Rootkit algılama günümüzde nasıl çalışıyor?

Çoğunlukla tehdit olarak kabul edilen bilgisayar virüsleri, reklam yazılımları, casus yazılımlar ve diğer kötü amaçlı programlara muhtemelen aşinasınızdır. Ancak, farklı bir kötü amaçlı yazılım türü veya sınıfı (rootkit'ler) bunların en tehlikelisi olabilir. "Tehlikeli" ile, kötü niyetli programın neden olabileceği hasar düzeyini ve kullanıcıların onu bulma ve kaldırmada karşılaştıkları zorluğu kastediyoruz.

Rootkit'ler nedir?

Rootkit'ler, yetkisiz kullanıcıların bilgisayarlara (veya bilgisayarlardaki belirli uygulamalara) erişmesine izin vermek için tasarlanmış bir tür kötü amaçlı yazılımdır. Rootkit'ler, ayrıcalıklı erişimi korurken gizli (görünmez) kalacak şekilde programlanmıştır. Bir rootkit bilgisayarın içine girdikten sonra varlığını kolayca maskeler ve kullanıcıların bunu fark etmesi pek olası değildir.

Bir rootkit bilgisayara nasıl zarar verir?

Esasen, bir rootkit aracılığıyla siber suçlular bilgisayarınızı kontrol edebilir. Böylesine güçlü bir kötü amaçlı programla, bilgisayarınızı her şeyi yapmaya zorlayabilirler. Parolalarınızı ve diğer hassas bilgilerinizi çalabilir, bilgisayarınızda yürütülen tüm etkinlikleri veya işlemleri izleyebilir ve hatta güvenlik programınızı devre dışı bırakabilirler.

Rootkit'lerin güvenlik uygulamalarını ele geçirme veya devre dışı bırakma konusundaki etkileyici yetenekleri göz önüne alındığında, ortalama kötü amaçlı programdan bile daha fazla tespit edilmeleri veya bunlarla karşı karşıya kalmaları oldukça zordur. Rootkit'ler, tespit edilmekten kaçınırken ve önemli hasarlar verirken bilgisayarlarda uzun süre var olabilir veya çalışabilir.

Bazen, gelişmiş rootkit'ler devreye girdiğinde, kullanıcıların bilgisayarlarındaki her şeyi silip, kötü niyetli programlardan kurtulmak istiyorlarsa, her şeye yeniden başlamaktan başka seçeneği kalmaz.

Her kötü amaçlı yazılım bir rootkit midir?

Hayır. Kötü amaçlı yazılımların yalnızca küçük bir kısmı rootkit'tir. Diğer kötü amaçlı programlarla karşılaştırıldığında, rootkit'ler tasarım ve programlama açısından oldukça ileri düzeydedir. Rootkit'ler, ortalama kötü amaçlı yazılımdan çok daha fazlasını yapabilir.

Katı teknik tanımlarla gideceksek, o zaman bir rootkit tam olarak bir tür kötü amaçlı program değildir. Rootkit'ler, kötü amaçlı yazılımları bir hedefe (genellikle belirli bir bilgisayar veya kişi veya kuruluş) dağıtmak için kullanılan sürece karşılık gelir. Anlaşılır bir şekilde, rootkit'ler siber saldırılar veya hack'lerle ilgili haberlerde oldukça sık ortaya çıktığından, terim olumsuz bir çağrışım taşımaya başladı.

Adil olmak gerekirse, rootkit'ler kötü amaçlı yazılımlara oldukça benzer şekilde çalışır. Kurbanların bilgisayarlarında kısıtlama olmaksızın çalışmayı severler; koruyucu araçların onları tanımasını veya bulmasını istemiyorlar; genellikle hedef bilgisayardan bir şeyler çalmaya çalışırlar. Sonuç olarak, rootkit'ler birer tehdittir. Bu nedenle, engellenmeleri (ilk etapta gelmelerini engellemek için) veya adreslenmeleri (eğer içeri girme yolunu bulmuşlarsa) gerekir.

Kök setleri neden kullanılır veya seçilir?

Saldırganlar rootkit'leri birçok amaç için kullanır, ancak çoğu zaman bunları kötü amaçlı yazılımlardaki gizli yetenekleri geliştirmek veya genişletmek için kullanmaya çalışırlar. Artan gizlilik ile, kötü programlar bir ağdan veri sızdırmak veya kaldırmak için çalışırken, bir bilgisayara dağıtılan kötü amaçlı yükler daha uzun süre algılanmadan kalabilir.

Rootkit'ler, yetkisiz aktörlerin (bilgisayar korsanları ve hatta hükümet yetkilileri) sistemlere arka kapı erişimi elde etmesi için uygun bir yol veya platform sağladıkları için oldukça kullanışlıdır. Rootkit'ler tipik olarak burada açıklanan amaca, bilgisayarları başka bir kişi için gizli oturum açma erişimi vermeye zorlamak için oturum açma mekanizmalarını altüst ederek ulaşır.

Rootkit'ler ayrıca, saldırganın kontrolü ele geçirmesine ve belirli görevleri gerçekleştirmek için cihazı bir araç olarak kullanmasına izin vermek için bir bilgisayarın güvenliğini aşmak veya bunaltmak için de dağıtılabilir. Örneğin, bilgisayar korsanları rootkit'leri olan cihazları hedef alır ve bunları DDoS (Dağıtılmış Hizmet Reddi) saldırıları için bot olarak kullanır. Böyle bir senaryoda, DDoS'un kaynağı tespit edilir ve izlenirse, gerçek bilgisayardan sorumlu (saldırgan) yerine güvenliği ihlal edilmiş bilgisayara (kurban) yol açacaktır.

Bu tür saldırılara katılan güvenliği ihlal edilmiş bilgisayarlar genellikle zombi bilgisayarlar olarak bilinir. DDoS saldırıları, saldırganların güvenliği ihlal edilmiş bilgisayarlarla yaptığı tek kötü şey değildir. Bazen bilgisayar korsanları, tıklama sahtekarlığı yapmak veya spam dağıtmak için kurbanlarının bilgisayarlarını kullanır.

İlginç bir şekilde, rootkit'lerin yöneticiler veya normal kişiler tarafından iyi amaçlar için dağıtıldığı senaryolar vardır, ancak bunun örnekleri hala oldukça nadirdir. Saldırıları algılamak veya tanımak için bir bal küpünde kök kullanıcı takımları çalıştıran bazı BT ekipleri hakkında raporlar gördük. Bu şekilde, eğer görevlerde başarılı olurlarsa, öykünme tekniklerini ve güvenlik uygulamalarını geliştirebilirler. Ayrıca, hırsızlığa karşı koruma cihazlarını geliştirmek için uygulayabilecekleri bazı bilgiler de edinebilirler.

Yine de, bir rootkit ile uğraşmak zorunda kalırsanız, rootkit'in size (veya çıkarlarınıza) karşı kullanılıyor olma ihtimali vardır. Bu nedenle, o sınıftaki kötü amaçlı programları nasıl tespit edeceğinizi ve kendinizi (veya bilgisayarınızı) bunlara karşı nasıl savunacağınızı öğrenmeniz önemlidir.

Rootkit türleri

Kök setlerinin farklı biçimleri veya türleri vardır. Bunları, bulaşma biçimlerine ve bilgisayarlarda çalıştıkları düzeye göre sınıflandırabiliriz. Bunlar en yaygın rootkit türleridir:

1. Çekirdek modu rootkit:

Çekirdek modu rootkit'leri, işletim sistemi işlevselliğini veya kurulumunu değiştirmek için işletim sistemlerinin çekirdeğine kötü amaçlı yazılım eklemek için tasarlanmış rootkit'lerdir. "Çekirdek" ile, donanım ve uygulamalar arasındaki işlemleri kontrol eden veya birbirine bağlayan işletim sisteminin merkezi kısmını kastediyoruz.

Saldırganlar, kullanılan kod başarısız olursa, bu tür kök kullanıcı takımları sistemlerin çökmesine neden olma eğiliminde olduğundan, çekirdek modu kök kullanıcı takımlarını dağıtmayı zor bulur. Bununla birlikte, dağıtımda başarılı olmayı başarırlarsa, kök setleri inanılmaz hasar verebilir çünkü çekirdekler genellikle bir sistem içindeki en yüksek ayrıcalık seviyelerine sahiptir. Başka bir deyişle, başarılı çekirdek modu rootkit'leri ile saldırganlar kurbanlarının bilgisayarlarını kolayca kullanırlar.

2. Kullanıcı modu rootkit:

Bu sınıftaki rootkit'ler, sıradan veya normal programlar gibi davranarak çalıştırılanlardır. Uygulamaların çalıştığı ortamda çalışma eğilimindedirler. Bu nedenle bazı güvenlik uzmanları bunlara uygulama rootkit'leri adını verir.

Kullanıcı modu rootkit'lerinin dağıtılması nispeten daha kolaydır (çekirdek modu rootkitlerinden daha kolaydır), ancak daha az yeteneklidirler. Çekirdek kök setlerinden daha az zarar verirler. Güvenlik uygulamaları, teorik olarak, kullanıcı modu rootkit'leriyle (diğer rootkit türleri veya sınıflarıyla karşılaştırıldığında) başa çıkmayı daha kolay bulur.

3. Bootkit (önyükleme rootkit):

Önyükleme takımları, Ana Önyükleme Kaydı'na bulaşarak normal kök kullanıcı takımlarının yeteneklerini genişleten veya geliştiren kök kullanıcı takımlarıdır. Sistem başlatılırken etkinleştirilen küçük programlar, Ana Önyükleme Kaydı'nı (bazen MBR olarak kısaltılır) oluşturur. Bootkit, temel olarak sisteme saldıran ve normal önyükleyiciyi saldırıya uğramış bir sürümle değiştirmek için çalışan bir programdır. Böyle bir rootkit, bir bilgisayarın işletim sistemi başlatılmadan ve yerleşmeden önce bile etkinleştirilir.

Bootkit'lerin bulaşma modu göz önüne alındığında, saldırganlar, bir sistem açıldığında (savunma sıfırlamasından sonra bile) çalışacak şekilde yapılandırıldıkları için daha kalıcı saldırı biçimlerinde kullanabilirler. Ayrıca, güvenlik uygulamaları veya BT ekipleri tarafından tehditlere karşı nadiren taranan bir konum olan sistem belleğinde etkin kalma eğilimindedirler.

4. Bellek kök seti:

Bellek rootkit'i, bir bilgisayarın RAM'inde saklanmak üzere tasarlanmış bir rootkit türüdür (geçici bellekle aynı şey olan Random Access Memory'nin kısaltmasıdır). Bu rootkit'ler (bir kez hafızanın içinde) daha sonra arka planda (kullanıcıların bilgisi olmadan) zararlı işlemleri yürütmek için çalışırlar.

Neyse ki, bellek kök setleri kısa bir ömre sahip olma eğilimindedir. Yalnızca bir oturum için bilgisayarınızın RAM'inde yaşayabilirler. PC'nizi yeniden başlatırsanız, kaybolurlar - en azından teoride, öyle olmaları gerekir. Yine de bazı senaryolarda yeniden başlatma işlemi yeterli değildir; kullanıcılar, bellek kök setlerinden kurtulmak için bazı işler yapmak zorunda kalabilirler.

5. Donanım veya bellenim rootkit'i:

Donanım veya bellenim rootkit'leri, adlarını bilgisayarlara yüklendikleri yerden alır.

Bu rootkit'lerin, sistemlerdeki bellenime gömülü yazılımlardan yararlandığı bilinmektedir. Bellenim, belirli donanım (veya aygıt) için düşük düzeyde denetim veya yönergeler sağlayan özel program sınıfını ifade eder. Örneğin, dizüstü bilgisayarınızda üreticisi tarafından yüklenen bellenim (genellikle BIOS) vardır. Yönlendiricinizin de bellenimi vardır.

Firmware rootkit'leri, yönlendiriciler ve sürücüler gibi cihazlarda bulunabileceğinden, çok uzun süre gizli kalabilirler - çünkü bu donanım cihazları nadiren kod bütünlüğü açısından kontrol edilir veya denetlenir (hatta hiç kontrol edildilerse). Bilgisayar korsanları yönlendiricinize bulaşırsa veya bir rootkit ile sürerse, cihazdan akan verileri yakalayabilirler.

Rootkit'lerden nasıl korunursunuz (kullanıcılar için ipuçları)

En iyi güvenlik programları bile rootkit'lere karşı hala mücadele ediyor, bu nedenle rootkit'lerin bilgisayarınıza girmesini önlemek için ne gerekiyorsa yapmak daha iyidir. Güvende kalmak o kadar da zor değil.

En iyi güvenlik uygulamalarını sürdürürseniz, bilgisayarınıza bir rootkit tarafından bulaşma olasılığı önemli ölçüde azalır. Bunlardan bazıları:

1. Tüm güncellemeleri indirin ve yükleyin:

Hiçbir şey için güncellemeleri görmezden gelmeyi göze alamazsınız. Evet, uygulama güncellemelerinin can sıkıcı olabileceğini ve işletim sistemi derlemenizdeki güncellemelerin rahatsız edici olabileceğini anlıyoruz, ancak onlarsız yapamazsınız. Programlarınızı ve işletim sisteminizi güncel tutmak, saldırganların bilgisayarınıza kök setleri enjekte etmek için yararlandığı güvenlik açıklarına veya güvenlik açıklarına yönelik yamalar almanızı sağlar. Delikler ve güvenlik açıkları kapanırsa, PC'niz bunun için daha iyi olacaktır.

2. Kimlik avı e-postalarına dikkat edin:

Kimlik avı e-postaları genellikle, kişisel bilgilerinizi veya hassas ayrıntılarınızı (örneğin oturum açma ayrıntıları veya parolalar) sağlamanız için sizi kandırmak isteyen dolandırıcılar tarafından gönderilir. Bununla birlikte, bazı kimlik avı e-postaları, kullanıcıları (genellikle kötü amaçlı veya zararlı olan) bazı yazılımları indirip yüklemeye teşvik eder.

Bu tür e-postalar, meşru bir göndericiden veya güvenilir bir kişiden gelmiş gibi görünebilir, bu nedenle bunlara dikkat etmelisiniz. Onlara cevap vermeyin. İçlerindeki hiçbir şeye (bağlantılar, ekler vb.) tıklamayın.

3. Arabadan indirmelere ve istenmeyen kurulumlara dikkat edin:

Burada, bilgisayarınıza indirilen şeylere dikkat etmenizi istiyoruz. Kötü amaçlı programlar yükleyen kötü amaçlı dosyalar veya kötü uygulamalar almak istemezsiniz. Yüklediğiniz uygulamalara da dikkat etmelisiniz, çünkü bazı meşru uygulamalar diğer programlarla (kötü amaçlı olabilir) birlikte gelir.

İdeal olarak, programların sadece resmi sürümlerini resmi sayfalardan veya indirme merkezlerinden almalı, kurulumlar sırasında doğru seçimleri yapmalı ve tüm uygulamalar için kurulum süreçlerine dikkat etmelisiniz.

4. Koruyucu bir yardımcı program yükleyin:

Bir rootkit bilgisayarınızın içine girecekse, girişinin bilgisayarınızdaki başka bir kötü amaçlı programın varlığına veya varlığına bağlı olması muhtemeldir. İyi bir virüsten koruma veya kötü amaçlı yazılımdan koruma uygulamasının, bir kök kullanıcı takımı tanıtılmadan veya etkinleştirilmeden önce orijinal tehdidi algılama olasılığı vardır.

Auslogics Anti-Malware'i alabilirsiniz. Önerilen uygulamaya biraz güvenmeniz iyi olur çünkü iyi güvenlik programları her türlü tehdide karşı en iyi savunmanızı oluşturmaya devam eder.

Kök kullanıcı takımları nasıl tespit edilir (ve kuruluşlar ve BT yöneticileri için bazı ipuçları)

Rootkit'leri algılayabilen ve kaldırabilen birkaç yardımcı program vardır. Yetkili güvenlik uygulamaları bile (bu tür kötü amaçlı programlarla uğraştığı bilinen) bazen işi düzgün yapmakta zorlanıyor veya başarısız oluyor. Kötü amaçlı yazılım var olduğunda ve çekirdek düzeyinde çalıştığında (çekirdek modu kök kullanıcı takımları) rootkit kaldırma hataları daha yaygındır.

Bazen, bir kök kullanıcı setinden kurtulmak için yapılabilecek tek şey işletim sisteminin bir makineye yeniden yüklenmesidir. Firmware rootkit'leri ile uğraşıyorsanız, etkilenen cihazın içindeki bazı donanım parçalarını değiştirmeniz veya özel ekipman almanız gerekebilir.

En iyi rootkit algılama süreçlerinden biri, kullanıcıların rootkit'ler için üst düzey taramalar yürütmesini gerektirir. "Üst düzey tarama" ile, virüslü makine kapalıyken ayrı bir temiz sistem tarafından yürütülen bir taramayı kastediyoruz. Teorik olarak, böyle bir tarama, saldırganlar tarafından bırakılan imzaları kontrol etmek için yeterli olmalı ve ağdaki bazı kötü niyetli oyunları tanımlayabilmeli veya tanıyabilmelidir.

Kök setlerini algılamak için bir bellek dökümü analizi de kullanabilirsiniz, özellikle de çalışmak üzere sistem belleğine takılan bir önyükleme setinin söz konusu olduğundan şüpheleniyorsanız. Normal bir bilgisayarın ağında bir rootkit varsa, bellek kullanımını içeren komutları yürütüyorsa muhtemelen gizlenmeyecektir ve Yönetilen Servis Sağlayıcı (MSP), kötü amaçlı programın gönderdiği talimatları görüntüleyebilir. .

Davranış analizi, bazen rootkit'leri tespit etmek veya izlemek için kullanılan başka bir güvenilir prosedür veya yöntemdir. Burada, sistem belleğini kontrol ederek veya saldırı imzalarını gözlemleyerek doğrudan bir rootkit olup olmadığını kontrol etmek yerine, bilgisayarda rootkit semptomlarını aramalısınız. Yavaş çalışma hızları (normalden çok daha yavaş), tuhaf ağ trafiği (orada olmaması gerekir) ve diğer yaygın sapkın davranış kalıpları gibi şeyler rootkit'leri ele vermelidir.

Yönetici Hizmet Sağlayıcıları, bir rootkit bulaşmasının etkileriyle başa çıkmak veya etkilerini azaltmak için müşterilerinin sistemlerinde özel bir strateji olarak en az ayrıcalık (PoLP) ilkesini fiilen uygulayabilir. PoLP kullanıldığında, sistemler bir ağdaki her modülü kısıtlayacak şekilde yapılandırılır, bu da bireysel modüllerin yalnızca çalışmaları için ihtiyaç duydukları bilgi ve kaynaklara (belirli amaçlara) erişim kazandığı anlamına gelir.

Önerilen kurulum, bir ağın kolları arasında daha sıkı güvenlik sağlar. Ayrıca, yetkisiz kullanıcılar tarafından ağ çekirdeklerine kötü amaçlı yazılım yüklemesini engellemek için de yeterlidir; bu, rootkit'lerin içeri girip sorun yaratmasını önlediği anlamına gelir.

Neyse ki, geliştiriciler işletim sistemlerinde güvenliği sürekli olarak iyileştirdikleri için, rootkit'ler ortalama olarak düşüşte (geçen yıllarda çoğalan diğer kötü amaçlı programların hacmiyle karşılaştırıldığında). Uç nokta savunmaları güçleniyor ve yerleşik çekirdek koruma modlarını kullanmak için daha fazla sayıda CPU (veya işlemci) tasarlanıyor. Bununla birlikte, şu anda, rootkit'ler hala mevcuttur ve bulundukları yerde tanımlanmaları, sonlandırılmaları ve kaldırılmaları gerekir.