Görünmez Tehlike Rootkitler

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte3
Yottabyte3
Mesajlar: 28757
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

Görünmez Tehlike Rootkitler

Mesaj gönderen velociraptor » 20 Ağu 2008, 05:54

Davetsiz misafirler kisisel bilgi güvenliginiz için tehdit olusturuyorlar. Bu görünmez tehlikeyi birlikte daha yakından inceleyelim.

Bilgi güvenligi kavramı, bilisim dünyasında soyut bir kavram olarak görülüyor. Kisisel veri güvenliginde yasanan problemlerden dogan negatif sonuçların birikimi sonucu bu kavram, gün geçtikte somutlasma yolunda ilerliyor.

İnsanoglu, en iyi dersleri, bir olay basından geçtigi zaman ögreniyor.Bu yüzdendir ki güvenlik artık herkesin uygulaması gereken temel unsurların basında geliyor.Sistemimizi ne kadar iyi korusak bile bazen öyle durumlar ile karsılasıyoruz ki tüm çabalarımız bosa gidiyor ve görünmez misafirler sistemimizi ele geçiriyor.Bu görünmez misafirler de güvenlik dünyasında “Rootkit” adı altında bilgi güvenligini tehdit eden en tehlikeli uygulamaların basında geliyor.

Rootkitler, sistemlerde çekirdek (kernel), kütüphane (library) ve uygulama (application) seviyelerinde çalısabilen ve gizliliginden ötürü varlıgından zor haberdar olunan araçlar olarak biliniyor. Rootkitler, isletim sistemi ayırtetmeksizin hem Windows hem de Unix tabanlı isletim sistemlerinde kolayca aktif duruma geçebiliyor. Root (en üst düzey yetki) ve kit (araç) sözcüklerinin birlesiminden rootkit adını almaktadır. İlk çıktıgı yıllarda tespit edilmesi imkânsız olan bu araçlar, son yıllarda gelisen güvenlik teknolojileriyle birlikte tespit edilebilir hâle geldiler.

Kimler Kullanıyor ?

Hackerlerin vazgeçilmezleri arasında yer alan rootkitler, erisim yaptıkları sistemlerde sistem yöneticisine fark edilmeden, hacker tarafından verilen görevleri kusursuzca yerine getirir.Tespit edilebilirligi de zor olmasından dolayı eristikleri sistemlerde uzun süre aktif kalırlar.Sistem kaynaklarını sonuna kadar sömürürler ve diger zararlı yazılımların sisteme erisim saglaması için alt yapı olustururlar.

Sony firması tarafından 1995 yılında piyasaya sürülen ve kopya korumasını engellemek amacıyla çıkardıkları öne sürülen rootkit ile milyonlarca kisinin bilgisayarı rootkit tehlikesiyle tanıstı. Bir süre sonra bu cdler Sony firması tarafından toplatıldı.

Sistemlere izinsiz giris yapan kisiler erisimi gerçeklestirdigi bilgisayarlarda izlerini bırakmamak için rootkitlerden yararlanıyorlar. Log adı altında izlerinin takip edildigi dosyalara erisim saglayıp devre dısı bırakıyorlar. Böylece sistem yöneticisi tarafından tespit edilmeleri güçlesiyor ve istedikleri bilgilere kolayca erisebiliyorlar. Yerine getirdikleri görevlere bakıldıgında Truva atlarına benziyorlar . Ancak gizlilikleri konusunda bir Truva atından daha fazla gizlilik içeriyorlar. Sistemlerde olusturabildikleri backdoor (arka kapı) vasıtasıyla da birçok uygulamanın çalısabilmesi için uygun alt yapı olusturabilirler.

Resim

Rootkit istilasını baslatan CD.

Görünmez misafirlere yakın plan

Rootkitler çalısma prensiplerine göre farklı alt bölümlere ayrılmıslardır. Sistemlerin her noktasına erisim saglayabilecek uygun ve yeterli isleyis sistemlerine sahiptirler. Bazı çalısma sekillerini daha yakından inceleyelim.

Çekirdek seviyesi (kernel level):

En tehlikeli ve sisteme yerlestirdikten sonra tespit edilmesi en zor rootkit türüdür. Kendisini isletim sisteminin çekirdegine yerlestirir. Bu islem genelde çalısmakta olan ve çekirdek ile baglantılı olan dosyalara eklenen kodlar ile gerçeklesir.

Kütüphane seviyesi (library level):

Kayıt defteri (Regedit) gibi sistem kayıtlarının islendigi noktalara kendisini ekleyerek aktif konuma geçebilirler. Günümüzde bazı ünlü Truva atları da bu yapılanmaya sahiptir.

Uygulama seviyesi (Application level):

Uygulama (*.exe) olarak çalısan dosyalara kendisini ekleme yaparak ya da degisiklik yaparak sisteme bulasmaya çalısırlar.

Bu çalısma sekillerinin dısında virtualized, firmware, memory based seviyelerinde de çalısabilirler. Donanım parçalarına müdahale edebilirler, olusturacakları sanal sistemler üzerinden giris yaptırarak gizlenme görevlerini basarıyla yerine getirirler.

Manuel olarak tespit edilmeleri oldukça zordur. Eger olusturdugunuz dosyalarınızın md5 checksum degerleri mevcutsa süphelendiginiz dosyalarınız da bu degerleri karsılastırarak sonradan bir eklenme olup olmadıgı kontrol edilebilir. Böylece degisen md5 degerleri, size dosyanızın degisip degismedi hakkında bilgi verir.

Nasıl Bulasırlar ?

Web siteleri üzerinden ve programlar vasıtasıyla virüs, keyloggeri ve trojan gibi diger zararı yazılımların bulasma sekilleriyle aynı biçimde bulasırlar.Yapıları itibariyle farklı olduklarından dolayı ,anti-virüs programları tarafından tespit edilmeleri zordur.

Son günlerde Vista kullanıcılarını bir MBR (Master Boot Record) rootkit’i tehdit ediyor. Kötü niyetli kisiler bu rootkit’i kullanıp sisteminize erisim saglıyorlar ve sisteminizi tüm saldırılara açık hâle getiriyorlar.

Sistem yöneticisi tarafından fark edilmeden kurulan rootkitler, yalnızca Windows platformlarında degil, Unix tabanlı isletim sistemlerinin de bas belası haline geldi. Web hosting hizmeti saglayan firmalardaki sistem yöneticilerinin sıkıntı yasadıgı en önemli noktalardan biridir.Sunucudaki güvenlik açıklarından yararlanan kötü niyetli kisiler, bir backdoor (arka kapı) vasıtasıyla sisteme çekip çalıstırdıkları rootkitler ile yaptıgı islemleri gizleyebilirler.Böylece o sunucu üzerindeki tüm web sitelerinin güvenligini tehdit altına alınmıs olur.

Paronayak olun !

Paronayak olmak bazen dogabilecek büyük problemlerin önüne geçiyor. Böyle durumlarda Intel firmasının kurucusu Andy Grove’un su meshur sözü aklıma geliyor; “Sadece Paronayaklar hayatta Kalır”. Tüm ihtimalleri düsünmek ve gelebilecek saldırı önceden sezmek olaganüstü bir yetenek degildir. Gelisen güvenlik teknolojileriyle artık rootkitler’den korunmak sizin elinizdedir. Hem Windows hem de Unix isletim sistemleri için hazırlanmıs anti-rootkit araçlarıyla güvenliginizi arttırabilirsiniz. Paronayak olmanıza gerek kalmadan basitçe kullanabileceginiz bu uygulamaları birlikte yakından inceleyelim.

Sisteminizi kurarken güvenirliliginden emin oldugunuz dosyalardan kurulum yapmaya özen gösterinizi. Bir web sitesinde buldugunu dosyaları sisteminize kurmayınız. Açık kaynak kodlu projelere kolayca entegre edilebilen bu zararlı araçlar kısa sürede birçok kisiyi magdur konuma düsürüyor. Linux isletim sisteminizde güncelleme paketlerini resmi web siteleri dısından gerçeklestirmeyiniz. Windows isletim sistemi kullanıyorsanız son güncellemeleri mutlaka yapınız aksi hâlde rootkit saldırıları sisteminizde kolayca etkili hâle gelebilir. Firewall gibi yazılımları kolayca egale edebilen bu zararlı araçlar için bazı anti-rootkit araçları gelistirildi bu yazılımları kısa sürede edinin ve sisteminizi güncel taramalardan geçirin.

Yetkileri sınırlandırılmıs hesaplar ile sisteminizi kullanmayı özen göstermek, üst düzey yönetici haklarına sahip olmayı amaçlayan rootkitleri pasif konumda tutarlar. Kullanıcı adınızın ve sifrenizin kolay tahmin edilemez olması da bu zararlı yazılımları bir nebze de olsa görevlerini yerine getirmelerini engelleyebilir. Sistemlerde sniffing görevi de üstlenebilen bu yazılımlardan korunmak için manuel yolların dısında yazılımsal çözümler de bulunuyor.

Sizler için inceledigimiz ve önerebilecegimiz bazı rootkit temizleme ve korunma araçlarını sizler de incelemelisiniz.

Sophos Anti-Rootkit

Resim

Basit ara yüzü ile kolayca tarama yapıp görünmez tehlikelere karsı önlemler alabilirsiniz.

Gmer Anti-Rootkit

Resim

Gmer ile sisteminizin derinliklerine yerlesmis rootkitleri bile bulabilirsiniz.
Microsoft® Windows® Malicious Software Removal Tool

Resim

Microsoft’un ücretsiz aracıyla kolayca tarama yapabilirsiniz.

Unix tabanlı isletim sistemlerinde “ChkRootkit” adındaki anti-rootkit aracıyla tarama yapabilirsiniz. ChkRootkit aracı degistirilme olasılıgı olan dosyaları tarama yaparak kolayca tespit edebilir. Tarama yaptıgı bazı dosyalar sunlardır.

aliens, aspi, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.

Buna alternatif olarak “rootkit hunter” aracıyla da tarama islemini gerçeklestirebilirsiniz. Kurulum islemi için Linux konsolunda su yolu izleyebilirsiniz.

#tar -z vf rkhunter.tar.gz //rootkit hunter dosyamızı açıyoruz

#sh installer.sh //kurulum islemini baslatıyoruz.

#rkhunter –c // tarama islemini baslatın.

Unix tabanlı sistemlerde genelde netstat,ps,df,find,ls gibi dosyalara rootkitler kolayca müdahale edebiliyorlar.

ProcessGuard

Resim

ProcessGuard ile rootkitlerden korunabilirsiniz.

Anti-Rootkit araçlarını asagıdaki adreslerden indirebilirsiniz.

Microsoft Malicious Software Removal Tool

Kod: Tümünü seç

http://www.microsoft.com/security/malwareremove/default.mspx
Sophos Anti-Rootkit

Kod: Tümünü seç

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
AVG Anti-Rootkit

Kod: Tümünü seç

http://www.grisoft.com/doc/download-free-anti-rootkit/us/crp/0
Rootkit Buster

Kod: Tümünü seç

http://www.trendmicro.com/download/rbuster.asp
Rootkit Revealer

Kod: Tümünü seç

http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspx
Gmer

Kod: Tümünü seç

http://www.gmer.net/index.php
Son Sözler

Görünmez misafirlere geçit vermemek için önceden de sıkça dile getirdigimiz güvenlik çözümleri, rootkit saldırıları için de geçerlidir. Sisteminizde güncel bir anti-virüs,anti-spyware ve firewall yazılımları dısında artık anti-rootkit araçlarını da bulundurmalısınız.Güvenligin gün geçtikte sistemlerin derinliklerine inen kötücül yazılımları tespit etme konusunda yaptıgı bir çok çalısma olsa da kisisel bilgi güvenliginiz için her zaman kuskucu olmakta yarar vardır.Görünmez misafirleri görünür kılmak sizin elinizdedir.

ALINTIDIR



Kullanıcı avatarı
modestus
Gigabyte4
Gigabyte4
Mesajlar: 3238
Kayıt: 23 Nis 2008, 15:57
cinsiyet: Erkek

Mesaj gönderen modestus » 20 Ağu 2008, 09:41

tesekkür ederim:
rootkit olayının tehlikeli oldugunu biliyordum ama bu kadar oldugunu bilmiyordum,
sence yukardakilerden hangisi daha iyi,yoksa tek tek denememi yapsak.
rootkitlere karsı a.v.lerin koruma potansiyeli nedir??

Kullanıcı avatarı
velociraptor
Yottabyte3
Yottabyte3
Mesajlar: 28757
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

Mesaj gönderen velociraptor » 20 Ağu 2008, 14:41

bu konuda benim eski bir cevirim:
https://www.sordum.net/news/news.php?a=565
iki yil önceki bir cevirim (anasayfanin dinamiklestirilmesi calismalari dogrultusunda tarihi yeni gibi görünyor ama takip edenler esas tarihini bilirler):
https://www.sordum.net/news/news.php?a=98

Hangisi daha iyidir sorusuna verilecek cevap : denemek gerek
Knowledge determines destiny, And ye shall know the Truth and the Truth shall make you free

Kullanıcı avatarı
modestus
Gigabyte4
Gigabyte4
Mesajlar: 3238
Kayıt: 23 Nis 2008, 15:57
cinsiyet: Erkek

Mesaj gönderen modestus » 20 Ağu 2008, 17:30

bende buldu birtane:
Resim
silinmiyor,windows/system32/driverde tfsysmon olarak buldum sildim ama registryde anahtarlara everyone izin verdigim halde silinmiyorlar,ne yapabilirim.

normal yoldan kesinlikle silinmiyorlar:
live cd ile bilgisayarımı açtım,erd commander regystri editor ile registriyi açıp anahtarı sildim
En son modestus tarafından 20 Ağu 2008, 18:13 tarihinde düzenlendi, toplamda 1 kere düzenlendi.

Kullanıcı avatarı
Laneth
Gigabyte1
Gigabyte1
Mesajlar: 1937
Kayıt: 06 Ara 2007, 16:13
cinsiyet: Erkek

Re: Görünmez Tehlike Rootkitler

Mesaj gönderen Laneth » 15 Kas 2008, 18:17

All In One Rootkits-Utilities

Resim


Includes:

AVG Anti-Rootkit 1.1.0.42
Bitdefender Anti-Rootkit-BETA 2
F-Secure BlackLight 2.2.1070
Malicious Removal Tool 2.2
McAfee Rootkit Detective 1.0
Panda Anti-Rootkit 1.08.00
Rootkit Unhooker 3.7
Rootkit Hookanalyzer 3.02
RootkitRevealer 1.71
UnHackMe 4.80 Build 289
Windows Defender 1.1.1593
Sophos Anti-Rootkit 1.3.1
The Cleaner 5.2.01100
Aries Rootkit Remover 1.0
Avira Rootkit Detection 1.0.1.17
SysProt Antirootkit 1.0.0.4
Trend Micro Rootkitbuster 2.2.1014
Helios Lite 1.0(for NTFS)

Kod: Tümünü seç

http://depositfiles.com/files/8jum0a7ah
or
http://rapidshare.com/files/162837460/Root-Kit_www.ewares.org.rar

Kullanıcı avatarı
armorking
Megabyte1
Megabyte1
Mesajlar: 938
Kayıt: 27 Oca 2008, 18:54

Re: Görünmez Tehlike Rootkitler

Mesaj gönderen armorking » 08 Şub 2011, 19:28

bunla ilgili yaşanan olay :

her şey mark russinovich adlı bir yazılım geliştiricisi ve microsoft windows işletim sistemi uzmanının, kişisel web sayfasında yayınladığı bir yazıyla başladı. yazıda windows işletim sistemi üzerinde çalışan bir rootkit’in (bilgisayarımızın yönetici parolasını ele geçirmek üzere hazırlanmış programlar) bilgisayara nasıl yüklendiği, sistemde neler yaptığı, silinmeye kalkışınca neler olduğu vb. bilgiler yeralıyordu. fakat bu rootkit öyle “siyah takımlı” birileri tarafından değil, ünlü müzik tekeli sony bmg tarafından yükleniyordu bilgisayarlara. hem de kullanıcıların hiçbir şekilde bilgisi olmadan.
sony bmg, müzik cd’lerinin “korsan” kopyalarından korunmak gibi gayet “duygusal” bir nedenle cd’lerine, ingiltere’de bulunan first4internet adlı yazılım firması tarafından geliştirilen özel bir program yerleştirmişti. müzik cd’sini bilgisayarına yerleştiren herkes dinleyebilmek için bu programı yüklemek zorundaydı. fakat kullanıcı, yüklediğinin bir rootkit, yani bilgisayarına gizlice yerleşip sony’ye cd ve bilgisayar bilgilerini, ne kadar dinlendiğini, kullanıcının internet alışkanlıklarını vb. gönderen bir program olduğundan hiçbir şekilde haberdar olmuyordu. first4internet işini iyi yapmıştı. 2004 yılının ikinci yarısından itibaren dağıtımına başlanan bu cd’lerden ve yüklediği rootkit’ten kimsenin haberi bile olmamıştı. ta ki russinovich farkedip, ayrıntılı bir incelemeyle, kişisel sitesinde yazana kadar.

durum ciddiydi. bu program yalnızca her türlü bilgiyi sony’ye göndermekle kalmıyordu. program hakkında bilgi sahibi olan kötü niyetli herhangi biri onun sayesinde, kurulu olduğu bilgisayarlara başka casus programlar da yükleyebiliyordu rahatlıkla. russinovich programı bilgisayarından kaldırmaya kalktı ve işin bir başka boyutu daha çıktı ortaya. program, -ancak uzman bir kullanıcının yapabileceği şekilde- silinmeye kalkışılırsa işletim sistemi bozuluyor, cd-rom sürücüsü çalışmaz hale geliyordu. bu rootkit gelmiş geçmiş en ünlü bilgisayar virüslerinin bulaştığı bilgisayar sayısından daha fazla bilgisayara bulaşmıştı. sony bmg, rootkit’in tam olarak kaç bilgisayara bulaştığına dair bilgiyi vermiyordu. fakat dan kaminsky adlı, bağımsız bir internet güvenliği uzmanının yaptığı araştırmaya göre rootkit, dünya çapında 768.200 bilgisayar ağına bulaşmıştı. birçok güvenlik uzmanı bu rakamın çok daha fazla olduğunu düşünüyor.

russinovich’in ayrıntılı yazısından sonra durumun vehameti anlaşıldı. önce ünlü güvenlik uzmanları, sonra teknoloji haberleri siteleri ve nihayet medya konuyu açmaya, tartışmaya başladı. sony bmg beklemediği bir tepkiyle karşılaşmıştı. birçok internet sitesinden sony ürünlerini boykot çağrıları yapılıyordu. önceleri, “birçok insan rootkit’in ne olduğunu bile bilmiyor, öyleyse neden bunu dikkate alsınlar ki?” diye yüzsüzce yaptıklarını savunan açıklamalar yapan sony bmg, sonunda geri adım attı. önce bir “temizleme sistemi” sundular. fakat bu temizleme sisteminin aslında göstermelik bir şey olduğu kısa sürede anlaşıldı. bir şey temizlemediği gibi ciddi bir güvenlik açığına daha neden oluyordu. bu sefer iyice sıkışan sony bir adım daha geriledi. her ne kadar yaptıklarından dolayı en ufak bir pişmanlık duymadığını belli etse de, internet sitesine konuyla ilgili bir açıklama koydu ve bu rootkit’in güvenli şekilde silinebilmesi için gereken yazılımı en kısa sürede hazırlayacaklarını, rootkit bulunan cd’lerin yenileriyle değiştirilebileceğini açıkladı.

ama birçok insan bununla yetinmemek gerektiğinin altını çiziyor. olayı ortaya çıkaran russinovich, sony bmg’nin geri adımını “zafer” başlığıyla verdiği yazısında durumu şöyle özetliyor: “iki nedenle: birincisi, daha önce de belirttiğim gibi yanlış yaptıklarını kabul etmiyorlar, sadece bunun bir güvenlik önlemi olduğunu belirtiyorlar. ikincisi, sony’nin sitesinde ya da yayınlarında gelecek politikalarına dair herhangi bir şey yok. “sizin ve diğer müşterilerin müzik dinleme konusundaki esnek taleplerini öğrenmek için yeni yollar bulmaya devam edeceğiz” diyebiliyorlar. fakat rootkit karşısındaki tutumlarına ya da program kurulurken gerekli bilgilendirmeyi yapmaya dair hiçbir şey söylemiyorlar.”

peki ne oldu, elbette sony bmg yaptıklarıyla kaldı. yalnızca dinleyicilerinin bilgisayarlarına gizlice program yüklemekle kalmadılar. bu programlarında lgpl lisanslı, açık kaynak kodlu bir program kullanmış ve bunu da saklamışlardı. yani bu programın lisansını açıkça çiğnemişlerdi. tüm bunların ortaya çıkmasına rağmen, russinovich de dahil birçok insanın beklediği olmadı. sony bmg yanlış yaptığını kabul ederek özür dilemediği gibi, yasal olarak suç sayılan “kullanıcıların onayı ya da bilgisi olmadan bilgisayarlarına program yükleme ve bilgi alma” durumuna dair herhangi bir yükümlülükle de karşılaşmadı. stanford üniversitesi, hukuk bölümü, internet ve toplum merkezi müdürü jennifer granick, “adalet bakanlığı sony’e herhangi bir suç yüklemeyecek. şu ana kadar hiçbir büyük şirketi herhangi bir bilgisayar suçundan yükümlü tutmadılar” diyor. eh bunda şaşılacak bir şey yok.

gelelim işin bir başka boyutuna. yani görevleri bilgisayarı, işletim sistemlerini zararlı, istem dışı kurulan yazılımlara karşı korumak olan antivirüs ve güvenlik yazılımlarına. uzun zamandan beri ortalarda dolaşan, yüzbinlerce bilgisayara bulaşan bu rootkit’i farketmemeleri imkansız olan antivirüs firmalarından da microsoft’un kendisinden de herhangi bir ses çıkmadı. finlandiya merkezli f-secure adlı antivirüs yazılımı firması dışında herhangi bir araştırma ya da bilgilendirme de yapılmadı. ünlü antivirüs yazılımlarından norton ve mcafee olay ortaya çıkıncaya kadar herhangi bir şey yapmadılar. şu ana kadar da rootkit’in sistemden temizlenmesini sağlayacak herhangi bir araç sunmuş değiller. ama olayın ilk muhatabı olan microsoft’un durumu daha da vahim. rootkit kendi işletim sistemini bozduğu halde microsoft’tan olaya ilişkin herhangi bir kınama dahi gelmedi. yoğun tepkilerden sonra yeni güvenlik güncellemelerinde bu rootkit’i bulacak ve sadece kendisini gizleyen bölümünü temizleyecek bir araç sunacaklarını belirtmekle yetindi.

bu firmalar, sony bmg’nin karlarının güvenliğini kullanıcılarının güvenliğinden daha önemli bulmuşlardı kuşkusuz. yani kullanıcılarını rootkit’lerden değil, sony’nin karlarını kullanıcılarından korudular. ayrıca kimbilir onların keşfedilmeyi bekleyen ne tür casus yazılımları var? artık hollywood filmlerine dahi giren emperyalist şirketlerin yerel işbirlikçileriyle birlikte, petrol ya da madenler için yerli kabilelerini katletmesi, yerlerinden yurtlarından etmesi şeklindeki olayların internetteki basit bir tezahürü bu hikaye.

sony, yaptığının meşruluğundan oldukça emin bir edayla vahşiliğini çabuk gösterdi ve beklemediği bir tepkiyle karşılaştı. microsoft gibi diğer alanlarda müşteri kaybeden, müzik ve film piyasasının aktörü olmayı hedefleyen bir tekelin ya da antivirüs firmalarının, kimbilir ne tür pazarlıklarla görmezden gelmezliği de kurtaramadı onu.
alıntı (ekşi sözlük )

Cevapla