Görünmez Tehlike Rootkitler
Gönderilme zamanı: 20 Ağu 2008, 05:54
Davetsiz misafirler kisisel bilgi güvenliginiz için tehdit olusturuyorlar. Bu görünmez tehlikeyi birlikte daha yakından inceleyelim.
Bilgi güvenligi kavramı, bilisim dünyasında soyut bir kavram olarak görülüyor. Kisisel veri güvenliginde yasanan problemlerden dogan negatif sonuçların birikimi sonucu bu kavram, gün geçtikte somutlasma yolunda ilerliyor.
İnsanoglu, en iyi dersleri, bir olay basından geçtigi zaman ögreniyor.Bu yüzdendir ki güvenlik artık herkesin uygulaması gereken temel unsurların basında geliyor.Sistemimizi ne kadar iyi korusak bile bazen öyle durumlar ile karsılasıyoruz ki tüm çabalarımız bosa gidiyor ve görünmez misafirler sistemimizi ele geçiriyor.Bu görünmez misafirler de güvenlik dünyasında “Rootkit” adı altında bilgi güvenligini tehdit eden en tehlikeli uygulamaların basında geliyor.
Rootkitler, sistemlerde çekirdek (kernel), kütüphane (library) ve uygulama (application) seviyelerinde çalısabilen ve gizliliginden ötürü varlıgından zor haberdar olunan araçlar olarak biliniyor. Rootkitler, isletim sistemi ayırtetmeksizin hem Windows hem de Unix tabanlı isletim sistemlerinde kolayca aktif duruma geçebiliyor. Root (en üst düzey yetki) ve kit (araç) sözcüklerinin birlesiminden rootkit adını almaktadır. İlk çıktıgı yıllarda tespit edilmesi imkânsız olan bu araçlar, son yıllarda gelisen güvenlik teknolojileriyle birlikte tespit edilebilir hâle geldiler.
Kimler Kullanıyor ?
Hackerlerin vazgeçilmezleri arasında yer alan rootkitler, erisim yaptıkları sistemlerde sistem yöneticisine fark edilmeden, hacker tarafından verilen görevleri kusursuzca yerine getirir.Tespit edilebilirligi de zor olmasından dolayı eristikleri sistemlerde uzun süre aktif kalırlar.Sistem kaynaklarını sonuna kadar sömürürler ve diger zararlı yazılımların sisteme erisim saglaması için alt yapı olustururlar.
Sony firması tarafından 1995 yılında piyasaya sürülen ve kopya korumasını engellemek amacıyla çıkardıkları öne sürülen rootkit ile milyonlarca kisinin bilgisayarı rootkit tehlikesiyle tanıstı. Bir süre sonra bu cdler Sony firması tarafından toplatıldı.
Sistemlere izinsiz giris yapan kisiler erisimi gerçeklestirdigi bilgisayarlarda izlerini bırakmamak için rootkitlerden yararlanıyorlar. Log adı altında izlerinin takip edildigi dosyalara erisim saglayıp devre dısı bırakıyorlar. Böylece sistem yöneticisi tarafından tespit edilmeleri güçlesiyor ve istedikleri bilgilere kolayca erisebiliyorlar. Yerine getirdikleri görevlere bakıldıgında Truva atlarına benziyorlar . Ancak gizlilikleri konusunda bir Truva atından daha fazla gizlilik içeriyorlar. Sistemlerde olusturabildikleri backdoor (arka kapı) vasıtasıyla da birçok uygulamanın çalısabilmesi için uygun alt yapı olusturabilirler.

Rootkit istilasını baslatan CD.
Görünmez misafirlere yakın plan
Rootkitler çalısma prensiplerine göre farklı alt bölümlere ayrılmıslardır. Sistemlerin her noktasına erisim saglayabilecek uygun ve yeterli isleyis sistemlerine sahiptirler. Bazı çalısma sekillerini daha yakından inceleyelim.
Çekirdek seviyesi (kernel level):
En tehlikeli ve sisteme yerlestirdikten sonra tespit edilmesi en zor rootkit türüdür. Kendisini isletim sisteminin çekirdegine yerlestirir. Bu islem genelde çalısmakta olan ve çekirdek ile baglantılı olan dosyalara eklenen kodlar ile gerçeklesir.
Kütüphane seviyesi (library level):
Kayıt defteri (Regedit) gibi sistem kayıtlarının islendigi noktalara kendisini ekleyerek aktif konuma geçebilirler. Günümüzde bazı ünlü Truva atları da bu yapılanmaya sahiptir.
Uygulama seviyesi (Application level):
Uygulama (*.exe) olarak çalısan dosyalara kendisini ekleme yaparak ya da degisiklik yaparak sisteme bulasmaya çalısırlar.
Bu çalısma sekillerinin dısında virtualized, firmware, memory based seviyelerinde de çalısabilirler. Donanım parçalarına müdahale edebilirler, olusturacakları sanal sistemler üzerinden giris yaptırarak gizlenme görevlerini basarıyla yerine getirirler.
Manuel olarak tespit edilmeleri oldukça zordur. Eger olusturdugunuz dosyalarınızın md5 checksum degerleri mevcutsa süphelendiginiz dosyalarınız da bu degerleri karsılastırarak sonradan bir eklenme olup olmadıgı kontrol edilebilir. Böylece degisen md5 degerleri, size dosyanızın degisip degismedi hakkında bilgi verir.
Nasıl Bulasırlar ?
Web siteleri üzerinden ve programlar vasıtasıyla virüs, keyloggeri ve trojan gibi diger zararı yazılımların bulasma sekilleriyle aynı biçimde bulasırlar.Yapıları itibariyle farklı olduklarından dolayı ,anti-virüs programları tarafından tespit edilmeleri zordur.
Son günlerde Vista kullanıcılarını bir MBR (Master Boot Record) rootkit’i tehdit ediyor. Kötü niyetli kisiler bu rootkit’i kullanıp sisteminize erisim saglıyorlar ve sisteminizi tüm saldırılara açık hâle getiriyorlar.
Sistem yöneticisi tarafından fark edilmeden kurulan rootkitler, yalnızca Windows platformlarında degil, Unix tabanlı isletim sistemlerinin de bas belası haline geldi. Web hosting hizmeti saglayan firmalardaki sistem yöneticilerinin sıkıntı yasadıgı en önemli noktalardan biridir.Sunucudaki güvenlik açıklarından yararlanan kötü niyetli kisiler, bir backdoor (arka kapı) vasıtasıyla sisteme çekip çalıstırdıkları rootkitler ile yaptıgı islemleri gizleyebilirler.Böylece o sunucu üzerindeki tüm web sitelerinin güvenligini tehdit altına alınmıs olur.
Paronayak olun !
Paronayak olmak bazen dogabilecek büyük problemlerin önüne geçiyor. Böyle durumlarda Intel firmasının kurucusu Andy Grove’un su meshur sözü aklıma geliyor; “Sadece Paronayaklar hayatta Kalır”. Tüm ihtimalleri düsünmek ve gelebilecek saldırı önceden sezmek olaganüstü bir yetenek degildir. Gelisen güvenlik teknolojileriyle artık rootkitler’den korunmak sizin elinizdedir. Hem Windows hem de Unix isletim sistemleri için hazırlanmıs anti-rootkit araçlarıyla güvenliginizi arttırabilirsiniz. Paronayak olmanıza gerek kalmadan basitçe kullanabileceginiz bu uygulamaları birlikte yakından inceleyelim.
Sisteminizi kurarken güvenirliliginden emin oldugunuz dosyalardan kurulum yapmaya özen gösterinizi. Bir web sitesinde buldugunu dosyaları sisteminize kurmayınız. Açık kaynak kodlu projelere kolayca entegre edilebilen bu zararlı araçlar kısa sürede birçok kisiyi magdur konuma düsürüyor. Linux isletim sisteminizde güncelleme paketlerini resmi web siteleri dısından gerçeklestirmeyiniz. Windows isletim sistemi kullanıyorsanız son güncellemeleri mutlaka yapınız aksi hâlde rootkit saldırıları sisteminizde kolayca etkili hâle gelebilir. Firewall gibi yazılımları kolayca egale edebilen bu zararlı araçlar için bazı anti-rootkit araçları gelistirildi bu yazılımları kısa sürede edinin ve sisteminizi güncel taramalardan geçirin.
Yetkileri sınırlandırılmıs hesaplar ile sisteminizi kullanmayı özen göstermek, üst düzey yönetici haklarına sahip olmayı amaçlayan rootkitleri pasif konumda tutarlar. Kullanıcı adınızın ve sifrenizin kolay tahmin edilemez olması da bu zararlı yazılımları bir nebze de olsa görevlerini yerine getirmelerini engelleyebilir. Sistemlerde sniffing görevi de üstlenebilen bu yazılımlardan korunmak için manuel yolların dısında yazılımsal çözümler de bulunuyor.
Sizler için inceledigimiz ve önerebilecegimiz bazı rootkit temizleme ve korunma araçlarını sizler de incelemelisiniz.
Sophos Anti-Rootkit

Basit ara yüzü ile kolayca tarama yapıp görünmez tehlikelere karsı önlemler alabilirsiniz.
Gmer Anti-Rootkit

Gmer ile sisteminizin derinliklerine yerlesmis rootkitleri bile bulabilirsiniz.
Microsoft® Windows® Malicious Software Removal Tool

Microsoft’un ücretsiz aracıyla kolayca tarama yapabilirsiniz.
Unix tabanlı isletim sistemlerinde “ChkRootkit” adındaki anti-rootkit aracıyla tarama yapabilirsiniz. ChkRootkit aracı degistirilme olasılıgı olan dosyaları tarama yaparak kolayca tespit edebilir. Tarama yaptıgı bazı dosyalar sunlardır.
aliens, aspi, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.
Buna alternatif olarak “rootkit hunter” aracıyla da tarama islemini gerçeklestirebilirsiniz. Kurulum islemi için Linux konsolunda su yolu izleyebilirsiniz.
#tar -z vf rkhunter.tar.gz //rootkit hunter dosyamızı açıyoruz
#sh installer.sh //kurulum islemini baslatıyoruz.
#rkhunter –c // tarama islemini baslatın.
Unix tabanlı sistemlerde genelde netstat,ps,df,find,ls gibi dosyalara rootkitler kolayca müdahale edebiliyorlar.
ProcessGuard

ProcessGuard ile rootkitlerden korunabilirsiniz.
Anti-Rootkit araçlarını asagıdaki adreslerden indirebilirsiniz.
Microsoft Malicious Software Removal Tool
Sophos Anti-Rootkit
AVG Anti-Rootkit
Rootkit Buster
Rootkit Revealer
Gmer
Son Sözler
Görünmez misafirlere geçit vermemek için önceden de sıkça dile getirdigimiz güvenlik çözümleri, rootkit saldırıları için de geçerlidir. Sisteminizde güncel bir anti-virüs,anti-spyware ve firewall yazılımları dısında artık anti-rootkit araçlarını da bulundurmalısınız.Güvenligin gün geçtikte sistemlerin derinliklerine inen kötücül yazılımları tespit etme konusunda yaptıgı bir çok çalısma olsa da kisisel bilgi güvenliginiz için her zaman kuskucu olmakta yarar vardır.Görünmez misafirleri görünür kılmak sizin elinizdedir.
ALINTIDIR
Bilgi güvenligi kavramı, bilisim dünyasında soyut bir kavram olarak görülüyor. Kisisel veri güvenliginde yasanan problemlerden dogan negatif sonuçların birikimi sonucu bu kavram, gün geçtikte somutlasma yolunda ilerliyor.
İnsanoglu, en iyi dersleri, bir olay basından geçtigi zaman ögreniyor.Bu yüzdendir ki güvenlik artık herkesin uygulaması gereken temel unsurların basında geliyor.Sistemimizi ne kadar iyi korusak bile bazen öyle durumlar ile karsılasıyoruz ki tüm çabalarımız bosa gidiyor ve görünmez misafirler sistemimizi ele geçiriyor.Bu görünmez misafirler de güvenlik dünyasında “Rootkit” adı altında bilgi güvenligini tehdit eden en tehlikeli uygulamaların basında geliyor.
Rootkitler, sistemlerde çekirdek (kernel), kütüphane (library) ve uygulama (application) seviyelerinde çalısabilen ve gizliliginden ötürü varlıgından zor haberdar olunan araçlar olarak biliniyor. Rootkitler, isletim sistemi ayırtetmeksizin hem Windows hem de Unix tabanlı isletim sistemlerinde kolayca aktif duruma geçebiliyor. Root (en üst düzey yetki) ve kit (araç) sözcüklerinin birlesiminden rootkit adını almaktadır. İlk çıktıgı yıllarda tespit edilmesi imkânsız olan bu araçlar, son yıllarda gelisen güvenlik teknolojileriyle birlikte tespit edilebilir hâle geldiler.
Kimler Kullanıyor ?
Hackerlerin vazgeçilmezleri arasında yer alan rootkitler, erisim yaptıkları sistemlerde sistem yöneticisine fark edilmeden, hacker tarafından verilen görevleri kusursuzca yerine getirir.Tespit edilebilirligi de zor olmasından dolayı eristikleri sistemlerde uzun süre aktif kalırlar.Sistem kaynaklarını sonuna kadar sömürürler ve diger zararlı yazılımların sisteme erisim saglaması için alt yapı olustururlar.
Sony firması tarafından 1995 yılında piyasaya sürülen ve kopya korumasını engellemek amacıyla çıkardıkları öne sürülen rootkit ile milyonlarca kisinin bilgisayarı rootkit tehlikesiyle tanıstı. Bir süre sonra bu cdler Sony firması tarafından toplatıldı.
Sistemlere izinsiz giris yapan kisiler erisimi gerçeklestirdigi bilgisayarlarda izlerini bırakmamak için rootkitlerden yararlanıyorlar. Log adı altında izlerinin takip edildigi dosyalara erisim saglayıp devre dısı bırakıyorlar. Böylece sistem yöneticisi tarafından tespit edilmeleri güçlesiyor ve istedikleri bilgilere kolayca erisebiliyorlar. Yerine getirdikleri görevlere bakıldıgında Truva atlarına benziyorlar . Ancak gizlilikleri konusunda bir Truva atından daha fazla gizlilik içeriyorlar. Sistemlerde olusturabildikleri backdoor (arka kapı) vasıtasıyla da birçok uygulamanın çalısabilmesi için uygun alt yapı olusturabilirler.

Rootkit istilasını baslatan CD.
Görünmez misafirlere yakın plan
Rootkitler çalısma prensiplerine göre farklı alt bölümlere ayrılmıslardır. Sistemlerin her noktasına erisim saglayabilecek uygun ve yeterli isleyis sistemlerine sahiptirler. Bazı çalısma sekillerini daha yakından inceleyelim.
Çekirdek seviyesi (kernel level):
En tehlikeli ve sisteme yerlestirdikten sonra tespit edilmesi en zor rootkit türüdür. Kendisini isletim sisteminin çekirdegine yerlestirir. Bu islem genelde çalısmakta olan ve çekirdek ile baglantılı olan dosyalara eklenen kodlar ile gerçeklesir.
Kütüphane seviyesi (library level):
Kayıt defteri (Regedit) gibi sistem kayıtlarının islendigi noktalara kendisini ekleyerek aktif konuma geçebilirler. Günümüzde bazı ünlü Truva atları da bu yapılanmaya sahiptir.
Uygulama seviyesi (Application level):
Uygulama (*.exe) olarak çalısan dosyalara kendisini ekleme yaparak ya da degisiklik yaparak sisteme bulasmaya çalısırlar.
Bu çalısma sekillerinin dısında virtualized, firmware, memory based seviyelerinde de çalısabilirler. Donanım parçalarına müdahale edebilirler, olusturacakları sanal sistemler üzerinden giris yaptırarak gizlenme görevlerini basarıyla yerine getirirler.
Manuel olarak tespit edilmeleri oldukça zordur. Eger olusturdugunuz dosyalarınızın md5 checksum degerleri mevcutsa süphelendiginiz dosyalarınız da bu degerleri karsılastırarak sonradan bir eklenme olup olmadıgı kontrol edilebilir. Böylece degisen md5 degerleri, size dosyanızın degisip degismedi hakkında bilgi verir.
Nasıl Bulasırlar ?
Web siteleri üzerinden ve programlar vasıtasıyla virüs, keyloggeri ve trojan gibi diger zararı yazılımların bulasma sekilleriyle aynı biçimde bulasırlar.Yapıları itibariyle farklı olduklarından dolayı ,anti-virüs programları tarafından tespit edilmeleri zordur.
Son günlerde Vista kullanıcılarını bir MBR (Master Boot Record) rootkit’i tehdit ediyor. Kötü niyetli kisiler bu rootkit’i kullanıp sisteminize erisim saglıyorlar ve sisteminizi tüm saldırılara açık hâle getiriyorlar.
Sistem yöneticisi tarafından fark edilmeden kurulan rootkitler, yalnızca Windows platformlarında degil, Unix tabanlı isletim sistemlerinin de bas belası haline geldi. Web hosting hizmeti saglayan firmalardaki sistem yöneticilerinin sıkıntı yasadıgı en önemli noktalardan biridir.Sunucudaki güvenlik açıklarından yararlanan kötü niyetli kisiler, bir backdoor (arka kapı) vasıtasıyla sisteme çekip çalıstırdıkları rootkitler ile yaptıgı islemleri gizleyebilirler.Böylece o sunucu üzerindeki tüm web sitelerinin güvenligini tehdit altına alınmıs olur.
Paronayak olun !
Paronayak olmak bazen dogabilecek büyük problemlerin önüne geçiyor. Böyle durumlarda Intel firmasının kurucusu Andy Grove’un su meshur sözü aklıma geliyor; “Sadece Paronayaklar hayatta Kalır”. Tüm ihtimalleri düsünmek ve gelebilecek saldırı önceden sezmek olaganüstü bir yetenek degildir. Gelisen güvenlik teknolojileriyle artık rootkitler’den korunmak sizin elinizdedir. Hem Windows hem de Unix isletim sistemleri için hazırlanmıs anti-rootkit araçlarıyla güvenliginizi arttırabilirsiniz. Paronayak olmanıza gerek kalmadan basitçe kullanabileceginiz bu uygulamaları birlikte yakından inceleyelim.
Sisteminizi kurarken güvenirliliginden emin oldugunuz dosyalardan kurulum yapmaya özen gösterinizi. Bir web sitesinde buldugunu dosyaları sisteminize kurmayınız. Açık kaynak kodlu projelere kolayca entegre edilebilen bu zararlı araçlar kısa sürede birçok kisiyi magdur konuma düsürüyor. Linux isletim sisteminizde güncelleme paketlerini resmi web siteleri dısından gerçeklestirmeyiniz. Windows isletim sistemi kullanıyorsanız son güncellemeleri mutlaka yapınız aksi hâlde rootkit saldırıları sisteminizde kolayca etkili hâle gelebilir. Firewall gibi yazılımları kolayca egale edebilen bu zararlı araçlar için bazı anti-rootkit araçları gelistirildi bu yazılımları kısa sürede edinin ve sisteminizi güncel taramalardan geçirin.
Yetkileri sınırlandırılmıs hesaplar ile sisteminizi kullanmayı özen göstermek, üst düzey yönetici haklarına sahip olmayı amaçlayan rootkitleri pasif konumda tutarlar. Kullanıcı adınızın ve sifrenizin kolay tahmin edilemez olması da bu zararlı yazılımları bir nebze de olsa görevlerini yerine getirmelerini engelleyebilir. Sistemlerde sniffing görevi de üstlenebilen bu yazılımlardan korunmak için manuel yolların dısında yazılımsal çözümler de bulunuyor.
Sizler için inceledigimiz ve önerebilecegimiz bazı rootkit temizleme ve korunma araçlarını sizler de incelemelisiniz.
Sophos Anti-Rootkit

Basit ara yüzü ile kolayca tarama yapıp görünmez tehlikelere karsı önlemler alabilirsiniz.
Gmer Anti-Rootkit

Gmer ile sisteminizin derinliklerine yerlesmis rootkitleri bile bulabilirsiniz.
Microsoft® Windows® Malicious Software Removal Tool

Microsoft’un ücretsiz aracıyla kolayca tarama yapabilirsiniz.
Unix tabanlı isletim sistemlerinde “ChkRootkit” adındaki anti-rootkit aracıyla tarama yapabilirsiniz. ChkRootkit aracı degistirilme olasılıgı olan dosyaları tarama yaparak kolayca tespit edebilir. Tarama yaptıgı bazı dosyalar sunlardır.
aliens, aspi, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, ldsopreload, login, ls, lsof, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, write.
Buna alternatif olarak “rootkit hunter” aracıyla da tarama islemini gerçeklestirebilirsiniz. Kurulum islemi için Linux konsolunda su yolu izleyebilirsiniz.
#tar -z vf rkhunter.tar.gz //rootkit hunter dosyamızı açıyoruz
#sh installer.sh //kurulum islemini baslatıyoruz.
#rkhunter –c // tarama islemini baslatın.
Unix tabanlı sistemlerde genelde netstat,ps,df,find,ls gibi dosyalara rootkitler kolayca müdahale edebiliyorlar.
ProcessGuard

ProcessGuard ile rootkitlerden korunabilirsiniz.
Anti-Rootkit araçlarını asagıdaki adreslerden indirebilirsiniz.
Microsoft Malicious Software Removal Tool
Kod: Tümünü seç
http://www.microsoft.com/security/malwareremove/default.mspxKod: Tümünü seç
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.htmlKod: Tümünü seç
http://www.grisoft.com/doc/download-free-anti-rootkit/us/crp/0Kod: Tümünü seç
http://www.trendmicro.com/download/rbuster.aspKod: Tümünü seç
http://www.microsoft.com/technet/sysinternals/Utilities/RootkitRevealer.mspxKod: Tümünü seç
http://www.gmer.net/index.phpGörünmez misafirlere geçit vermemek için önceden de sıkça dile getirdigimiz güvenlik çözümleri, rootkit saldırıları için de geçerlidir. Sisteminizde güncel bir anti-virüs,anti-spyware ve firewall yazılımları dısında artık anti-rootkit araçlarını da bulundurmalısınız.Güvenligin gün geçtikte sistemlerin derinliklerine inen kötücül yazılımları tespit etme konusunda yaptıgı bir çok çalısma olsa da kisisel bilgi güvenliginiz için her zaman kuskucu olmakta yarar vardır.Görünmez misafirleri görünür kılmak sizin elinizdedir.
ALINTIDIR
