfeksiyonu belirtileri

# Güvenlik yazılımınızın koruma modullerini kısmen veya tamamen devre dışı kalabilir.
# İşletim sistemi genel performansında düşüşler yaşanabilir.
# İşletim sistemi ayarlarınız kullanıcı etkileşimi olmaksızın bağımsız olarak değişebilir.
Misal: Görev çubuğunda değişen sabitlenmiş öğeler; (kilit ekranındaki veya ekran koruyucusundaki gibi) değişen veya kaybolan arka plan görüntüleri vb beklenmedik davranışlar söz konusu olabilir.
# (Windows için) Beklenmedik mavi ekran hataları (Blue Screen Error)
# Harici Disk, USB Bellek aygıtlarınızda, klavye, fare, yazıcı vs çevre birimlerinde anlık yanıt alamama, tekrarlayan donmalar, gecikmeler
# Sistem boşta iken anormal ağ trafiği
 
Üst
stat counter