Bugünlerde rootkit tespiti nasıl çalışıyor?

Muhtemelen büyük ölçüde tehdit olarak kabul edilen bilgisayar virüsleri, reklam yazılımları, casus yazılımlar ve diğer kötü amaçlı programları biliyorsunuzdur. Ancak, farklı bir kötü amaçlı yazılım türü veya sınıfı (rootkit'ler), bunların en tehlikelisi olabilir. 'Tehlikeli' ile kötü amaçlı programın neden olabileceği hasar düzeyini ve kullanıcıların onu bulup kaldırırken karşılaştıkları zorlukları kastediyoruz.



Rootkit nedir?

Kök kullanıcı takımları, yetkisiz kullanıcıların bilgisayarlara (veya bilgisayarlardaki belirli uygulamalara) erişimini sağlamak için tasarlanmış bir kötü amaçlı yazılım türüdür. Rootkit'ler, ayrıcalıklı erişimi korurken gizli (gözden uzak) kalacak şekilde programlanmıştır. Bir rootkit bir bilgisayarın içine girdikten sonra, varlığını kolayca maskeler ve kullanıcıların bunu fark etmesi olası değildir.

Bir rootkit bir PC'ye nasıl zarar verir?

Esasen, bir rootkit aracılığıyla siber suçlular bilgisayarınızı kontrol edebilir. Böylesine güçlü bir kötü amaçlı programla, bilgisayarınızı her şeyi yapmaya zorlayabilir. Parolalarınızı ve diğer hassas bilgilerinizi çalabilirler, bilgisayarınızda yürütülen tüm etkinlikleri veya işlemleri izleyebilir ve hatta güvenlik programınızı devre dışı bırakabilirler.



Rootkit'lerin güvenlik uygulamalarını ele geçirme veya durdurma konusundaki etkileyici yetenekleri göz önüne alındığında, bunları tespit etmek veya bunlarla yüzleşmek, hatta ortalama bir kötü amaçlı programdan bile daha zordur. Kök setleri, tespit edilmekten kaçarken ve önemli hasarlar verirken bilgisayarlarda uzun süre var olabilir veya çalışabilir.



Bazen, gelişmiş rootkit'ler işin içindeyken, kullanıcıların bilgisayarlarındaki her şeyi silmekten ve kötü amaçlı programlardan kurtulmak istiyorlarsa yeniden baştan başlamaktan başka seçeneği kalmaz.

Her kötü amaçlı yazılım bir rootkit midir?

Hayır. Bir şey varsa, kötü amaçlı yazılımların yalnızca küçük bir kısmı rootkit'tir. Diğer kötü amaçlı programlarla karşılaştırıldığında, rootkit'ler tasarım ve programlama açısından oldukça gelişmiştir. Rootkitler, ortalama bir kötü amaçlı yazılımdan çok daha fazlasını yapabilir.

Katı teknik tanımlara göre gidecek olursak, o zaman bir rootkit tam olarak bir kötü amaçlı program biçimi veya türü değildir. Kök kullanıcı takımları, kötü amaçlı yazılımları bir hedefe (genellikle belirli bir bilgisayar veya kişi veya kuruluş) dağıtmak için kullanılan sürece karşılık gelir. Anlaşılır bir şekilde, rootkit'ler siber saldırılar veya hack'lerle ilgili haberlerde oldukça sık yer aldığından, bu terim olumsuz bir anlam taşıyor.



Adil olmak gerekirse, rootkit'ler kötü amaçlı yazılımlara oldukça benzer şekilde çalışır. Mağdurların bilgisayarlarında kısıtlama olmaksızın çalışmayı severler; koruyucu hizmetlerin onları tanımasını veya bulmasını istemiyorlar; genellikle hedef bilgisayardan bir şeyler çalmaya çalışırlar. Sonuçta, rootkit'ler tehdittir. Bu nedenle, bloke edilmeleri (ilk etapta içeri girmelerini engellemek için) veya adreslenmeleri (içeri girmeyi çoktan bulmuşlarsa) yönlendirilmeleri gerekir.

Rootkit'ler neden kullanılıyor veya seçiliyor?

Saldırganlar birçok amaç için rootkit kullanırlar, ancak çoğu zaman onları kötü amaçlı yazılımlardaki gizlilik yeteneklerini geliştirmek veya genişletmek için kullanmaya çalışırlar. Artan gizlilik ile, kötü programlar ağdan veri sızdırmak veya kaldırmak için çalışırken, bir bilgisayara dağıtılan kötü amaçlı yükler daha uzun süre tespit edilemeyebilir.

Rootkit'ler, yetkisiz aktörlerin (bilgisayar korsanları ve hatta devlet görevlileri) sistemlere arka kapı erişimi elde etmeleri için uygun bir yol veya platform sağladıkları için oldukça kullanışlıdır. Kök kullanıcı takımları tipik olarak burada açıklanan amacı, bilgisayarları başka bir kişi için gizli oturum açma erişimi vermeye zorlamak için oturum açma mekanizmalarını alt üst ederek gerçekleştirir.



Rootkit'ler, saldırganın denetimi ele geçirmesine ve cihazı belirli görevleri gerçekleştirmek için bir araç olarak kullanmasına izin vermek için bir bilgisayarı tehlikeye atmak veya ezmek için de kullanılabilir. Örneğin, bilgisayar korsanları, rootkit'lere sahip cihazları hedefler ve bunları DDoS (Dağıtılmış Hizmet Reddi) saldırıları için bot olarak kullanır. Böyle bir senaryoda, DDoS'nin kaynağı tespit edilir ve izlenirse, gerçek bilgisayardan (saldırgan) değil, tehlikeye atılan bilgisayara (kurban) yol açacaktır.

Bu tür saldırılara katılan güvenliği aşılmış bilgisayarlar genellikle zombi bilgisayarlar olarak bilinir. DDoS saldırıları, saldırganların güvenliği ihlal edilmiş bilgisayarlarla yaptığı tek kötü şey değildir. Bazen bilgisayar korsanları, tıklama sahtekarlığı yapmak veya spam dağıtmak için kurbanlarının bilgisayarlarını kullanır.

İlginç bir şekilde, rootkitlerin yöneticiler veya normal kişiler tarafından iyi amaçlar için konuşlandırıldığı senaryolar vardır, ancak böyle örnekler hala oldukça nadirdir. Saldırıları tespit etmek veya tanımak için bir bal küpünde rootkit kullanan bazı BT ekipleri hakkında raporlar gördük. Bu şekilde, görevlerde başarılı olurlarsa, öykünme tekniklerini ve güvenlik uygulamalarını geliştirebilirler. Ayrıca hırsızlığa karşı koruma cihazlarını iyileştirmek için uygulayabilecekleri biraz bilgi edinebilirler.



Yine de, bir rootkit ile uğraşmak zorunda kalırsanız, muhtemelen rootkit size (veya çıkarlarınıza) karşı kullanılıyor olabilir. Bu nedenle, o sınıftaki kötü amaçlı programları nasıl tespit edeceğinizi ve kendinizi (veya bilgisayarınızı) bunlara karşı nasıl savunacağınızı öğrenmeniz önemlidir.

Rootkit türleri

Rootkit'lerin farklı biçimleri veya türleri vardır. Bunları, bulaşma modlarına ve bilgisayarlarda çalışma düzeylerine göre sınıflandırabiliriz. Bunlar en yaygın rootkit türleridir:

  1. Çekirdek modu rootkit:

Çekirdek modu rootkit'ler, işletim sistemi işlevselliğini veya kurulumunu değiştirmek için işletim sistemlerinin çekirdeğine kötü amaçlı yazılım eklemek için tasarlanmış kök kullanıcı takımlarıdır. 'Çekirdek' ile, işletim sisteminin donanım ve uygulamalar arasındaki işlemleri kontrol eden veya birbirine bağlayan merkezi kısmını kastediyoruz.

Saldırganlar, çekirdek modu rootkit'leri konuşlandırmayı zor buluyor çünkü bu tür rootkit'ler, kullanılan kodun başarısız olması durumunda sistemlerin çökmesine neden oluyor. Bununla birlikte, dağıtımda başarılı olmayı başarırlarsa, o zaman kök setleri inanılmaz zararlar verebilir çünkü çekirdekler tipik olarak bir sistem içindeki en yüksek ayrıcalık seviyelerine sahiptir. Başka bir deyişle, başarılı çekirdek modu rootkit'leri ile saldırganlar, kurbanlarının bilgisayarlarıyla kolay sürüşe sahip olurlar.

  1. Kullanıcı modu rootkit:

Bu sınıftaki rootkit'ler, sıradan veya normal programlar gibi davranarak çalıştırılanlardır. Uygulamaların çalıştığı aynı ortamda çalışma eğilimindedirler. Bu nedenle, bazı güvenlik uzmanları bunlardan uygulama rootkitleri olarak bahsederler.

Kullanıcı modu rootkitlerin dağıtımı nispeten daha kolaydır (çekirdek modu rootkitlere göre), ancak daha az yeteneklidirler. Çekirdek kök setlerine göre daha az hasar verirler. Güvenlik uygulamaları teorik olarak, kullanıcı modu rootkit'lerle uğraşmayı da daha kolay bulur (diğer formlar veya rootkit sınıflarıyla karşılaştırıldığında).

  1. Bootkit (önyükleme rootkit):

Önyükleme setleri, Ana Önyükleme Kaydına bulaşarak normal rootkitlerin yeteneklerini genişleten veya geliştiren rootkitlerdir. Sistem başlangıcı sırasında etkinleştirilen küçük programlar, Ana Önyükleme Kaydını oluşturur (bazen MBR olarak kısaltılır). Bir bootkit, temelde sisteme saldıran ve normal önyükleyiciyi saldırıya uğramış bir sürümle değiştirmeye çalışan bir programdır. Böyle bir rootkit, bir bilgisayarın işletim sistemi başlatılıp yerleşmeden önce bile etkinleştirilir.

Önyükleme setlerinin bulaşma modu göz önüne alındığında, saldırganlar, bir sistem açıldığında (savunma sıfırlamasından sonra bile) çalışacak şekilde yapılandırıldıkları için onları daha kalıcı saldırı biçimlerinde kullanabilir. Ayrıca, tehditlere karşı güvenlik uygulamaları veya BT ekipleri tarafından nadiren taranan bir konum olan sistem belleğinde etkin kalma eğilimindedirler.

  1. Bellek rootkit:

Bir bellek kök seti, bir bilgisayarın RAM'inde (geçici bellekle aynı şey olan Rasgele Erişim Belleğinin kısaltması) gizlenmek üzere tasarlanmış bir tür kök takımıdır. Bu rootkit'ler (bir kez belleğin içindeyken) arka planda zararlı işlemleri yürütmek için çalışırlar (kullanıcılar bunları bilmeden).

Neyse ki, bellek kök setleri kısa bir ömre sahip olma eğilimindedir. Bir oturum için yalnızca bilgisayarınızın RAM'inde yaşayabilirler. Bilgisayarınızı yeniden başlatırsanız, kaybolurlar - en azından teoride, olmalılar. Yine de bazı senaryolarda yeniden başlatma süreci yeterli değildir; kullanıcılar bellek kök setlerinden kurtulmak için bazı işler yapmak zorunda kalabilirler.

  1. Donanım veya ürün yazılımı rootkit:

Donanım veya üretici yazılımı rootkit'leri, adlarını bilgisayarlara yüklendikleri yerden alırlar.

Bu rootkitlerin, sistemlerdeki bellenime gömülü yazılımlardan yararlandığı bilinmektedir. Bellenim, belirli donanım (veya aygıt) için düşük düzeyde denetim veya talimatlar sağlayan özel program sınıfını ifade eder. Örneğin, dizüstü bilgisayarınızda üretici tarafından yüklenmiş bir ürün yazılımı (genellikle BIOS) vardır. Yönlendiricinizde de ürün yazılımı var.

Firmware rootkit'leri yönlendiriciler ve sürücüler gibi cihazlarda mevcut olabileceğinden, çok uzun süre gizli kalabilirler - çünkü bu donanım cihazları nadiren kod bütünlüğü açısından kontrol edilir veya incelenir (hatta kontrol edilseler bile). Bilgisayar korsanları yönlendiricinize veya sürücünüze bir rootkit bulaştırırsa, cihazdan akan verileri yakalayabilirler.

Rootkitlerden nasıl korunulur (kullanıcılar için ipuçları)

En iyi güvenlik programları bile hala rootkit'lere karşı mücadele etmektedir, bu nedenle rootkit'lerin bilgisayarınıza girmesini önlemek için ne gerekiyorsa yapmanız daha iyi olur. Güvende kalmak o kadar da zor değil.

En iyi güvenlik uygulamalarını sürdürürseniz, bilgisayarınızın bir rootkit tarafından enfekte olma şansı önemli ölçüde azalır. Bunlardan bazıları:

  1. Tüm güncellemeleri indirin ve yükleyin:

Hiçbir şey için güncellemeleri görmezden gelemezsiniz. Evet, uygulamalarda yapılan güncellemelerin can sıkıcı olabileceğini ve işletim sistemi yapınızdaki güncellemelerin rahatsız edici olabileceğini anlıyoruz, ancak bunlar olmadan yapamazsınız. Programlarınızı ve işletim sisteminizi güncel tutmak, saldırganların bilgisayarınıza rootkit enjekte etmek için yararlandığı güvenlik açıklarına veya güvenlik açıklarına yönelik yamalar almanızı sağlar. Delikler ve güvenlik açıkları kapanırsa, bilgisayarınız bunun için daha iyi olacaktır.

  1. Kimlik avı e-postalarına dikkat edin:

Kimlik avı e-postaları genellikle kişisel bilgilerinizi veya hassas bilgilerinizi (örneğin, oturum açma bilgileri veya parolalar) sağlamanız için sizi kandırmak isteyen dolandırıcılar tarafından gönderilir. Bununla birlikte, bazı kimlik avı e-postaları, kullanıcıları bazı yazılımları (genellikle kötü niyetli veya zararlı olan) indirmeye ve yüklemeye teşvik eder.

Bu tür e-postalar, yasal bir gönderenden veya güvendiğiniz bir kişiden gelmiş gibi görünebilir, bu nedenle bunlara dikkat etmelisiniz. Onlara cevap verme. İçlerindeki hiçbir şeye (bağlantılar, ekler vb.) Tıklamayın.

  1. Arabayla yapılan indirmelere ve istenmeyen kurulumlara dikkat edin:

Burada, bilgisayarınıza indirilen şeylere dikkat etmenizi istiyoruz. Kötü amaçlı dosyalar veya kötü amaçlı programlar yükleyen kötü uygulamalar almak istemezsiniz. Bazı yasal uygulamalar diğer programlarla birlikte paketlendiğinden (kötü niyetli olabilir) yüklediğiniz uygulamalara da dikkat etmeniz gerekir.

İdeal olarak, programların yalnızca resmi sürümlerini resmi sayfalardan veya indirme merkezlerinden edinmeli, kurulumlar sırasında doğru seçimleri yapmalı ve tüm uygulamalar için kurulum işlemlerine dikkat etmelisiniz.

  1. Koruyucu bir yardımcı program kurun:

Bir rootkit bilgisayarınızın içine girecekse, bu durumda girişi büyük olasılıkla bilgisayarınızdaki başka bir kötü amaçlı programın varlığına veya varlığına bağlanacaktır. Şanslar, iyi bir antivirüs veya antimalware uygulamasının, bir rootkit tanıtılmadan veya etkinleştirilmeden önce orijinal tehdidi algılamasıdır.

Anti-Malware alabilirsiniz. Önerilen uygulamaya biraz güvenmeniz iyi olacaktır çünkü iyi güvenlik programları her türlü tehdide karşı en iyi savunmanızı oluşturmaya devam eder.

Rootkit'ler nasıl tespit edilir (ve kuruluşlar ve BT yöneticileri için bazı ipuçları)

Rootkit'leri algılayıp kaldırabilen birkaç yardımcı program vardır. Yetkili güvenlik uygulamaları bile (bu tür kötü amaçlı programlarla uğraştığı bilinmektedir) bazen işi düzgün bir şekilde yapmakta zorlanır veya başarısız olur. Kötü amaçlı yazılım var olduğunda ve çekirdek düzeyinde (çekirdek modu kök kullanıcı takımları) çalıştığında, kök kullanıcı takımı kaldırma hataları daha yaygındır.

Bazen, işletim sisteminin bir makineye yeniden yüklenmesi, bir rootkit'ten kurtulmak için yapılabilecek tek şeydir. Firmware rootkit'leri ile uğraşıyorsanız, etkilenen cihazın içindeki bazı donanım parçalarını değiştirmeniz veya özel ekipman almanız gerekebilir.

En iyi rootkit algılama süreçlerinden biri, kullanıcıların rootkit'ler için üst düzey taramalar yapmasını gerektirir. 'Üst düzey tarama' ile, etkilenen makine kapalıyken ayrı bir temiz sistem tarafından çalıştırılan bir taramayı kastediyoruz. Teoride, böyle bir tarama, saldırganların bıraktığı imzaları kontrol etmek için yeterli olmalı ve ağdaki bazı faul oyunlarını tanımlayabilmeli veya tanıyabilmelidir.

Ayrıca rootkit'leri tespit etmek için bir bellek dökümü analizi de kullanabilirsiniz, özellikle çalışmak için sistem belleğine kilitlenen bir önyükleme setinin işin içinde olduğundan şüpheleniyorsanız. Normal bir bilgisayarın ağında bir rootkit varsa, bellek kullanımını içeren komutları yürütüyorsa büyük olasılıkla gizlenmeyecektir ve Yönetilen Hizmet Sağlayıcısı (MSP) kötü amaçlı programın gönderdiği talimatları görüntüleyebilecektir. .

Davranış analizi, bazen kök setlerini tespit etmek veya izlemek için kullanılan başka bir güvenilir prosedür veya yöntemdir. Burada, sistem belleğini kontrol ederek veya saldırı imzalarını gözlemleyerek bir rootkit'i doğrudan kontrol etmek yerine, bilgisayardaki rootkit belirtilerini aramanız gerekir. Yavaş çalışma hızları (normalden önemli ölçüde yavaş), garip ağ trafiği (orada olmamalıdır) ve diğer yaygın sapkın davranış kalıpları gibi şeyler kök setlerini ortadan kaldırmalıdır.

Yönetici Servis Sağlayıcıları, bir rootkit bulaşmasının etkilerini ortadan kaldırmak veya azaltmak için müşterilerinin sistemlerinde özel bir strateji olarak en az ayrıcalıklar ilkesini (PoLP) kullanabilirler. PoLP kullanıldığında, sistemler bir ağdaki her modülü kısıtlayacak şekilde yapılandırılır; bu, bireysel modüllerin yalnızca çalışmaları için ihtiyaç duydukları bilgi ve kaynaklara erişim sağladığı anlamına gelir (belirli amaçlar).

Önerilen kurulum, bir ağın kolları arasında daha sıkı güvenlik sağlar. Ayrıca, kötü niyetli yazılımların yetkisiz kullanıcılar tarafından ağ çekirdeklerine yüklenmesini engellemek için yeterlidir, bu da rootkit'lerin içeri girmesini ve soruna neden olmasını önlediği anlamına gelir.

Neyse ki, ortalama olarak, rootkit'ler düşüştedir (son yıllarda çoğalan diğer kötü amaçlı programların hacmi ile karşılaştırıldığında), çünkü geliştiriciler işletim sistemlerindeki güvenliği sürekli olarak iyileştirmektedir. Uç nokta savunmaları güçleniyor ve daha fazla sayıda CPU (veya işlemci) yerleşik çekirdek koruma modlarını kullanmak için tasarlanıyor. Bununla birlikte, şu anda, rootkit'ler hala mevcuttur ve bulundukları her yerde tanımlanmalı, sonlandırılmalı ve kaldırılmalıdır.