RootKit Nedir

RootKit Nedir?

Rootkitler Nasıl Gizlenir? - Kaç Tür Rootkit Vardır?

Kullanıcı Aracılı Rootkitler.

Bir virüsten bile daha tehlikeli ne olabilir sorunusunun cevabıdır diyebilirim. Yazının geri kalanı biraz uzun ve pek çok bilgi içeriyor, bir fincan kahve almadan okumayın derim

RootKit

RootKit olarak bilinen yazılımlar ilk olarak UNIX işletim sistemlerinde ortaya çıkmıştır ve orijinal UNIX işletim sistemi dosyaları ile yer değiştirip normal bir kullanıcıya root erişim hakkı vermeyi hedeflemişlerdir.
Zamanla bu yazılımlar Windows ortamına çalışabilir olmuştur. Windows NT tabanlı işletim sistemlerinde çalışabilen ilk Rootkit ise 1999 yılında gözlenmiştir. Yine de bu dönemde normal bilgisayar kullanıcısının güvenlik konusunda dikkatini çekememiş, sadece güvenlik uzmanlarının uzaktan izlediği bir yazılım türü olarak kalmıştır. 2005 yılında ise Sony Digital Rights Management (DRM) Rootkit’inin tespit edilmesi Rootkit konusunun önemini gözler önüne sermiştir. İşte bu noktadan sonra rootkit’ler tüm güvenlik çevrelerince önemli ve tehlikeli bir tehtid olarak tanımlanmıştır. Çünkü Sony DRM rootkit zararsız bir rootkit olsa da tüm rootkit yazılımları kötü niyetli kullanıcılar tarafından zararlı hale getirilebilmektedir yani zararsız rootkitler de potansiyel bir tehlike oluşturmaktadır.

Adından da anlaşılabileceği gibi RootKit iki parçadan oluşmaktadır; Root= Unix sistemlerinde herşeyi yapma yetkisine sahip olan kullanıcı ya da kullanıcı yetkisi, Kit = Bu yetki sahibi olabilmek için kullanılan gerekli araç kutusu şeklinde ifade edilebilir.

Bunu yaparken sistem araçları ile yer değiştirmiş olmaları, tanınmalarını engellemekte ve arkaplanda hiçbir kullanıcının ya da tarayıcının fark edemeyeceği biçimde çalışmalarını sağlamaktadır. Bu özellikleri zararlı yazılımları yazan programcılar (hacker) tarafından çok cazip bulunmakta ve ilk başlarda kötü amaçlarla kullanılmayan bu yazılımlardan yanlış kimselerin elinde çok tehlikeli olabilecekleri için günümüzde kötü niyetli yazılımlar olarak bahsedilmektedir.

Rootkit’lerin fark ettirmeden işlemler yapabildiğinden bahsetmiştim. Bunu biraz açmak gerekirse; Rootkit yazılımların bu derece tehlikeli olmalarının en önemli nedeni sadece kendilerini gizleyebilmeleri değil aynı zamanda ne yapmak için programlandılarsa yapacakları işlemlerde kullandıkları araçları, dosyaları, kayıt defteri anahtarları, portları ve hatta sistem dosyalarını da gizleyebilmeleridir.

Rootkit’ler bu kötü özelliklerine rağmen daha önce UNIX örneğinde verdiğim gibi tamamen kötü niyetli yazılımlar olmayabilirler ancak sistemde bir rootkit olması bile bu yazılımların kötü niyetli olarak yeniden düzenlenebilmesinden sağladığı için potansiyel bir tehlike oluşturmaktadır.

Rootkit’lerin kullanılış amaçları aslında diğer kötü niyetli yazılımlardan çok farklı değildir, sisteminize aldığınız bir Rootkit başka birininin (hacker) bilgisayarınıza girmesini ve kendi yasal olmayan amaçları için bilgisayarınızı kullanmasını sağlayabilir. Mesela bir Rootkit yazılımı bilgisayarınıza başka bir kötü niyetli yazılımı (virüs, spyware, keylogger vs…) daha öncede bahsettiğim gibi gizleyebilmektedir.

Rootkitler Nasıl Gizlenir

Rootkit yazılımlarının asıl etkili olmasının nedeni işletim sisteminin zayıflıklarından yararlanmalarıdır. Bu zayıflıkları kullanarak işletim sistemine sızarlar ve bu sayede kendilerini işletim sistemi dosyaları ile değiştirebilirler.

Önceden de belirttiğim gibi rootkit yazılımları çoğu zararlı program tarayıcısından kendisini saklayabilir ve tarama sonuçlarında görünmezler. Tarama yapılırken işletim sisteminin kendileri için, tarama yapan güvenlik yazılımına yanlış bilgiler vermesini sağlarlar ve böylece işletim sistemi herhangi bir rootkit bulundurmadığını tarama yazılımına belirtir. Her ne zaman bir tarayıcı ya da kullanıcı, işletim sisteminden doğrudan bilgi isterse, işletim sisteminden gelen bilginin doğru olduğu kabul edilir. Bu bir kural gibidir. Tarama yapan bir araç işletim sistemine zararlı bir yazılım olup olmadığını sorduğunda ya da tarama yaptığında işletim sisteminde eğer rootkit varsa rootkit geri dönecek olan bu bilgiyi kendi çıkarı için düzenler ve hem kendisini hem de ilişki kurduğu diğer zararlı yazılımları gizleyen, yeniden düzenlenmiş bilgileri tarayıcıya gönderir. Bunu yapabilmesini sağlayan temel güç ise rootkit yazılımının root yani yönetici haklarına sahip olmuş olmasıdır.

Rootkitler sistemden istenen bilgileri değerlendirmek için bir süre bu bilgilerin geri dönüşünü geciktirir bu işleme hooking denmektedir. Bu hooking süresi boyunca rootkit tarayıcı ya da kullanıcı tarafından sistemden istenen bilgileri, kendisini ve ona eşlik eden zararlı yazılımları gizleyecek şekilde değiştirir.

Rootkit ile birlikte işlem gören ya da rootkit sayesinde sistemde gizlenmiş olan yazılımların tespit edilip kaldırılması da çok önemlidir. Çünkü bu yazılımlar sürekli rootkitler ile bir veri alış verişi içindedir. Rootkitden temizlenmiş bir sistemde eğer zararlı bir yazılım kendisini gizleyecek bir rootkit olmadığını fark ederse bu sistemi öncelikle rootkit ile tekrar enfekte etmek için çalışacaktır bunu açtığı backdoorlar ile yapabileceği gibi değişik biçimlerde de yapabilmektedir.

Peki bu gizlenme size nasıl yansır, örneğin görev yöneticisini açtığınızda arkada çalışan bu rootkit ve ilişkili dosyalar çalışsalar da göremezsiniz. Eğer windows ile bu rootkit dosyasının bulunduğu dizine giderseniz ortada bir rootkit olmadığını görürsünüz, kayıt defterinde bir değişiklik var mı diye kontrol ettiğinizde değişiklik bulunsa da göremezsiniz ve eğer rootkit bir port kullanıyorsa, portları kontrol etseniz bile açık değil, kapalı olarak görürsünüz.


Kaç Tür Rootkit Vardır

Temelde iki tür rootkit bulunmaktadır. Bunlar sistemdeki etkilerine, sistemde kalıcı olup olmadıklarına göre iki ana gruba ayrılabilirler.

1-) Kullanıcı Aracılı Rootkitler
a-) Kalıcı Olanlar (Sistem yeniden başlatılsa bile kendisi ve etkisi ortadan kalkmayan)
b-) Kalıcı Olmayanlar (Sistem yeniden başlatıldığında kendisi ve etkisi ortadan kalkan)
2-) Çekirdek (Kernel) Aracılı Rootkitler
a-) Kalıcı Olanlar
b-) Kalıcı Olmayanlar

Bunlardan Kullanıcı Rootkileri, Kernel Rootkitlerinden daha az zararlıdır ve etkileri sadece bulaştıkları kullanıcı hesabı ile sınırlıdır.

Kullanıcı Aracılı Rootkitler

Bunlar zararlı işlemleri yapmak ve işletim sisteminden istekte bulunmak için API (application programming interface) kullanmak durumundadırlar. Bu API istekleri Kernel’e doğrudan ulaşmaz ve DLL (Dynamic Link Libraries) olarak bilinen dosyalara uğramak durumundadır. Bu DLL dosyaları API isteklerini kernel’in anlayabileceği
şekilde düzenler ve istek gerçekleştirilir. Gördüğünüz gibi bu seviyede doğrudan kernele erişim bulunmamakta ve aracı kullanılmaktadır.

Kernel Aracılı Rootkitler

Kernel, işletim sisteminin beyni ve en temel parçası olarak değerlendirilebilir. Tüm yazılımlar bir şekilde kernel ile iletişim halinde olmalıdır ve bu kadar öneme sahip olan bir bölüme rootkit yazılımılarının doğrudan erişimi çok tehlikelidir. Bu alanda bulunan bir rootkit sistemin tüm kontrolünü elinde tutabilir. Ancak Kernel Aracılı Rootkitler kendilerini daha çok sistem hatası vermeleri ile belli edebilirler. Yani sistem kararsız duruma gelir ve çoğu zaman hata vermeye başlar.

Kalıcı Olanlar

Bir rootikin işletim sistemini yeniden başlatmadan kurtulmasının ve bu sayede kalıcı olmasının nedeni şu şeklide açıklanabilir; rootkit sistemde yani sabit diskte bir yerde bulunmakta ve kayıt defterinde otomatik başlatma girişi eklemektedir. Bu sayede kendisini hafızaya atabilmekte ve sistem her yeniden başlatıldığında kontrolü eline alabilmektedir.

Kalıcı Olmayanlar

Bu tür rootkiler sadece hafızada çalışır durumda bulunurlar ve sistemin yeniden başlatılması ile tekrar hafızaya yerleşmez ya da kayıt defteri girişi eklemezler. Bu durum ev bilgisayarlarında bir sorun yaratmaz gibi görünsede birbirine bağlı ve sürekli çalışmak durumunda olan bir bilgisayar ağında can sıkıcı olabilmektedir.

Rootkit’lere Karşı Kullanılabilecek Yazılımlar

Rootkitler konusunda herhangi bir yazılım kullanmaya geçmeden önce güvenlik açısından atmanız gereken iki adım bulunmaktadır.

1-) Rootkitlerin bilgisayarı enfekte etmek için yönetici haklarına sahip olmaları gerektiğinden sisteminize yönetici olarak girmeyin, yetkileri sınırlandırılmış bir kullanıcı hesabı ile girmeniz bu konuda atabileceğiniz en büyük adımdır.

2-) Rootkitler yönetici hesabı dahil sisteme bir defa girdiklerinde diğer kullanıcı hesaplarınıda etkileyebileceklerinden, özellikle yönetici kullanıcısı başta olmak üzere sistemdeki kullanıcıların çok güçlü şifreler kullanması gerekir. Güçlü şifre nasıl olmalıdır diye bir örnek vereceğim (içerisinde özel semboller, büyük harf, küçük harf, sayı bulundurmalı, bunlar mümkün olduğunca birbirinden farklı olmalı ve en az 6-8 haneli olmalıdır) ancak ayrıntılı bilgilere sitemizden ya da arama motorlarını kullanarak ulaşabilirsiniz.

Belki de neden rootkitler için ayrı bir yazılım kullanmanız gerektiğini sorabilirsiniz. Bunun en büyük nedeni rootkit yazılımlarının şu an bilinen antivirüs ya da antispyware vb.. yazılımlar ile tespit edilememesinden kaynaklanmaktadır. Neden tespit edilemedikleri ise şöyle açıklanabilir; sisteme giren rootkit sizin sistem dosyalarınızla kendini yer değiştirir, bu yer değişikliği sonucu sisteminizde herşeyi yapabilir, olağan güvenlik yazılımları tarafından sistem dosyası olarak algılanır, isterse zararlı bir yazılımı tarama yapan güvenlik yazılımlarınıza zararsız gibi gösterebilir. Bunun yanında bu zararlı yazılımların kullandığı portları, dosyaları ve kayıt defteri anahtarlarını bile gizleyebilir. Aslında işte bu zararlı yazılımları, güvenlik yazılımlarından saklayabilme özellikleri rootkit yazılımlarını bu kadar tehlikeli yapmaktadır. Aslında bu yazılımların tüm varolma nedenide budur, başka zararlı yazılımlar için işleri çok kolaylaştırmış olurlar. Tüm bu anlattıklarıma rağmen rootkitler asla tespit edilemez değildir ve aşağıdaki yazılımlar kullanılarak tespit edilip, sisteminizden kaldırılabilirler.

Rootkit’lerin aslında UNIX kökenli olduğunu söylemiş olsak bile bugün en büyük tehtid altında olan kullanıcılar windows kullanıcılarıdır (bunun en büyük nedeni bu yazılımları hazırlayan kötü niyetli programcıların en popüler olan işletim sistemini seçmeleri ile doğrudan ilgisi vardır.) ve windows bu konuda çok ciddi çalışmalar yapmakta hatta ayrı bir rootkit tespit etme ve kaldırma yazılımı üzerinde çalışmaktadır. Tabi o süreye kadar diğer güvenlik firmaları da bu konuda boş durmamakta ve çeşitli rootkit yazılımları geliştirmektedirler. Aşağıdaki listede rootkit tespit etme ve kaldırma işlemlerinde kullanabileceğiniz bazı yazılımların listesine ulaşabilirsiniz.

 

Microsoft Malicious Software Removal Tool
Sophos Anti-Rootkit
AVG Anti-Rootkit
Rootkit Buster
Rootkit Revealer
Gmer

kolay gelsin arkadaşlar,

ÖZEL EK DETAY BİLGİ :

Kullanım Şekilleri

Bilgisayarınıza sizden habersiz bağlanacak kişinin en çok dikkat edeceği durum, sistem yöneticisinden mümkün olduğu sürece uzak durması gerekliliğidir. Bu noktada rootkitler, hackerlar için vazgeçilmez bir araçtır. Rootkit bir çok aracın birleşmesinden oluşmuştur. Bu araçlar sistemdeki işlemleri gizleyerek hackerı sistem yöneticisi tarafından fark edilmeyecek bir pozisyona getirir. Bu yöntem sisteme sızdırılmış olan trojanların logları silmesi ile yapılır.

Bazı rootkitler kullanıcının bilgisayarında sürekli açık duracak ve gerektiğinde içeriden bilgi alınıp verilmesine olanak sağlayacak portların yaratılmasında kullanılabilirler.Bu portlara backdoor adı verilir.Backdoorlar spam mail atmakta ya da başka bilgisayarlara toplu saldırılarda kullanılabilirler.

Bütün rootkitler zararlı değildir. Mesela çoğu kişinin kullanmakta olduğu Alcohol %120 ya da Daemon Tools adlı programlar da başka programların işlemlerini taramasını ya da engellemesini durdurmak için rootkitlere başvururlar.

Çalışma şekillerine göre 5 adet rootkit çeşidi vardır.

 

1.                     Bellenim(firmware): Rootkit bir yazılımın bellenim güncellemesine kendisini kopyalar. Bu sayede sistem bellenimi kodun bütünlüğünü korumak amacı ile kontrol etmeyeceği için rootkit sisteme sızmış olur

2.                     Gerçeklik yaratımı(Virtualized): Rootkit kendisini bilgisayarın boot sırasında en başa alır ve sistemde varolan işletim sistemini sanal bir işletim sistemi gibi kendisinin üzerinden çalıştırır. Böylelikle rootkit işletim sisteminin kullandığı donanımları durdurma hakkına sahip olur.

3.                     Çekirdek düzeyi(Kernel level): Rootkit kendisini bir sürücü ya da başka bir program aracılığı ile çekirdeğin koduna ekler ya da çekirdeğin kodu ile değiştirir. Eğer rootkitin kodunda bir hata varsa çekirdeğin çalışma düzeninde ciddi aksaklıklar meydana gelebilir.

4.                     Kütüphane düzeyi(Library level): Rootkit sistem kayıtlarını yamayarak ekleme yaparak ya da yenisi ile değiştirerek saldıranın bilgisini gizler.

5.                     Uygulama düzeyi(Application level): Rootkit uygulamayı trojanlı hali ile değiştirir ya da uygulamanın çalışma biçimini ekleme veya yama yaparak değiştirir.

Rootkit’in sistemimizde olup olmadığını anlamak için; eğer sahip olunan dosyaların MD5 kontrolü yaratılmış ise önceki veri ile yeni MD5 kontrolünden alınan veri karşılaştıralarak veride rootkit olup olmadığı anlaşılabilir.

 

Ayrıca Unix tabanlı işletim sistemlerinde rootkit araması yapmak için “ChkRootkit” adlı program kullanılabilir.

Rootkit’i sistemimizden kaldırmak için bütün rootkit çeşitlerinde işe yarar en iyi yöntem sistemimizi yeniden kurmaktır. Çünkü eğer ki rootkit çekirdeğe yerleşmişse işletim sitemini yeniden kurmaktan başka çaremiz kalmıyor.

Son Söz

Rootkitler her ne kadar genelde bir program aracılığı ile gelse de, son 1 kaç hafta içinde okumuş bulunduğum bir makalede internet tarayıcıları ile de rootkitlerin bilgisayarımıza girebileceğini okudum. Kısacası bilgisayarımıza dışarıdan giren herhangi bir veri rootkit içeriyor olabilir. Özellikle internette gezinirken çok dikkatli olalım ve bilmediğimiz kaynaklardan hiçbirşey indirmeyelim.

Rootkitsiz mutlu günler dileğiyle...

SPOR HABERLERİ
 
RADYO
 
Reklam
 
ESET NOD32 KEYS
 
Buraya tıklayarak  reklam hususunda bilgi alabilirsiniz, nasıl vereceğini öğrenebilirsiniz.
REKLAM ALANI
 
Buraya tıklayarak  reklam hususunda bilgi alabilirsiniz, nasıl vereceğini öğrenebilirsiniz.
Windows Service Pack 3
 
Buraya tıklayarak zip haldeki Service Pack 3 Türkceyi indirebilir, Bilgisayarınızı Güncel XP-SP3 Yapabilirsiniz, Bilgisayarınızın hayati güncellemelerini mutlaka yapmalısınız.
Windows XP Service Pack 3 RC1'i indirin!
İlk etapta malum beş dilde sunulmuş olan Windows XP SP3, artık Türkçe olarak da elde edilebilecek. extrateknik.tr.gg" farkı ile herkesten önce XP SP3'ü indirip sisteminize kurabilirsiniz!
(indirmek için resime tıklayınız)

Nisan 2014 XP Tüm destekleri bitiyor
EXTRA WEB
 
Buraya tıkla
YÜKSEK ENERJi ATLAMASI
 
Sayaç: 52084 ziyaretçi (103306 klik)
=> Sen de ücretsiz bir internet sitesi kurmak ister misin? O zaman burayı tıkla! <=
Duyuru
=> HOŞ GELDİNİZ <=
Sitemizde, güncelleme
RESTORASYON ÇALIŞMALARI BAŞLAMIŞTIR.!
Web sitesi haber kısmı zamanla Akvaryum konusuna geçiş yapacaktır ! ziyaretcilerimize duyurulur..
12.11.2013: extrateknik.tr.gg Yakında