ROOT-KIT’LER / DOKUMAN

Bu yazılarımızda, Root -Kit’lerle ilgili biraz bilgi verelim.

Root-Kit nedir ? Root-Kit, bilgisayarlarda ve işletim sistemlerinde çekirdek seviyesinde çalışan programlarda gizlenebilen çok tehlikeli uygulamalar olarak tanımlanabilir.

Root-Kit denilen araçlar, hacker’ın sistemin içinde kalmayı garantimek için kullandığı araçlardır.

Şimdi Root-Kitler’le ilgili ana bilgileri verelim:

Önce Root-Kit Tanımlaması:

Zararlı kategorilerin en tehlikelerinden biri olan RootKit’lerin ismi, Unix Tabanlı İşletim Sistemlerinin, En Önemli Hesabı Sayılan ve Windows’daki Yönetici Hesabına eş olarak kabul edilen Root’dan gelmektedir.

Yıllar önce, bir hacker, bir bilgisayarın butun Root haklarını ele geçirip, daha sonrasında Kit ismini verdiği Kendi Uygulamalarının tamamını yüklemiştir.

Bu Rootkit, Hacker’a sözkonusu sisteme giriş çıkışla ilgili çeşitli haklar sağlamış, bunların arasında uzaktan sözkonusu sistemi istediği gibi yönetme özellikleri de olmuştur.

İlk bilinen, Windows RootKit’i sayılan NT-ROOTKIT, Güvenlik Kitapları Yazarı Greg Hoglund tarafından 1999 yılında yayınlanmıştır.

Hoglund, şu an Rootkit’lerin oluşturulması ve silinmesi ile ilgili www.rootkit.com isimli web sitesinin de sahibidir.

Tipik olarak, RootKitler, işletim sisteminin defolarından yararlanmak yerine, bu işletim sistemlerinin daha çok genişlemeleri, geliştirilmeleri ile ilgili durumları kullanırlar. Örnek olarak, Windows platformunu ele aldığımızda, gayet moduler, esnek ve yeni, güçlü uygulamalar hazırlamak için çok basit bir platformla karşılaşırız.

Windows için hazırlanmış RootKitler, işletim sisteminin çalışma şekillerinde değişiklik yaratarak, sistemi hacker’ın giriş ve çıkışına uygun hale getirirler.

BİR HACKER ROOTKIT’I NASIL YÜKLER ?

Bir Hacker’ın RootKit’i bir sisteme yüklemesi için, bir şekilde sisteme girip administrator ( Yönetici ) Haklarını elde etmesi gerekir.

Bunu türlü yollarla başarabilir. Şöyle ki:

Zararlı bir kodu, Web’den indirilebilecek, bir oyun, programa ekleyebilir ve kullanıcıyı o uygulamayı herhangi bir websitesinden indirmesi için yönlendirebilir.

Kullanıcının, şifresi basitse, tahmin yolunu kullanabilir.

Sistemde, bulunan bir güvenlik açığının avantajını kullanabilir.

Zayıf bir şekilde donatılmış sistemi, exploit’leyebilir.

Ve en sonrasında, sistemin kontrolünü ele geçirdiğinde, kendi RootKit’ini sisteme kurar.

User-Mode ve Kernel-Mode Root-Kitleri arasındaki fark nedir ?

Esrar perdesi yönünden, Rootkitleri, Trojan ve diğer virüslerden ayıran en önemli özellik, sistemde çok iyi gizlenmeleri , tesbit edilmelerinin ve silinmelerinin çok zor olmasıdır.

RootKit, Hacker’a, sonraki saldırıları için kapı hazırlar, açar, istenilen uygulamaları çalıştırır, istenilen uygulamaları izler, hacker tarafından daha sonra toplanabilecek tüm bilgileri toparlar.

Günümüzün, yaygın rootkitleri, daha çok, yönetici hakları olan kullanıcı ( user ) modlarında çalışmaktadır. Güvenli işletim tabanının entegrasyonunu bozan bu rootkitler, güvenliğin alt sistemlerini değiştirirler ve sözkonusu yönetim hesabını mesrulastırmak için yanlıs bilgi sunarlar. Sistemin belli uyarılarını keserler, APIler gibi belli programlama arayüzü programlarının çıkışlarını filtreleyebilirler. ( Sistemde olup biten işlemleri , sistem sürücülerini, belli dosyaları, ağ portlarını, kayıt defteri anahtarlarını ve sistem servislerini gizlemek gibi. )

Su an için, HE4HOOK, VANQUISH, APHEX ve en populer olanlardan HACKDEFENDER gibi çeşitli Root-Kit’ler mevcuttur.

Bahsi geçen Rootkitlerin çalışmasının en önemli şartı, hedef bilgisayara tek tek kurulması ve bilgisayar her açıldığında otomatik olarak devreye girmesidir.

User-mode rootkitlerin en büyük dezavantajı, Kernel Mod’ta çalıştırılabilecek bir kodla tesbit edilebilmeleridir.

Rootkit yazan bir hacker bu durum karşısında ne yapacaktır ? Doğal olarak yazmış olduğu RootKit’i Kernal’a yüklemenin yolunu arayacaktır. Fakat bu işi yapmak söylendiğinden daha zordur.

Kernel-Mode’da çalışan bir RootKit oluşturmak ve gizli kalmasını sağlamak çok zordur, çünkü kullanılan kod bozulursa, Windows Mavi Ekran hatası verir.

Kernel-Mode Rootkitlerin, en büyük özelliği, sistemin çökmesine sebep olmalarıdır.

Bu da Micrsoft Personelinin, sözkonusu RootKit’i incelemesi ile ilgili işlerini kolaylaştırmaktadır. Çünkü Microsoft genel olarak sistemi çökerten sebepleri inceleyerek, destek hizmetini genişletmektedir.

FU isimli RootKitin, ısrarcı-olmayan bir Kernel-Mode Root olması sebebiyle, tesbit edilmesi çok güçtür.

Israrcı-olmayan gruba girmesi yüzünden bu Rootkit’in dosyaları sistemde yüklü olmaz. Kernet-Mode RootKit olduğu için, tesbit edilmesi çok zor olan bu Rootkit, sistemin kapatılıp açılmasıyla silinir. Bu durumda hacker sisteme girmenin yolunu tekrar aramak zorunda kalacaktır.

Üzülerek belirtmek gerekir ki, Rootkitler dışındaki zararlı olan tüm virus ve trojanlar da gizlenmeyi sever. Hacker’lar keylogger ve trojan benzeri tüm zararlı kodları, yukarda bahsedilen rootkitleri sakladıkları gibi saklamayı severler. Örnek vermek gerekirse, sisteminin sık sık çökmesinden şikayetçi olan bir kullanıcının bilgisayarı incelendiğinde, Kendini, Kernel-Mode RootKit larak saklamaya çalışan bir casus yazılımla karşılaşılmıştır.

Diğer Root-Kit Türleri:

Persistant Rootkits: ( Israrcı RootKitler )

Sözkonusu Rootkitler, sistem her açılıp kapandığında, ilişkilendirilmiş zararlı yazılımla birlikte devreye gider.

Kullandığı zararlı yazım kodu, sistemin her başlangıcında çalışmaya ayarlı olduğu için, her kullanıcı girişinde, kayıt veya dosya sisteminde kendisini ısrarla tutarak devrede olur.

Memory-Based Rootkits: ( Hafıza Tabanlı Rootkitler )

Bu Rootkitlerin, süreklilik sağlayan kodları bulanmadığın, bilgisayar restart ettiğinde, silinirler.

Windows’da RootKit’leri Nasıl Tesbit Eder ve Silebiliriz ?

RootKitleri tesbit etmek ve silmek çok ugrastırıcı olabilir.

VICE, PatchFinder2 gibi Tesbit Etme Uygulamaları dışında, birçok RootKit Tesbit Etme Programları, maalesef yine bu RootKitleri yazan kişileri tarafından hazırlanmıştır.

"Beyond Fear"ın yazarı Bruce Schneier’in Rootkiti hakkında, kendi blog’unda yazmıs olduğu yazılar;

(

bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile) )

ve RSA Konferanslarında sunulmuş olan Windows RootKit’leri, çok büyük yankı uyandırmıştır.

Bunun üstüne, bazı Güvenlik Şirketleri, Rootkitlerle başa çıkabilmek için, Güvenlik Suitlerinin dışında, tek başına küçük uygulamalar çıkarmışlardır.

Bunlardan bir kaçını örnek vermek gerekirsek, SYSINTERNALS firmasının ROOTKITREVEALER programı veya F-SECURE’un henuz Beta aşamasında olan BlackLight Betası gösterilebilir.

Microsoft’da RootKitleri tesbit amaçlı, Microsoft Malicious Software Removel Tool’u çıkarmış ve aylık olarak güncellemektedir.

Üzülerek belirtmek gerekir ki, RootKitleri tesbit eden araçlar ne kadar başarılı olursa olsun, RootKitleri yazanlar, bu Rootkitleri yenilemekte ve tesbit edilmemeleri için kodlarını değiştirmektedirler. Bu Kedi Fare oyunu şeklinde devam etmekte ve gelecekte de devam edecektir.

Bütün bunlar kulağa hoş gelmese de, Rootkitlerden ve Casus Yazılımların getirmiş olduğu tehlikeleri minimuma indirmek için yapılması gerekenler :

Antivirus ve antispyware yazılımlarınızı devamlı güncel tutmak.

Ağları da tarayan, çift yönlü Firewall’lar kullanmak.

İşletim sistemlerinin ve tüm programlarının en güncel yamaların takip etmek ve yüklemek.

İşletim sistemini mümkün olduğu kadar girilmesi zor kılmak. ( Şifreleme işlemleri )

Bilmediğiniz kaynaklardan gelen programları kurmamak.

olacaktır.

Bunun dışında, bu yazıda geçen bazı RootKit Detectorleri, Security bölümünde, Tüm 2006 Diğer Güvenlik Programları başlığına eklenmeştir.

Sözkonusu programları deneyerek, sisteminizdeki rootkit varlığını araştırabilirsiniz.

Link :



bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile)



Kaynaklar:



bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile)



bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile)



bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile)



bağlantıyı göster (facebook ile) bağlantıyı göster (klasik üye girişi ile)