Rootkit Nedir?Nasıl Temizlenir?

rootkit

Rootkit Nedir?

Bu zararlı yazılımlar Türkçe’ye Kök Kullanıcı Takımları olarak geçirilmiş ama ben orijinal adıyla dökümana devam edicem çünkü tam olarak anlaşılması için kavramların İngilizce olması gerekiyor.Rootkitler ilk olarak UNIX işletim sistemlerinde ortaya çıkmışlar.Zararlı bir yazılımın unix komutları ile anlaşılması o zamanlarda basitmiş ve bunu engellemek için bu komutların orjinallerini değiştirilmesi düşünülmüş ve rootkit ile bu başarıya ulaşmış.Rootkitler aslen tek başlarına zararlı bir yazılım değildir diye bazı kaynaklarda okuyabilirsiniz ki bu bahsettikleri sanırın lrk1 [Linux Root Kit versiyon1] gibi eski versiyon rootkitler daha sonra rootkitler sadece gizleme aracı olarak değil aynı trojanlar gibi şifre çalma,veri koklama,paket yakalama özelliklerini de kazandılar.lrk3,lrk4 araştırabilirsiniz.

Gizleme-Gizlenme Yöntemleri

Rootkitler UNIX işletim sisteminde çıkmış ama bu kadar ünlü olmaları NT işletim sistemi için yazılmaları ile olmuş.1999 yılında NT için ilk rootkit fark edilmiş.Ben önce unix sonra win için rootkitlerin gizleme ve gizlenme yöntemlerini anlatayım

UNIX için Gizlenme Yöntemleri

Rootkitler işletim sistemi çekirdeğine yani kernele hook atarak işletim sistemindeki bazı komutları orjinalleri ile değiştirirler.Unix işletim sistemindeki netstat,ps,ls,du,ifconfig,login,last gibi komutlar yerine kendi komut fonksiyonlarını yerleştiriyorlar bu şekilde sistemde verdiğiniz bu komutlar unixin lokal komutları yerine rootkitin komutları oluyor böylece sistemde herhangi bir değişiklik,aksaklık,zararlı yazılım olmadığı düşüncesi kafanıza oturuyor.

ls : Bu komut ile gizlenmesi gereken dosya ve dizinler gizlenir,kullanıcıya gösterilmez.

du :Rootkit tarafından kullanılan disk alanı kullanıcıdan saklanır.

ps : Sistemde rootkitin kullandığı prosesler gizlenir,böylece rootkit ve virüs varlığı fark edilemez

Diğer komutlar ile ağ kartı ve internet trafiği rootkit tarafından kontrol edilir.Kullanıcı olup bitenin farkında bile olmaz.

En önemlisi rootkitler orijinal komutlar ile aynı checksum’lara sahiptirler ve kernele hook attıkları için fark edilmeleri oldukça güçtür.

WINDOWS için Gizlenme Yöntemleri

Windows için rootkit ilk olarak 1999 yılında görülmüş halbuki 10 sene öncesine kadar unix işletim sistemlerinde cirit atıyorlardı.Rootkitler windowsta regedit ve görev yöneticisinden kendi adlarını kaldırırlar.Antivirüsler ve antispyware programları harddisteki tüm dosyaların imzalarını veritabanındaki ile uyuşup uyuşmadığına bakar,rootkitler bu şekilde bulunamadığı için a.v ve antispy programları genellikle bu tip rootkitleri yakalayamazlar.

Rootkit Çeşitleri

• Kalıcı rootkitler (Persistent Rootkits): Sistemin her açılışında ya da kullanıcının her oturum açışında aktif hale gelen rootkitlerdir. Kayıt defteri ya da sistem dosyaları gibi kalıcı bir yerde tutulan kodlar sayesinde, kullanıcının müdahalesi olmadan çalışırlar.
• Hafıza tabanlı rootkitler (Memory-Based Rootkits): Kalıcı olmadıklarından, sistem tekrar başlatıldığında çalışamayan rootkitlerdir.
• Kullanıcı modu rootkitleri (User-mode Rootkits): Kullanıcının Windows’ta arama yaptığı arayüzde çıktıları değiştirerek, ekranda görüntülenen listeden bazı verileri kaldıran rootkitlerdir.
• Kernel modu rootkitleri (Kernel-mode Rootkits): En etkili olan rootkitlerdir. Kullanıcı modu rotkitlerindeki gibi sadece arayüzü değil; kernel veri yapılarını da etkiler. Bu rootkitlerin yürüttüğü işlemler Task Manager (Görev Yöneticisi) ya da Process Explorer tarafından görüntülenemez.

Rootkit Bulma ve Silme

Daha önceden dediğim gibi rootkitler imza ve checksum bilgileri ile çoğu zaman yakalanamaz yakalanma şekilleri kriptografik özet karşılaştırması ile yapılabilir.Bunun için unix tipi işletim sistemlerinde tripwire adlı program kullanabilirsiniz.Benim tavsiye ettiğim ise chrootkit.lrk6ya(6 dahil) kadar olan rootkitleri tespit edebilirsiniz.Windowsta ise işiniz oldukça basit birçok antirootkit aracı bulunuyor,bunları kullanabilirsiniz.Birkaç örnek vermek gerekirse;

F-Secure BlackLight

Sysinternals Rootkit Revealer

Microsoft Malicious Software Removal Tool

Rootkit Hook Analyser

IceSword

Sophos Anti-Rootkit
AVG Anti-Rootkit
Rootkit Buster
Gmer

Birçok kullanıcının göz ardı ettiği bir nokta ise şudur ki rootkit i silmek her zaman çok sağlıklı olmaz bazen dosyalarınız zarar görür,çalışmaz hale gelebilir dolayısı ile dosyalarınızı yedeklemenizde fayda var.

Rootkit Tabanlı Solucanlar

Rootkit tabanlı başlıca solucan ve virüsler şunlardır:

• W32.Maslan.A@ mm: Şifreleri çalan bu solucan, bilgisayarda bir arka kapı (back door) açarak sistem açıklarını artırır ve toplu e-postalar atar. Ayrıca, Görev Yöneticisi’nin açılmasını da engelleyebilir.
• W32.Opasa@ mm: Bilgisayarda bulduğu adreslere toplu e-posta gönderen, birçok güvenlik programının çalışmasını sağlayan servis ve uygulamaları durduruan ve çeşitli IRC sunucularına bağlanarak saldırgandan yeni komutlar bekleyen solucandır.
• Troj/NtRootK-CJ: İşlemleri, dosyaları ve kayıt girdilerini gizleyen bu virüs, saldırganın internet üzerinden söz konusu bilgisayara erişimini de mümkün kılar.
• Win32/Cutwail.BT: Sistemdeki winlogon.exe dosyasını değiştiren bu trojen, dosyaların kullanıcıya sormadan indirilmesine, çalıştırılmasına ya da başka uygulamaların içine gönderilmesine neden olur.
• Win32/Vundo.HJ: İzinsiz kullanıcıların bilgisayara erişmesini sağlayan bir trojandır.
• Rootkit.Win32.Fu: Kernel moddaki veri yapılarını değiştirerek, bazı işlemleri saklar.
• W32/Rdriv.A, Troj: Kernel moda çalışarak TCP bağlantılarıyla ilgili işlemleri saklar.
• Trojan.Win32.EliteBar: İzinsiz olarak sisteme giren bir adwaredır.
• Worm.Win32.Feebs.gen: E-posta ya da P2P ağını kullanarak yayılan bir solucan ailesidir. Genellikle HTML uygulama dosyası olarak gelir ve sisteme solucanı yerleştirir.
• Backdoor.HackDefender: Windows API (Application Programming Interface – Yazılım Programlama Arayüzü) fonksiyonlarını değiştirir ve kullanıcı modunda çalıştırır.

Rootkit Korunma Yöntemleri

Rootkitler genellikle kernel’e hook atarak sistemi ele geçirdikleri için bunu engellemenin en güzel yolu Process Guard ve Anti Hook gibi yazılımlar kullanmaktır.Aynı zamanda root yetkisi olmadan çalışmalarınızı gerçekleştirirseniz de sadece rootkit için değil birçok saldırıdan sisteminizi engellemiş olursunuz.

Referanslar;

olympos.org

bidb.itu.edu.tr

chelishky yaşanmışlıklar,önceki araştırmalardan aklımda kalanlar vs…

Kaynak göstererek istediğiniz yerde kullanabilir yayınlayabilirsiniz.

Sertaç Cem