Rootkit nedir? Rootkit'ler nasıl çalışır?? Rootkit'ler açıklandı.

Kötü amaçlı yazılımları, geleneksel virüsten koruma/casus yazılım önleme ürünlerini bile kandıracak şekilde gizlemek mümkün olsa da, çoğu kötü amaçlı yazılım programı, Windows PC'nizin derinliklerine gizlenmek için zaten rootkit kullanıyor… ve giderek daha tehlikeli hale geliyorlar! DL3 rootkit, vahşi doğada şimdiye kadar görülen en gelişmiş rootkitlerden biridir. Rootkit stabildi ve 32 bit Windows işletim sistemlerine bulaşabilirdi; enfeksiyonu sisteme yüklemek için yönetici haklarına ihtiyaç duyulmasına rağmen. Ancak TDL3 şimdi güncellendi ve artık virüs bulaştırabiliyor 64 bit sürümleri bile  Windows!

Rootkit nedir

Rootkit virüsü, bilgisayarınızdaki belirli işlemlerin veya programların varlığını normal algılama yöntemlerinden gizlemek ve böylece onun veya başka bir kötü amaçlı işlemin bilgisayarınıza ayrıcalıklı erişimine izin vermek için tasarlanmış gizli bir kötü amaçlı yazılım türüdür.

Windows için Rootkit'ler genellikle kötü amaçlı yazılımları örneğin bir virüsten koruma programından gizlemek için kullanılır. Virüsler, solucanlar, arka kapılar ve casus yazılımlar tarafından kötü amaçlı amaçlarla kullanılır. Bir rootkit ile birleştirilen bir virüs, tam gizli virüsler olarak bilinenleri üretir. Rootkit'ler casus yazılım alanında daha yaygındır ve artık virüs yazarları tarafından da daha yaygın olarak kullanılmaktadır.

Artık, etkin bir şekilde gizlenen ve işletim sistemi çekirdeğini doğrudan etkileyen, gelişmekte olan bir Süper Casus Yazılım türüdür. Bilgisayarınızdaki truva atları veya tuş kaydediciler gibi kötü amaçlı nesnelerin varlığını gizlemek için kullanılırlar. Bir tehdit, gizlemek için rootkit teknolojisini kullanıyorsa, bilgisayarınızda kötü amaçlı yazılımı bulmak çok zordur.

Rootkit'ler kendi başlarına tehlikeli değildir. Tek amaçları yazılımları ve işletim sisteminde geride bıraktığı izleri gizlemek. Bunun normal yazılım mı yoksa kötü amaçlı yazılım programları mı olduğu.

Temel olarak üç farklı Rootkit türü vardır. Birinci tip, “Çekirdek Kök Kitleri” genellikle işletim sistemi çekirdeğinin bölümlerine kendi kodlarını eklerken, ikinci tür olan “Kullanıcı modu Rootkit'leri”, sistem başlatılırken normal şekilde başlatılması için özel olarak Windows'a yöneliktir veya “Dropper” olarak adlandırılan bir sistem tarafından sisteme enjekte edilir. Üçüncü tip ise MBR Rootkit'leri veya Bootkit'leri.

AntiVirus & AntiSpyware yazılımınızın başarısız olduğunu fark ettiğinizde, bir uzmandan yardım almanız gerekebilir iyi Anti-Rootkit Yardımcı Programı. RootkitRevealer'dan Microsoft Sistem Dahili gelişmiş bir rootkit algılama aracıdır. Çıktısı, bir kullanıcı modu veya çekirdek modu kök setinin varlığını gösterebilecek Kayıt Defteri ve dosya sistemi API tutarsızlıklarını listeler.

Rootkit'lerde Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi Tehdit Raporu

Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi, Rootkit'lerle İlgili Tehdit Raporunu indirmeye hazır hale getirdi. Rapor, günümüzde kurumları ve bireyleri tehdit eden daha sinsi kötü amaçlı yazılım türlerinden biri olan rootkit'i inceliyor. Rapor, saldırganların rootkit'leri nasıl kullandığını ve rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını inceliyor. İşte Rootkit'lerin ne olduğuyla başlayan raporun bir özeti - yeni başlayanlar için.

Rootkit bir saldırganın veya kötü amaçlı yazılım oluşturucunun, normalde bir sistem yöneticisi için ayrılmış olan, açıkta kalan/güvenli olmayan herhangi bir sistem üzerinde kontrol elde etmek için kullandığı bir dizi araçtır. Son yıllarda 'ROOTKIT' veya 'ROOTKIT FUNCTIONALITY' terimi, sağlıklı bir bilgisayarda istenmeyen etkiler yaratmak üzere tasarlanmış bir program olan MALWARE ile değiştirilmiştir. Kötü amaçlı yazılımın ana işlevi, değerli verileri ve diğer kaynakları bir kullanıcının bilgisayarından gizlice çekip saldırgana sağlamak, böylece saldırgana ele geçirilen bilgisayar üzerinde tam kontrol vermektir. Ayrıca, tespit edilmesi ve kaldırılması zordur ve fark edilmezlerse uzun süreler, muhtemelen yıllarca gizli kalabilirler.

Bu nedenle, doğal olarak, güvenliği ihlal edilmiş bir bilgisayarın semptomlarının maskelenmesi ve sonuç ölümcül olduğu ortaya çıkmadan önce dikkate alınması gerekir. Özellikle saldırıyı ortaya çıkarmak için daha sıkı güvenlik önlemleri alınmalıdır. Ancak, belirtildiği gibi, bu rootkit'ler/kötü amaçlı yazılımlar bir kez yüklendikten sonra, gizli yetenekleri onu ve indirebileceği bileşenlerini kaldırmayı zorlaştırır. Bu nedenle Microsoft, ROOTKITS hakkında bir rapor oluşturmuştur.

16 sayfalık rapor, bir saldırganın rootkit'leri nasıl kullandığını ve bu rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını özetliyor.

Raporun tek amacı, başta bilgisayar kullanıcıları olmak üzere birçok kuruluşu tehdit eden güçlü kötü amaçlı yazılımları tespit etmek ve yakından incelemektir. Ayrıca, yaygın olarak kullanılan bazı kötü amaçlı yazılım ailelerinden bahseder ve saldırganların bu rootkit'leri kendi bencil amaçları için sağlıklı sistemlere yüklemek için kullandıkları yöntemi gün ışığına çıkarır. Raporun geri kalanında, kullanıcıların rootkit'lerden kaynaklanan tehdidi azaltmalarına yardımcı olmak için bazı önerilerde bulunan uzmanlar bulacaksınız.

Rootkit Türleri

Kötü amaçlı yazılımın kendisini bir işletim sistemine yükleyebileceği birçok yer vardır. Bu nedenle, çoğunlukla rootkit türü, yürütme yolunun alt üst edilmesini gerçekleştirdiği konuma göre belirlenir. Bu içerir:

1. Kullanıcı Modu Rootkit'leri
2. Çekirdek Modu Rootkit'leri
3. MBR Kök setleri/önyükleme setleri

Çekirdek modu rootkit uzlaşmasının olası etkisi, aşağıdaki ekran görüntüsü ile gösterilmiştir.

Üçüncü tür, sistemin kontrolünü ele geçirmek ve önyükleme sırasında mümkün olan en erken noktayı yükleme işlemini başlatmak için Ana Önyükleme Kaydı'nı değiştirir3. Dosyaları, kayıt defteri değişikliklerini, ağ bağlantılarının kanıtlarını ve varlığını gösterebilecek diğer olası göstergeleri gizler.

Rootkit işlevini kullanan önemli Kötü Amaçlı Yazılım aileleri

• Win32/Sinoval13 - Farklı sistemler için kullanıcı adları ve parolalar gibi hassas verileri çalmaya çalışan çok bileşenli bir kötü amaçlı yazılım ailesi. Bu, çeşitli FTP, HTTP ve e-posta hesapları için kimlik doğrulama ayrıntılarını ve ayrıca çevrimiçi bankacılık ve diğer finansal işlemler için kullanılan kimlik bilgilerini çalma girişimini içerir.
• Win32/Cutwail15 - Rasgele dosyaları indiren ve çalıştıran bir Truva Atı. İndirilen dosyalar diskten yürütülebilir veya doğrudan diğer işlemlere enjekte edilebilir. İndirilen dosyaların işlevselliği değişken olsa da, Cutwail genellikle spam gönderen diğer bileşenleri indirir. Çekirdek modu rootkit kullanır ve bileşenlerini etkilenen kullanıcılardan gizlemek için birkaç aygıt sürücüsü kurar.
• Win32/Rustock - Başlangıçta "spam" e-postanın bir e-posta aracılığıyla dağıtılmasına yardımcı olmak için geliştirilmiş, çok bileşenli bir kök kullanıcı takımı etkin arka kapı Truva atları ailesi botnet. Botnet, güvenliği ihlal edilmiş bilgisayarlardan oluşan, saldırgan tarafından kontrol edilen büyük bir ağdır.

Rootkit'lere karşı koruma

Rootkit'lerin yüklenmesini önlemek, rootkit'lerin bulaşmasını önlemenin en etkili yöntemidir. Bunun için anti-virüs ve güvenlik duvarı ürünleri gibi koruyucu teknolojilere yatırım yapmak gerekiyor. Bu tür ürünler, geleneksel imza tabanlı algılama, buluşsal algılama, dinamik ve duyarlı imza yeteneği ve davranış izleme kullanarak korumaya yönelik kapsamlı bir yaklaşım benimsemelidir.

Tüm bu imza setleri, otomatik bir güncelleme mekanizması kullanılarak güncel tutulmalıdır. Microsoft antivirüs çözümleri, etkilenen bir sistemin çekirdeğini değiştirme girişimlerini algılayan ve bunlar hakkında rapor veren canlı çekirdek davranışı izleme ve gizli sürücülerin tanımlanmasını ve kaldırılmasını kolaylaştıran doğrudan dosya sistemi ayrıştırması dahil olmak üzere, kök kullanıcı takımlarını azaltmak için özel olarak tasarlanmış bir dizi teknolojiyi içerir.

Bir sistemin güvenliği ihlal edilmişse, bilinen iyi veya güvenilir bir ortama önyükleme yapmanızı sağlayan ek bir araç, bazı uygun düzeltme önlemleri önerebileceğinden yararlı olabilir.

Bu şartlar altında,

1. Bağımsız Sistem Süpürme aracı (Microsoft Tanılama ve Kurtarma Araç Setinin (DaRT) bir parçası)
2. Windows Defender Çevrimdışı yararlı olabilir.

Daha fazla bilgi için PDF raporunu Microsoft İndirme Merkezi'nden indirebilirsiniz.