Son Konu

Rootkit Nedir ?

bilgiliadam

Yeni Üye
Katılım
16 Ağu 2017
Mesajlar
1,516,397
Tepkime
42
Puanları
48
Credits
-46,831
Geri Bildirim : 0 / 0 / 0
RootKit

RootKit olarak bilinen yazılımlar ilk olarak UNIX işletim sistemlerinde ortaya cıkmıştır ve orijinal UNIX işletim sistemi dosyaları ile yer değiştirip normal bir kullanıcıya root erişim hakkı vermeyi hedeflemişlerdir Zamanla bu yazılımlar Windows ortamına calışabilir olmuştur Windows NT tabanlı işletim sistemlerinde calışabilen ilk Rootkit ise 1999 yılında gozlenmiştir Yine de bu donemde normal bilgisayar kullanıcısının guvenlik konusunda dikkatini cekememiş, sadece guvenlik uzmanlarının uzaktan izlediği bir yazılım turu olarak kalmıştır 2005 yılında ise Sony Digital Rights Management (DRM) Rootkit’inin tespit edilmesi Rootkit konusunun onemini gozler onune sermiştir İşte bu noktadan sonra rootkit’ler tum guvenlik cevrelerince onemli ve tehlikeli bir tehtid olarak tanımlanmıştır Bu gunku Sony DRM rootkit zararsız bir rootkit olsa da tum rootkit yazılımları kotu niyetli kullanıcılar tarafından zararlı hale getirilebilmektedir yani zararsız rootkitler de potansiyel bir tehlike oluşturmaktadır

Adından da anlaşılabileceği gibi RootKit iki parcadan oluşmaktadır; Root Unix sistemlerinde herşeyi yapma yetkisine sahip olan kullanıcı ya da kullanıcı yetkisi, Kit Bu yetki sahibi olabilmek icin kullanılan gerekli arac kutusu şeklinde ifade edilebilir

Bunu yaparken sistem aracları ile yer değiştirmiş olmaları, tanınmalarını engellemekte ve arkaplanda hicbir kullanıcının ya da tarayıcının fark edemeyeceği bicimde calışmalarını sağlamaktadır Bu ozellikleri zararlı yazılımları yazan programcılar (hacker) tarafından cok cazip bulunmakta ve ilk başlarda kotu amaclarla kullanılmayan bu yazılımlardan yanlış kimselerin elinde cok tehlikeli olabilecekleri icin gunumuzde kotu niyetli yazılımlar olarak bahsedilmektedir

Rootkit’lerin fark ettirmeden işlemler yapabildiğinden bahsetmiştim Bunu biraz acmak gerekirse; Rootkit yazılımların bu derece tehlikeli olmalarının en onemli nedeni sadece kendilerini gizleyebilmeleri değil aynı zamanda ne yapmak icin programlandılarsa yapacakları işlemlerde kullandıkları aracları, dosyaları, kayıt defteri anahtarları, portları ve hatta sistem dosyalarını da gizleyebilmeleridir

Rootkit’ler bu kotu ozelliklerine rağmen daha once UNIX orneğinde verdiğim gibi tamamen kotu niyetli yazılımlar olmayabilirler ancak sistemde bir rootkit olması bile bu yazılımların kotu niyetli olarak yeniden duzenlenebilmesinden sağladığı icin potansiyel bir tehlike oluşturmaktadır

Rootkit’lerin kullanılış amacları aslında diğer kotu niyetli yazılımlardan cok farklı değildir, sisteminize aldığınız bir Rootkit başka birininin (hacker) bilgisayarınıza girmesini ve kendi yasal olmayan amacları icin bilgisayarınızı kullanmasını sağlayabilir Mesela bir Rootkit yazılımı bilgisayarınıza başka bir kotu niyetli yazılımı (virus, spyware, keylogger vs…) daha oncede bahsettiğim gibi gizleyebilmektedir

Rootkitler Nasıl Gizlenir

Rootkit yazılımlarının asıl etkili olmasının nedeni işletim sisteminin zayıflıklarından yararlanmalarıdır Bu zayıflıkları kullanarak işletim sistemine sızarlar ve bu sayede kendilerini işletim sistemi dosyaları ile değiştirebilirler

Önceden de belirttiğim gibi rootkit yazılımları coğu zararlı program tarayıcısından kendisini saklayabilir ve tarama sonuclarında gorunmezler Tarama yapılırken işletim sisteminin kendileri icin, tarama yapan guvenlik yazılımına yanlış bilgiler vermesini sağlarlar ve boylece işletim sistemi herhangi bir rootkit bulundurmadığını tarama yazılımına belirtir Her ne zaman bir tarayıcı ya da kullanıcı, işletim sisteminden doğrudan bilgi isterse, işletim sisteminden gelen bilginin doğru olduğu kabul edilir Bu bir kural gibidir Tarama yapan bir arac işletim sistemine zararlı bir yazılım olup olmadığını sorduğunda ya da tarama yaptığında işletim sisteminde eğer rootkit varsa rootkit geri donecek olan bu bilgiyi kendi cıkarı icin duzenler ve hem kendisini hem de ilişki kurduğu diğer zararlı yazılımları gizleyen, yeniden duzenlenmiş bilgileri tarayıcıya gonderir Bunu yapabilmesini sağlayan temel guc ise rootkit yazılımının root yani yonetici haklarına sahip olmuş olmasıdır

Rootkitler sistemden istenen bilgileri değerlendirmek icin bir sure bu bilgilerin geri donuşunu geciktirir bu işleme hooking denmektedir Bu hooking suresi boyunca rootkit tarayıcı ya da kullanıcı tarafından sistemden istenen bilgileri, kendisini ve ona eşlik eden zararlı yazılımları gizleyecek şekilde değiştirir

Rootkit ile birlikte işlem goren ya da rootkit sayesinde sistemde gizlenmiş olan yazılımların tespit edilip kaldırılması da cok onemlidir Çunku bu yazılımlar surekli rootkitler ile bir veri alış verişi icindedir Rootkitden temizlenmiş bir sistemde eğer zararlı bir yazılım kendisini gizleyecek bir rootkit olmadığını fark ederse bu sistemi oncelikle rootkit ile tekrar enfekte etmek icin calışacaktır bunu actığı backdoorlar ile yapabileceği gibi değişik bicimlerde de yapabilmektedir

Peki bu gizlenme size nasıl yansır, orneğin gorev yoneticisini actığınızda arkada calışan bu rootkit ve ilişkili dosyalar calışsalar da goremezsiniz Eğer windows ile bu rootkit dosyasının bulunduğu dizine giderseniz ortada bir rootkit olmadığını gorursunuz, kayıt defterinde bir değişiklik var mı diye kontrol ettiğinizde değişiklik bulunsa da goremezsiniz ve eğer rootkit bir port kullanıyorsa, portları kontrol etseniz bile acık değil, kapalı olarak gorursunuz


Kac Tur Rootkit Vardır

Temelde iki tur rootkit bulunmaktadır Bunlar sistemdeki etkilerine, sistemde kalıcı olup olmadıklarına gore iki ana gruba ayrılabilirler

1) Kullanıcı Aracılı Rootkitler
a) Kalıcı Olanlar (Sistem yeniden başlatılsa bile kendisi ve etkisi ortadan kalkmayan)
b) Kalıcı Olmayanlar (Sistem yeniden başlatıldığında kendisi ve etkisi ortadan kalkan)
2) Çekirdek (Kernel) Aracılı Rootkitler
a) Kalıcı Olanlar
b) Kalıcı Olmayanlar

Bunlardan Kullanıcı Rootkileri, Kernel Rootkitlerinden daha az zararlıdır ve etkileri sadece bulaştıkları kullanıcı hesabı ile sınırlıdır

Kullanıcı Aracılı Rootkitler

Bunlar zararlı işlemleri yapmak ve işletim sisteminden istekte bulunmak icin API (application programming interface) kullanmak durumundadırlar Bu API istekleri Kernel’e doğrudan ulaşmaz ve DLL (Dynamic Link Libraries) olarak bilinen dosyalara uğramak durumundadır Bu DLL dosyaları API isteklerini kernel’in anlayabileceği
şekilde duzenler ve istek gercekleştirilir Gorduğunuz gibi bu seviyede doğrudan kernele erişim bulunmamakta ve aracı kullanılmaktadır

Kernel Aracılı Rootkitler

Kernel, işletim sisteminin beyni ve en temel parcası olarak değerlendirilebilir Tum yazılımlar bir şekilde kernel ile iletişim halinde olmalıdır ve bu kadar oneme sahip olan bir bolume rootkit yazılımılarının doğrudan erişimi cok tehlikelidir Bu alanda bulunan bir rootkit sistemin tum kontrolunu elinde tutabilir Ancak Kernel Aracılı Rootkitler kendilerini daha cok sistem hatası vermeleri ile belli edebilirler Yani sistem kararsız duruma gelir ve coğu zaman hata vermeye başlar

Kalıcı Olanlar

Bir rootikin işletim sistemini yeniden başlatmadan kurtulmasının ve bu sayede kalıcı olmasının nedeni şu şeklide acıklanabilir; rootkit sistemde yani sabit diskte bir yerde bulunmakta ve kayıt defterinde otomatik başlatma girişi eklemektedir Bu sayede kendisini hafızaya atabilmekte ve sistem her yeniden başlatıldığında kontrolu eline alabilmektedir

Kalıcı Olmayanlar

Bu tur rootkiler sadece hafızada calışır durumda bulunurlar ve sistemin yeniden başlatılması ile tekrar hafızaya yerleşmez ya da kayıt defteri girişi eklemezler Bu durum ev bilgisayarlarında bir sorun yaratmaz gibi gorunsede birbirine bağlı ve surekli calışmak durumunda olan bir bilgisayar ağında can sıkıcı olabilmektedir


KAYNAK
 
Üst Alt