Çoğu zaman gündemde veri ihlalleri, ele geçirilen hesaplar gibi siber saldırılar ile karşı karşıya kalıyoruz. Bundan dolayı bu saldırılar, dikkat etmemiz gereken konulardan biri haline geliyor. Kişiler de bu durumda hangi yazılım türlerinin siber saldırı amacıyla yer aldığını merak etmektedir. Rootkit de zararlı yazılımlardan biridir. Peki Rootkit nedir?
Cihazın ve verilerin güvende olması çok önemlidir. Bunun için de kullanıcılar, cihazlarına antivirüs programı yüklemeyi tercih etmektedirler. Bunun yanında kişiler, bilmedikleri kaynaklardan herhangi bir yazılım ya da program indirmemeye özen gösteriyorlar. Ancak yine de bazı zararlı yazılımlar bu önlemleri etkisiz hale getirmektedir. Biz de bu yazımızda zararlı yazılım türlerinden biri olan Rootkit hakkında bilgi vereceğiz.
İçindekiler
Rootkit Nedir?
Bu sözcüğün açılımı ‘Kök kullanıcı takımı’ şeklindedir. Root sözcüğü, yerleştiği işletim sistemlerindeki yönetici hesabını ele almaktadır. Kit sözcüğü ise bu işlemi uygulayan yazılım bileşenini anlatmaktadır. Rootkit, bilgisayarın işletim sistemine sızan ve casusların bilgisayarı uzaktan kontrol eden zararlı bir yazılımdır. Bu yazılım türü çoğunlukla Windows, Linux ve Unix işletim sistemlerinde yer almaktadır.
Rootkit’ler çoğunlukla kötü amaçlı yazılımlardan koruyan antivirüs gibi yazılımları devre dışı bırakırlar. Bunun sonucunda da kötü amaçlı yazılımların fark edilmesini önlerler. Rootkit yazılımı, diğer bütün kötü amaçlı yazılımlar kadar tehlikelidir diyebiliriz. Çünkü bir virüs yazılımı, bilgisayara eriştikten sonra kendini çoğaltır ve sistemden yararlanır. Ancak bir Rootkit, sisteme eriştikten sonra uzaktaki kötü niyetli kişilerin bilgisayarınıza tamamen hükmetmesine sağlar.
Rootkit yazılımlarının neredeyse tamamı işletim sistemindeki çekirdekte gizlenirler. Bunun sonucunda da antivirüs programlarının onları fark etmesini önlerler. Sistem çekirdeğine gizlenen Rootkit, bazen kendisini değiştirerek bazen de sistem çekirdeğiyle irtibatta olarak varlığını kalıcılaştırır.
Rootkit gibi yazılım türleri, işletim sistemindeki yönetimi ele aldığı için birçok farklı açıdan cihaza zarar vermenin yollarını denemektedirler. Örneğin beraberinde getirdiği zararlı yazılımı sisteme aktarıp gizler ve büyük bir tehlike yaratır. Bunun yanı sıra Windows’taki programları kendi istediği şekilde çalıştırır. Ayrıca API’lerin kullanımı eline geçirmesine olanak sağlar. Tüm bunları ele aldığımızda Rootkit’in oldukça yüksek derecede tehlike içeren bir yazılım türü olduğunu söyleyebiliriz.
Rootkit Nasıl Çalışır?
Yazımızda Rootkit nedir sorusunun yanıtını verdikten sonra bu yazılımın nasıl çalıştığıyla ilgili de bilgi vermemiz gerekmektedir. Rootkit’ler kendi kendilerine yayılma gibi bir sisteme sahip değillerdir. Bu nedenle bilgisayarlara erişmek için farklı ve gizli yöntemler kullanmaktadırlar. Bu yazılımın cihazlarında var olmadığını düşünen kullanıcılar, Rootkit programların sistemlerine yüklenmesine izin verdiği an Rootkit’ler kendilerini sisteme yükler. Bilgisayar korsanları onları etkin hale getirene kadar da kendilerini gizlerler.
Rootkitleri; parola hırsızları, bankacılık kimlik bilgisi hırsızları, antivirüs devre dışı bırakıcılar, hizmet reddi saldırıları ve tuş kaydediciler gibi kötü amaçlı kişiler kullanmaktadır. Bunun yanında Rootkit’ler; kötü amaçlı dosyalar, e-posta kimlik avı kampanyaları, kötü amaçlı PDF dosyaları, güvenliği olmayan sürücüler, kötü niyetli Microsoft Word belgeleri ya da riskli internet sitelerinden içerik indirme sonucunda cihaza bulaşmaktadırlar.
Rootkit Türleri Nelerdir
Çalışmakta olan 3 tip Rootkit vardır diyebiliriz. Bunlar; kullanıcı modu, çekirdek modu ve donanıma müdahale eden Rootkit’ler şeklindedir. Bir başka deyişle Rootkit, işlevlerine ve yazıldıkları dillere göre kullanıcı modu ya da çekirdek modu olarak çalışmaktadır. İlk olarak temel olan çekirdek modu ve kullanıcı modu Rootkit türlerinden bahsedelim.
Çekirdek Modu Rootkit
Bu Rootkit türünün diğer adı ‘Kernel Mode Rootkit’ şeklindedir. Bu Rootkit türü, işletim sisteminin işlevini değiştirmek için tasarlanmıştır. Kernel mode bölümünde çalışan yazılımlar donanım ve hız odaklıdır. Bunun yanında kendisine özel sürücüler barındırır. Ayrıca sistem çekirdeğiyle olan iletişimi de daha yüksektir. İşletim sistemine kadar müdahale eden ve yüksek tehlike içeren katman kernel mode olarak geçmektedir.
Kernel mode bölümünde çalışan yazılımlar ise; antivirüs programları, hile önleyici yazılımlar ve WinDBg gibi hata ayıklayıcı yazılımlardır. Çekirdek modundaki rootkitler, işletim sistemindeki çekirdeğe kendine ait kodlar eklemeye ya da sistem çekirdeğine zarar verip kendi sistemini yerleştirmeye çalışmaktadır.
Kernel mode katmanındaki rootkitler sisteme erişirken sorun yaşarsa ya da işletim sistemindeki sistem dosyalarını koruyan bileşenler engel olursa bir hata mesajı alırsınız. Bu hata mesajı Windows’ta ‘Kernel_Security_Check_Failure’ şeklindeyken Linux’te ‘Kernel Panic!’ şeklindedir. Ancak her bu iki hata mesajı, cihazınızda rootkit yazılımının var olduğunu da göstermez.
Kullanıcı Modu Rootkit
Donanıma erişimi gerekmeyen ve kendisine özel sürücüsü olmayan rootkit türleri user mode, yani kullanıcı modu olarak çalışmaktadır. Yüksek düzeyde programlama diline sahip yazılımlar da sistem içinde user mode bölümünde çalışmaktadır. Bu yazılımlar, istedikleri işlevleri gerçekleştirmek için sistem API’lerinden yararlanmaktadırlar.
Kullanıcı modu rootkitler, sistem başlatma anında diğer programlar gibi başlatılmaktadırlar. User mode bölümünde çalışan yazılımlar; muhasebe, internet tarayıcısı ve temizleme yazılımları şeklindedir. Ayrıca düşük seviyede tehlike içeren katman, user mode katmanında yer almaktadır.
Bootkit/Bootloader Rootkit
Bu rootkit türü, hedef sistemine bağlı olan sabit sürücünün ya da başka bir depolama aygıtının Ana Önyükleme Kaydı’na (MBR) bulaşmaktadır. Rootkit, önyükleme işlemini bozup önyükleme sonrasında sistem üzerindeki kontrolünü korur. Bunun sonucunda tam disk şifrelemesi kullanan sistemlere saldırmak için müsait duruma gelir.
Firmware Rootkit
Bu rootkit türünün açılımı ‘Bellenim kök kullanıcı takımı’ şeklindedir. Bu rootkit türü, sistemin sabit yazılımına gömülü olan yazılımdan faydalanır. Firmware rootkit kendisini temel giriş/çıkış sistemleri, yönlendiriciler, ağ kartları, diğer çevre birimleri ya da aygıtlar tarafından kullanılan sabit yazılım görüntülerine yüklemektedir.
Memory Rootkit
Bellek kök kullanıcı takımı olarak da geçen Memory rootkit, kendisini kalıcı sistem depolama aygıtına kurar. Bundan dolayı sistemde uzun süre kalmaktadır. Memory rootkit kendisini bilgisayar belleğine ya da RAM’e yüklemektedir. Memory rootkit türü, sistem RAM’i temizlenene kadar çoğunlukla bilgisayar yeniden başlatıldıktan sonra kalmaktadır.
Virtualized Rootkit
Sanallaştırılmış kök kullanıcı takımı olarak geçen Virtualized rootkit, Hiper yönetici (HyperVisor) olarak çalışan kötü amaçlı yazılım türüdür. Hiper yönetici tarafından kontrol edilen sanal makineler, performans açısından bozulma yokmuş gibi ve normal şekilde çalışıyormuş gibi görünmektedir. Performans bozulması yokmuş gibi çalışmasından dolayı rootkit’in kötü niyetli hamleleri kolay bir şekilde tespit edilememektedir.
Rootkit Yazılımının Bulunduğunu Gösteren Etmenler Nelerdir?
Bir rootkit yazılımı sisteme bulaştığında kendisini gizlemek için elinden geleni yapmaktadır. Amacı ise erişim sağladığı işletim sistemine hükmetmek ve cihaza zarar vermektir. Rootkit yazılımını tespit etmeniz zor olsa da sisteminizin güvenliğinin ihlal edildiğini gösteren bazı etmenler vardır.
Kötü amaçlı yazılımlardan korumada ilk tercih olan Antimalware’in çalışmayı durdurması etmenlerden biridir. Programın çalışmayı durdurması, etkin bir rootkit bulaşmasının göstergesidir. Windows ayarlarının kendiliğinden değişmesi de bir diğer etmendir. Windows ayarlarınızda siz değiştirmediğiniz halde bir farklılık fark ederseniz cihazınıza rootkit yazılımının bulaştığını düşünmeniz gerekmektedir.
Kilit ekranınızın değişmesi, yok olan arka plan görselleri ya da cihazın görev çubuğunda sabitlenen öğelerin değişmesi de rootkik yazılımının varlığının göstergesidir. Durduk yere yavaşlayan cihaz, yüksek oranda CPU kullanımı ve tarayıcı yönlendirmeleri de rootkit yazılımının göstergeleri arasındadır.
Bunun yanı sıra cihaz kilitlenmeleri de rootkit yazılımının bulaştığına dair bir göstergedir. Kullanıcılar, cihazlarına erişim sağlayamadıklarında ya da cihaz, fare veya klavyeden gelen girişe yanıt vermediğinde rootkit yazılımının buna engel olduğunu tahmin etmeniz gerekecektir.
Rootkit Saldırılarının Örnekleri Nelerdir?
Rootkitin cihaza girmesini sağlayan hamleler, spam e-postaları açmak ve farkında olmadan kötü amaçlı yazılımları indirmektir. Rootkit yazılımını sisteme aktarmak isteyen saldırganlar, oturum açma bilgilerini yakalayan keylogger kullanmaktadır. Eğer rootkit yazılımı sisteme kurulursa, bilgisayar korsanları hassas kullanıcı bilgilerine erişim sağlar. Aynı zamanda işletim sistemini de ele geçirirler.
Rootkit, kelime işlem yazılımı ve elektronik tablo gibi çoğunlukla kullanılan uygulamalara kendilerini yüklemektedir. Saldırganlar virüslü uygulamaları her açtıklarında kullanıcı bilgilerine erişim sağlamak için uygulama rootkitlerini kullanmaktadır.
Merkezi bilgisayarların sahip olduğu güvenlik önlemlerinden eksik kalan IoT cihazları, önemli derecede güvenlik tehditlerine maruz kalmaktadırlar. Saldırganlar girişin uç bölümlerine rootkit ekleyerek güvenlik açıklarını tespit edip kullanmaktadırlar. Bu durum da rootkitin ağa yayılmasına, bilgisayarları ele geçirmesine ve onları dışarıdan kontrol edip zombi bilgisayar haline getirmesine olanak sağlamaktadır.
Sisteme giren rootkit, Kernel mode rootkitin işletim sistemine saldıracaktır. Bu saldırı, işletim sisteminin işlevini yitirtir, sistem performansının yavaşlatır ve dosyalara erişip siler. Kernel mode rootkit çoğunlukla spam dosya açımında ve güvenilir olmayan kaynaktan dosya indirme durumunda devreye girmektedir.
Rootkit Saldırısının Sonuçları Nelerdir?
Cihaza ve cihazın işletim sistemine yüksek oranda zarar veren ve yönetici konumuna geçen bu yazılım türünün bazı sonuçları vardır. Rootkit, cihaza kötü amaçlı yazılımların bulaşmasına neden olmaktadır. Bir rootkit, cihazın ya da sistemin performansını ve bilgilerin gizliliğini tehlikeye atmaktadır. Rootkit; virüsler, Truva atı yazılımı, solucanlar, reklam yazılımları, fidye yazılımları, casus yazılımlar ve diğer zararlı yazılımları bilgisayara, ağa ya da sisteme yüklemektedir.
Rootkit kendisini bir ağa ya da sisteme kurmaktadır. Bu kurma işlemi oturum açma, işletim sistemi yazılımı ya da güvenlik açığı sırasında olmaktadır. Sisteme ya da ağa sızan rootkit; dosyaları çalar, siler ve yazılımı otomatik olarak çalıştırma yetkisine sahip olur.
Rootkitler, çoğunlukla kullanıcı izni olmaksızın tuş vuruşlarını yakalayan klavye dinleme sistemini (Keylogger) kullanmaktadırlar. Bunun yanında kişiler e-postalarında oturum açtığı zaman Rootkit yüklemesini sağlayan, istenmeyen e-postalar göndermektedir. Bunun sonucunda rootkit, siber suçluların görmesini sağlayacak şekilde kredi kartı numaraları ya da çevrimiçi bankacılık verileri gibi kişisel bilgileri çalmaktadır.
Rootkitlerin amacı ağa, sisteme ya da bilgisayara girip verilerden para elde etme ve bilgileri yetkisiz kaynağa iletmedir. Bu amaçlar doğrultusunda rootkit, hassas ya da özel bilgilere erişim sağlayan kötü amaçlı yazılımlar yüklemektedir. Ekran kazıyıcılar, tuş kaydediciler, reklam yazılımları, casus yazılımlar, arka kapı ve botlar rootkitin hassas verilere ulaşmak için kullandığı yöntemlerdir.
Rootkit, cihazda istediği alana ulaştıktan sonra sistem yapılandırmasını değiştirmektedir. Bu yapılandırmayı yaparken de güvenlik yazılımının tespit etmesini zorlaştıran gizli mod oluşturur. Ayrıca rootkit, sistem yeniden başladığında dahi sistemi kapatmayı zorlaştıran ya da imkansız hale getiren kalıcı hasarlar yaratır. Bir rootkit, cihaza sürekli erişim halindedir ve erişimi kolaylaştırmak amacıyla güvenlik yetkilendirme ayarlarında değişiklik yapmaktadır.
Rootkit Nasıl Kaldırılır?
Bir Rootkit, sistemi tehlikeli hale getirdiğinde kötü niyetli hamle potansiyeli yüksek olacaktır. Rootkit kaldırma işlemi, işletim sistemi çekirdeklerine ya da depolama aygıtının önyükleme bölümüne girdiği zaman zordur. Bazı antirootkit yazılımları rootkitleri kaldırmayı başarsalar da bu rootkitlerin tamamen kaldırılması bazen zor olmaktadır. Ancak yine de kullanıcılar, güvenliği hasar görmüş sistemi düzeltmek için bazı adımlar atabilir.
Rootkiti kaldırmak için hasar gören işletim sistemini yeniden yüklemek bir çözümdür. Önyükleyici, rootkitin yok edilmesi de güvenli bir işletim sistemi elde etmenizi sağlayacaktır. Bellek rootkitin (Memory Rootkit) bulaştığı bir işletim sisteminin de yeniden başlatılması rootkiti ortadan kaldıracaktır. Ancak genel internette ya da yerel internette olan komuta ve kontrol ağına bağlı olan rootkiti kaldırmak daha zor olacaktır.
Özetlemek gerekirse cihazınıza bulaşmış bir rootkiti temizlemenin temel olarak iki temel yolu vardır. Bunlardan biri rootkit temizlemek için tasarlanmış antirootkit yazılımlarıdır. Bu yazılımların işe yaramadığı durumlarda da cihazınızın işletim sistemini yeniden yüklemeniz diğer çözüm yolu olacaktır.
Rootkit Saldırılarını Önlemek için Neler Yapılabilir?
Rootkit saldırısını tespit etmek zor olsa da bu saldırının önüne geçmek için bazı önlemleri almak iyi olacaktır. Cihazınıza güçlü bir antivirüs programı ve kötü amaçlı yazılımlardan koruma sağlayan yazılımlar yüklemeniz iyi olacaktır.
Rootkit saldırganları, güvenlik açıkları bulmak için işletim sistemlerini devamlı araştırmaktadır. İşletim sistemi satıcıları bu durumun farkında olduğu için güvenlik açıklarını fark ettiğinde güvenlik güncellemesi yayınlarlar. Bu durumda kişilerin, cihazlarına yeni güncelleme aldıklarında bu güncelleme işlemini hemen başlatmaları iyi olacaktır.
Ağ izleme yazılımı, ağın herhangi bir bölgesinde beklenmedik şekilde yüksek bir etkinlik olduğunda ağ düğümleri birden çevrimdışı olduğunda ya da anormal bir ağ etkinliği olduğunda bu durumu hemen Bilgi Teknolojisi’ne bildirmesi gerekmektedir.
Güçlü güvenlik politikaları geliştiren ve uyumluluğu izleyen şirketler, rootkit tehdidini belli ölçüde azaltabilir. Örneğin gündüz bir ilde sisteme erişim sağlayan kullanıcı, gece saatlerinde başka bir ilde aniden sisteminin aktif olduğunu görürse yine Bilgi Teknolojisi’ne başvurması iyi olacaktır.
Genel Değerlendirme
Rootkit, en tehlikeli yazılım türlerinden biridir. Bilgisayar sisteminizi ele geçirdikten sonra çeşitli erişim ve değiştirmeler ile cihazınıza zarar verir. Bu değişimleri yaparken de yönetici konumuna geçer. Sadece cihazınızda değişiklikler yapmakla kalmayıp çeşitli yöntemlerle kişisel verilerinizi de ele geçirebilir.
Geçmiş yıllarda geliştirilen antivirüs programları, rootkit tespiti sırasında zorluk yaşıyorlardı. Ancak günümüzde var olan bazı antivirüs yazılımları, sistem içinde gizlenen rootkitleri tarayıp kaldırma becerisine sahip durumdadır. Bunun yanında rootkitleri tespit eden yazılımlar da bu zararlı yazılımı fark edip temizlemek için etkili haldedir.
Sizler için hazırlamış olduğumuz rootkit rehberimiz burada sona eriyor. Sizler de rootkit hakkındaki soru ve düşüncelerinizi aşağıda bulunan yorum kısmında bizlerle paylaşabilirsiniz.