Rootkit Nedir?Nasıl Temizlenir?

rootkit

Rootkit Nedir?

Bu zararlı yazılımlar Türkçe’ye Kök Kullanıcı Takımları olarak geçirilmiş ama ben orijinal adıyla dökümana devam edicem çünkü tam olarak anlaşılması için kavramların İngilizce olması gerekiyor.Rootkitler ilk olarak UNIX işletim sistemlerinde ortaya çıkmışlar.Zararlı bir yazılımın unix komutları ile anlaşılması o zamanlarda basitmiş ve bunu engellemek için bu komutların orjinallerini değiştirilmesi düşünülmüş ve rootkit ile bu başarıya ulaşmış.Rootkitler aslen tek başlarına zararlı bir yazılım değildir diye bazı kaynaklarda okuyabilirsiniz ki bu bahsettikleri sanırın lrk1 [Linux Root Kit versiyon1] gibi eski versiyon rootkitler daha sonra rootkitler sadece gizleme aracı olarak değil aynı trojanlar gibi şifre çalma,veri koklama,paket yakalama özelliklerini de kazandılar.lrk3,lrk4 araştırabilirsiniz.

Gizleme-Gizlenme Yöntemleri

Rootkitler UNIX işletim sisteminde çıkmış ama bu kadar ünlü olmaları NT işletim sistemi için yazılmaları ile olmuş.1999 yılında NT için ilk rootkit fark edilmiş.Ben önce unix sonra win için rootkitlerin gizleme ve gizlenme yöntemlerini anlatayım

UNIX için Gizlenme Yöntemleri

Rootkitler işletim sistemi çekirdeğine yani kernele hook atarak işletim sistemindeki bazı komutları orjinalleri ile değiştirirler.Unix işletim sistemindeki netstat,ps,ls,du,ifconfig,login,last gibi komutlar yerine kendi komut fonksiyonlarını yerleştiriyorlar bu şekilde sistemde verdiğiniz bu komutlar unixin lokal komutları yerine rootkitin komutları oluyor böylece sistemde herhangi bir değişiklik,aksaklık,zararlı yazılım olmadığı düşüncesi kafanıza oturuyor.

ls : Bu komut ile gizlenmesi gereken dosya ve dizinler gizlenir,kullanıcıya gösterilmez.

du :Rootkit tarafından kullanılan disk alanı kullanıcıdan saklanır.

ps : Sistemde rootkitin kullandığı prosesler gizlenir,böylece rootkit ve virüs varlığı fark edilemez

Diğer komutlar ile ağ kartı ve internet trafiği rootkit tarafından kontrol edilir.Kullanıcı olup bitenin farkında bile olmaz.

En önemlisi rootkitler orijinal komutlar ile aynı checksum’lara sahiptirler ve kernele hook attıkları için fark edilmeleri oldukça güçtür.

WINDOWS için Gizlenme Yöntemleri

Windows için rootkit ilk olarak 1999 yılında görülmüş halbuki 10 sene öncesine kadar unix işletim sistemlerinde cirit atıyorlardı.Rootkitler windowsta regedit ve görev yöneticisinden kendi adlarını kaldırırlar.Antivirüsler ve antispyware programları harddisteki tüm dosyaların imzalarını veritabanındaki ile uyuşup uyuşmadığına bakar,rootkitler bu şekilde bulunamadığı için a.v ve antispy programları genellikle bu tip rootkitleri yakalayamazlar.

Rootkit Çeşitleri

• Kalıcı rootkitler (Persistent Rootkits): Sistemin her açılışında ya da kullanıcının her oturum açışında aktif hale gelen rootkitlerdir. Kayıt defteri ya da sistem dosyaları gibi kalıcı bir yerde tutulan kodlar sayesinde, kullanıcının müdahalesi olmadan çalışırlar.
• Hafıza tabanlı rootkitler (Memory-Based Rootkits): Kalıcı olmadıklarından, sistem tekrar başlatıldığında çalışamayan rootkitlerdir.
• Kullanıcı modu rootkitleri (User-mode Rootkits): Kullanıcının Windows’ta arama yaptığı arayüzde çıktıları değiştirerek, ekranda görüntülenen listeden bazı verileri kaldıran rootkitlerdir.
• Kernel modu rootkitleri (Kernel-mode Rootkits): En etkili olan rootkitlerdir. Kullanıcı modu rotkitlerindeki gibi sadece arayüzü değil; kernel veri yapılarını da etkiler. Bu rootkitlerin yürüttüğü işlemler Task Manager (Görev Yöneticisi) ya da Process Explorer tarafından görüntülenemez.

Rootkit Bulma ve Silme

Yazının devamını oku »

Kablosuz Ağ(wireless) Güvenliği

Gelişen teknoloji ile birlikte hızla yayılan kablosuz ağın zayıflıklarından bahsedicem bu makalede.Döküman ağırlıklı olarak saldırılara karşı savunma içeriğinde olacak,saldırı senaryoları ve uygulamaları için ayrı bir döküman yazmayı planlıyorum.

İnternette neredeyse herkesin diline dolanan wireless şifre kırma sadece ‘wep’ şifreleme ile şifrelenmiş basit şifreleri hedef alır.Halbuki tek saldırı yöntemi bu değildir.Bir paket koklayıcı(sniffer) ile koklanan paketlerden başlık bilgileri okunabilir,saldırı yapılabilir.Şimdi savunma için yapmamız gerekenleri ve nedenlerine geçelim.

1)SSID Gizleme

SSID yi kolay anlamanız için kablosuz ağ ismi diye nitelendirebilirim.Yanii tarama sonucu gördüğünüz kablosuz ağlarda farklı isimler vardır buna SSID denir.Eğer kablosuz şifre kullanmıyorsanız,herhangi biri çift tıklama ile ağınıza dahil olur.Eğer gizlerseniz şifre koymasanız bile,ağınıza bağlanmak isteyen istemciye AP tarafından SSID sorulur ve true cevabı gelmediği sürece bağlantı kurdurmaz.SSID gizlemek ilk güvenlik basamağımız.

2)Modem Default Şifresini Değiştirmek

Birçok kullanıcı modem şifrelerini öntanımlı(default) olarak bırakır.Bu güvenlik açısından riskli bir durumdur.İp adresinize bir şekilde ulaşan saldırgan,modem arayüzünüze erişebilir,adsl bağlantı ayarlarınıza erişebilir.Modemi resetleyebilir,ttnet kullanıcı adınıza ve şifrenize ulaşabilir,bunları değiştirebilir.Bu işlemleri gerçekleştirmek tahmin edilenden çok daha basittir.Modeme erişim şifresi mutlaka değiştirilmelidir.

3)Mac Filtreleme

Mac Adresi ya da fiziksel adres bağlantıda önemli rol oynar.Biz Tcp protokolü olan Mac’i değil filtrelemede kullanılan mac filtreleme işlemini inceleyecez.

Mac adresi her ağ kartına üretici fabrika tarafından atanır ve normal yollarla değiştirilemez ve en önemlisi her ağ kartına farklı bir mac adresi atanır.İşte bu ayrıntı bizim işimize yarıyor.

Güvenlik kısmında mac filtrelemeyi etkin hale getirip,sadece erişimine izin verdiğimiz bilgisayarların mac adreslerini girersek,AP(Access Point[modem]) sadece bu mac adreslerine sahip bilgisayarlara erişim verir.Wireless şifresini doğru giren kişinin mac adresi listede yoksa erişim sağlayamaz.

Teorik olarak çok etkili görülen bu güvenlik önlemi Mac Spoofing ile aşılabilir.Mac Spoofing ile ilgili yazıma burdan ulaşabilirsiniz

Bir diğer wireless security makaleme burdan ulaşabilirsiniz.

Malware Yazılımlar Nedir???

Günümüzde artık yaşamımızdan çıkaramayacağımız hale gelen bilgisayar ve bilgisayar destekli işler bazı kimselerin canını sıkabiliyor.Bu canı sıkılan kişiler sizin sisteminizin çalışmasını blok’lamak ya da aksatmak için bazı çalışmalar içine girebiliyor.Tabii bu işin en çok yapılma amacı da yapabileceğini göstermek.Bir hacker’a yaptığı bazı kötü işleri neden yaptığını sormuşlar,”Çünkü yapabiliyorum” demiş.Yanii aslında tamamen psikopatlık ve puştluk gibi görünen bu işin yapılma amacı yetenek gösterme ya da olabiliteyi kanıtlama oluyor.Bu yazıda “Malware Yazılımlar”dan bahsedicem.

Bu yazılımların amacı hiçbir zaman iyi niyet içermemiştir içermeyecektir.Bu yazılımlar bilgisayar sistemlerini hedef alırlar ve bulaşabildiği her bilgisayara bulaşmayı ve zarara yol açmayı hedefler.İşte bu şerefsiz yazılımların genel adı Malware oluyor.bu kıçı kırık yazılımlara örnek vermek gerekirse,virüsler,worm’ler,trojanlar,backdoorlar,spamlar,rootkitler,dialerlar,exploitler,keyloggerlar,browser hijackerlar,spyware’ları sayabilriz.

Bu kodumun yazılımlarının hepsiyle tanışma ve çoğunu da kullanma fırsatım oldu.İçlerinde en fazla canımı yakan ise dialer oldu ki 8 yaşında eve 150 milyon fatura gelmişti.Babam çıldırmadan az evvel fatura ile yanımda soluklandı,neyse fazla konuşmayayım bu konuda :p.

Bu yazılımlar genellikle security hakkında bilgi sahibi olmayan ya da zayıf bilgiye sahip kullanıcıları hedef alırlar,bazen ise gelişmiş,komplike bir sistem hedef olabilir.Bunlara birkaç örnek verirsem sanırm daha etkileyici bir yazı olacaktır.

♥”Code Red” solucanı İnternet üzerindeki korunmasız bilgisayarların hepsine 14 saatte bulaşabildi,Slammer solucanı ise aynı işi 20 dakikada yaptı.Bir IM korunmasızlık sömürüsü yarım milyon bilgisayara 30 saniyede bulaştı.

♥2001 yılında her 300 postada 1 virüse rastlanırken 2004 yılında her 100 postada bir virüse rastlanmış.(Artık hotmail gibi büyük MSS’lerde posta virüs taramasından geçerek iletiliyor)

♥93-03 yılları arasında gerçekleşen saldırı sayısı 1344 iken bu sayı 137.529′a çıkmış

♥2003 yılında virüslerin iş dünyasına maliyeti 55 milyar ABD dolarına ulaşmış.(Süperiz lem :D)

Bu ve buna benzer olaylar gün geçtikçe artmaktadır.Bunun sebebi ise kim tabanlı olduğunu bilmesem de birileri tarafından “hackercılık Sempatizanlığı” yapılmasıdır.Eskiden bilgilsayar bilgisi belli bir seviyede olanlar uğraşırken şimdi mouse klavye gören hacker olmaya çalışıyor.Dolayısı ile profesyonel olmasa da amatör saldırıların sayısı gün geçtikçe artışa geçiyor.Neyse fazla uzatmadan malware tiplerin dilim döndüğünce açıklayayım.

Yazının devamını oku »

Pardus Güncellemeleri Ardından Ekran Sorunları[çözüldü]

Pardus kullanıcıları biliyordur bir süre önce yayınlanan güncellemeler oldu.Bu güncellemer yüklendikten sonra birçok Pardus kullanıcısının 3b desteği kayboldu,çözünürlük bozulmaları yaşandı.Compiz telef oldu vs…

Tüm bunlar aslında bazı ekran sürücü paketlerinin değiştirilmesinden kaynaklı.Güncellemede nvidia-new sürücülerinin kaldırıldığını gördüm,belki dikkatli bir kullanıcı iseniz siz de rasgelmişinizdir.Özellikle compiz,urban gibi alışkanlıklardan sonra 3b desteği olmazsa olmaz birşey haline geldi.

Burada çözüm çok basitmiş aslında ki ben epey kurcalamıştım :).Fark ettiyseniz ekran çözünürlüğünü değiştirmeye kalktığınızda nvidia-new paketi kurmamız gerektiği söyleniyor ama pisi depo’da nvidia-new paketi yok :).Dikkat çeken nokta ise daha önceden görmediğim 2 paket oldu.

nvidia-drivers173 ve nvidia-drivers177.

new paketi 177 olarak ayarlanmış.Dolayısı ile güncellemelerden sonra tek yapmanız gereken pisi’den bu paketi(sizinki 173 de olabilir)yüklemeniz.Ardından temiz bir başlatma ile bilgisayar kendine geliyor.Gelmez ise seçili sürücünüzde bir problem var demektir.Görüntü yöneticisi-aygıtlar kısmında yapılandır diyerek 177 driver’ları seçin.İşlem tamam demektir.Yanlış hatırlamıyorsam nvidia-xconfig gibi bir komuta gerek kalmıyor :).

Bol parduslu günler….

Ozurdiliyoruz.com Olayı

Aslen böyle şeyleri bloguma koymama düşüncem vardı ama bu düşünceden an itibari ile vazgeçtim.Zaten bu işi hobi olarak yapan tipler olmadığımız ve her dakka bulaşmadığımız için yazmakta zarar görmüyorum.

Shadow King ile bu siteye dalmaya karar verip siteyi bızzıklamaya başladık.IIS 6.0 olan ve aspx yanii asp.net ile kodlanmış bir siteydi.Siteye 18 Aralıkta Denial of Service saldırısı yaptık ve sisteme erişimi kapattık.

İspat : http://img179.imageshack.us/img179/174/seefm4.jpg

Ardında 45 dakika kadar sonra site tekrar erişime açıldı.Bu sefer Ping of Death saldırısı ile

ozurdiliyoruz.com/destek.aspx

ozurdiliyoruz.com/destekleyenler.aspx

sayfalarını çökerttik.Böylece destekleyenler görünemiyor,yeni kayıt da engellenmişti.

Bunları yazmamdaki asıl amaç,göte sürecek aklı olmayan 3-5 salağın bu işleri kendilerinin yaptığını söylemesi.Daha önce de buna benzer olaylar yaşadık,sesimizi çıkarmamıştık ama boku çıktı denilebilir.

Shadow King ve ben uzun süredir tanışıyoruz ve hiçbir tim’e katılmadık katılmayacaz.Hatta şahsen tim kurmak falan komik gelmiyor da değil.:)Amacımız sansasyon yaratmak değil,isim yapmak değil,bunlara ihtiyacımız yok.Biz bilgimize bilgi katarız,yolumuza bakarız.Arada buna benzer olaylarda artık mirror almayı düşünüyoruz ki kimse bizim üstümüzden rant yapmasın.

Şunu söylemekte de yarar görüyorum.Biz web defacer değiliz,hacker da değiliz.Kendi bulduğumuz bazı açıklar da var.Misal airties modem komedisi :).Belki açık kapatılırsa açıklarız…

Saygılarımla