Rootkit Nedir? Nasıl tespit edilir ve Önlenir?
Bir rootkit, bir bilgisayara sürekli ayrıcalıklı erişim sağlarken varlığını aktif olarak gizlemek için tasarlanmış gizli bir bilgisayar programıdır. Rootkit terimi, "root" ve "kit" kelimelerinin birleşimidir. Başlangıçta rootkit, bir bilgisayara veya ağa yönetici düzeyinde erişim sağlayan bir araçlar topluluğuydu. Root, Unix ve Linux sistemlerindeki Yönetici hesabını, kit ise aracı uygulayan yazılım bileşenlerini ifade eder. Günümüzde rootkitler genellikle varlıklarını ve eylemlerini kullanıcılardan ve diğer sistem süreçlerinden gizleyen Truva atları, solucanlar, virüsler gibi kötü amaçlı yazılımlarla ilişkilendirilir.
Bir Rootkit Ne Yapabilir?
Bir rootkit, bilgisayar kullanıcısının/sahibinin haberi olmadan birinin bilgisayar üzerinde komuta ve kontrol sağlamasına izin verir. Bir rootkit yüklendikten sonra, rootkitin denetleyicisi, ana makinedeki dosyaları uzaktan yürütme ve sistem yapılandırmalarını değiştirme yeteneğine sahiptir. Virüs bulaşmış bir bilgisayardaki bir rootkit, günlük dosyalarına da erişebilir ve meşru bilgisayar sahibinin kullanımını gözetleyebilir.
Rootkit Nasıl Tespit Edilir?
Rootkitleri tespit etmek zordur. Bilinen ve bilinmeyen tüm rootkitleri bulabilecek ve kaldırabilecek hiçbir ticari ürün bulunmamaktadır. Virüs bulaşmış bir makinede rootkit aramanın çeşitli yolları vardır. Algılama yöntemleri, davranışa dayalı yöntemleri (örneğin, bir bilgisayar sisteminde garip davranışlar aramak), imza taramayı ve bellek dökümü analizini içerir. Çoğu zaman, bir rootkiti kaldırmanın tek seçeneği, güvenliği ihlal edilmiş sistemi tamamen yeniden oluşturmaktır.
Rootkitten Nasıl Korunur?
Pek çok rootkit, güvendiğiniz bir yazılım veya bir virüs ile bindirilerek bilgisayar sistemlerine nüfuz eder. Bilinen güvenlik açıklarına karşı yamalı olarak tutulmasını sağlayarak sisteminizi rootkitlerden koruyabilirsiniz. Bu, işletim sisteminizin yamalarını, uygulamaları ve güncel virüs tanımlarını içerir. Bilinmeyen kaynaklardan gelen dosyaları kabul etmeyin veya e-posta dosya eklerini açmayın. Yazılımı kurarken dikkatli olun ve son kullanıcı lisans sözleşmelerini dikkatlice okuyun.
Rootkit Türleri Nelerdir?
Bilinen rootkitler birkaç geniş ailede sınıflandırılabilir, ancak birçok melez de vardır. Başlıca aileler şunlardır:
Firmware Rootkitleri
Firmware rootkit, kendilerini işletim sistemi başlamadan önce önyükleme işlemi sırasında çalışan yazılımda depolayarak belirli donanım bileşenlerini çalıştıran yazılımı hedefler. Özellikle gizlidirler çünkü işletim sisteminin yeniden yüklenmesi yoluyla kalıcı olabilirler. Teknoloji sabit kodlu BIOS yazılımından uzaktan güncellenebilen BIOS yazılımına doğru ilerledikçe, sabit yazılım kök setlerinin kullanımı artmıştır. Birden çok sanal makineyi tek bir fiziksel sisteme yerleştiren bulut bilişim sistemleri de savunmasızdır.
Çekirdek Modu Rootkitleri
Bootloader rootkitleri, işletim sistemiyle aynı anda açılır ve bir bilgisayar başlatılırken çalıştırılan ilk kod olan Ana Önyükleme Kaydı'nı (MBR) veya önyükleme işlemini başlatmak için gereken kodu içeren Birim Önyükleme Kaydı'nı (VBR) hedefler. veya bir işletim sistemi veya uygulama yükleme kodu. Kendisini bu tür kayıtlardan birine ekleyerek, standart dosya sistemi görünümünde bir önyükleyici rootkit görünmez ve bir antivirüs veya rootkit kaldırıcının algılaması zor olur.
Önyükleyici Kök Kitleri
Bootloader rootkitleri, işletim sistemiyle aynı anda açılır ve bir bilgisayar başlatılırken çalıştırılan ilk kod olan Ana Önyükleme Kaydı'nı (MBR) veya önyükleme işlemini başlatmak için gereken kodu içeren Birim Önyükleme Kaydı'nı (VBR) hedefler. veya bir işletim sistemi veya uygulama yükleme kodu. Kendisini bu tür kayıtlardan birine ekleyerek, standart dosya sistemi görünümünde bir önyükleyici rootkit görünmez ve bir antivirüs veya rootkit kaldırıcının algılaması zor olur.
Sanallaştırılmış Kök Setleri
Hedeflenen sistem başlatılırken aynı anda açılan çekirdek modu kök kullanıcı takımlarının aksine, işletim sistemi açılmadan önce sanallaştırılmış bir kök kullanıcı takımı ön yüklenir. Sanallaştırılmış rootkit'ler bilgisayarın derinliklerinde yer alır ve kaldırılması son derece zor, hatta imkansızdır.
Kullanıcı Modu Rootkitleri
Kullanıcı modu rootkitleri, uygulama programlama arayüzlerinin davranışını değiştirir. Yöneticilere yanlış bilgi gösterebilir, sistem çağrılarını engelleyebilir, süreç çıktısını filtreleyebilir ve varlıklarını gizlemek için başka eylemlerde bulunabilirler. Ancak, kullanıcı modu rootkitleri, işletim sistemleri veya diğer kritik süreçler yerine uygulamaları hedeflediğinden, antivirüs ve rootkit temizleme uyarılarını tetikleyen kırıntılar bırakırlar ve bunları kaldırmak, diğer bazı rootkit kötü amaçlı yazılım türleri kadar zor değildir.
Siber Güvenlik Hizmetleri İçin Sorularınızı Bekliyoruz
Siber güvenlik hakkında ihtiyaçlarınızı belirleyebilmek ve çözümler ile ürünlerle ilgili detaylı bilgi için bizimle iletişime geçiniz.
