Rootkit nedir? Rootkit'ler nasıl çalışır? Rootkit'ler açıklandı.
Kötü amaçlı yazılımları, geleneksel virüsten koruma/casus yazılım önleme ürünlerini bile kandıracak şekilde gizlemek mümkün olsa da, çoğu kötü amaçlı yazılım programı, Windows PC'nizin derinliklerine saklanmak için zaten rootkit kullanıyor… ve giderek daha tehlikeli hale geliyorlar! DL3 rootkit , vahşi doğada şimdiye kadar görülen en gelişmiş rootkitlerden biridir. Rootkit stabildi ve 32 bit Windows işletim sistemlerine bulaşabilirdi; Enfeksiyonu sisteme yüklemek için yönetici haklarına ihtiyaç duyulmasına rağmen. Ancak TDL3 şimdi güncellendi ve artık 64-bit Windows sürümlerine bile(even 64-bit versions Windows) bulaşabiliyor !
Rootkit nedir
Rootkit virüsü, bilgisayarınızdaki belirli işlemlerin veya programların varlığını normal algılama yöntemlerinden gizlemek ve böylece bu veya başka bir kötü amaçlı işlemin bilgisayarınıza ayrıcalıklı erişimine izin vermek için tasarlanmış gizli bir kötü amaçlı yazılım türüdür.
Windows(Rootkits for Windows) için Rootkit'ler genellikle kötü amaçlı yazılımları örneğin bir virüsten koruma programından gizlemek için kullanılır. Virüsler, solucanlar, arka kapılar ve casus yazılımlar tarafından kötü amaçlı amaçlarla kullanılır. Bir rootkit ile birleştirilen bir virüs, tam gizli virüsler olarak bilinenleri üretir. Rootkit'ler casus yazılım alanında daha yaygındır ve artık virüs yazarları tarafından da daha yaygın olarak kullanılmaktadır.
Artık, etkin bir şekilde gizlenen ve işletim sistemi çekirdeğini doğrudan etkileyen, gelişmekte olan bir Süper Casus Yazılım türüdür. (Super Spyware)Bilgisayarınızdaki truva atları veya tuş kaydediciler gibi kötü amaçlı nesnelerin varlığını gizlemek için kullanılırlar. Bir tehdit, gizlemek için rootkit teknolojisini kullanıyorsa, kötü amaçlı yazılımı PC'nizde bulmak çok zordur.
Rootkit'ler kendi başlarına tehlikeli değildir. Tek amaçları, yazılımları ve işletim sisteminde geride bıraktıkları izleri gizlemektir. Bunun normal yazılım mı yoksa kötü amaçlı yazılım programları mı olduğu.
Temel olarak üç farklı Rootkit türü vardır . İlk tür olan “ Çekirdek Kök Kitleri(Kernel Rootkits) ” genellikle işletim sistemi çekirdeğinin bölümlerine kendi kodlarını eklerken, ikinci tür olan “ Kullanıcı modu Kök Kitleri(User-mode Rootkits) ”, özellikle sistem başlangıcında normal şekilde başlatılması için Windows'a(Windows) yöneliktir. veya “Dropper” olarak adlandırılan bir sistem tarafından sisteme enjekte edilir. Üçüncü tür, MBR Rootkits veya Bootkits'dir(MBR Rootkits or Bootkits) .
AntiVirus & AntiSpyware yazılımınızın başarısız olduğunu fark ettiğinizde, iyi bir Anti-Rootkit Yardımcı Programının(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) yardımını almanız gerekebilir . Microsoft Sysinternals'tan (Microsoft Sysinternals)RootkitRevealer , gelişmiş bir rootkit algılama aracıdır. Çıktısı , bir kullanıcı modu veya çekirdek modu kök setinin varlığını gösterebilecek Kayıt Defteri(Registry) ve dosya sistemi API tutarsızlıklarını listeler.(API)
(Microsoft Malware Protection Center Threat Report)Rootkit'lerde (Rootkits)Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi Tehdit Raporu
Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi , (Microsoft Malware Protection Center)Rootkit'lerle(Rootkits) ilgili Tehdit Raporunu(Threat Report) indirmeye hazır hale getirdi . Rapor, günümüzde kurumları ve bireyleri tehdit eden daha sinsi kötü amaçlı yazılım türlerinden biri olan rootkit'i inceliyor. Rapor, saldırganların rootkit'leri nasıl kullandığını ve rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını inceliyor. Yeni başlayanlar için Rootkit'lerin(Rootkits) ne olduğuyla başlayarak, raporun bir özetini burada bulabilirsiniz .
Rootkit , bir saldırganın veya kötü amaçlı yazılım oluşturucunun, normalde bir sistem yöneticisi için ayrılmış olan, açıkta kalan/güvenli olmayan herhangi bir sistem üzerinde kontrol sağlamak için kullandığı bir dizi araçtır. Son yıllarda 'ROOTKIT' veya 'ROOTKIT İŞLEVSELLİĞİ' terimi, sağlıklı bir bilgisayarda istenmeyen etkiler yaratmak üzere tasarlanmış bir program olan MALWARE ile değiştirilmiştir. (MALWARE –)Kötü amaçlı yazılımın ana işlevi, bir kullanıcının bilgisayarından değerli verileri ve diğer kaynakları gizlice çekmek ve saldırgana sağlamak, böylece ona güvenliği ihlal edilmiş bilgisayar üzerinde tam kontrol sağlamaktır. Ayrıca, tespit edilmeleri ve kaldırılmaları zordur ve fark edilmezlerse uzun süreler, muhtemelen yıllarca gizli kalabilirler.
Bu nedenle, doğal olarak, güvenliği ihlal edilmiş bir bilgisayarın semptomlarının maskelenmesi ve sonuç ölümcül olmadan önce dikkate alınması gerekir. Özellikle saldırının ortaya çıkarılması için daha sıkı güvenlik önlemleri alınmalıdır. Ancak, belirtildiği gibi, bu rootkit'ler/kötü amaçlı yazılımlar yüklendikten sonra, gizli yetenekleri onu ve indirebileceği bileşenlerini kaldırmayı zorlaştırır. Bu nedenle Microsoft , ROOTKITS hakkında bir rapor oluşturmuştur .
16 sayfalık rapor, bir saldırganın rootkit'leri nasıl kullandığını ve bu rootkit'lerin etkilenen bilgisayarlarda nasıl çalıştığını özetliyor.
Raporun tek amacı, başta bilgisayar kullanıcıları olmak üzere birçok kuruluşu tehdit eden güçlü kötü amaçlı yazılımları tespit etmek ve yakından incelemektir. Ayrıca, yaygın olarak kullanılan bazı kötü amaçlı yazılım ailelerinden bahseder ve saldırganların bu kök kullanıcı takımlarını sağlıklı sistemlere kendi bencil amaçları için yüklemek için kullandıkları yöntemi gün ışığına çıkarır. Raporun geri kalanında, kullanıcıların rootkit'lerden kaynaklanan tehdidi hafifletmesine yardımcı olmak için bazı önerilerde bulunan uzmanlar bulacaksınız.
Rootkit Türleri
Kötü amaçlı yazılımın kendisini bir işletim sistemine yükleyebileceği birçok yer vardır. Bu nedenle, çoğunlukla rootkit'in türü, yürütme yolunun alt yapısını gerçekleştirdiği yere göre belirlenir. Bu içerir:
- Kullanıcı Modu Rootkit'leri
- Çekirdek Modu Rootkit'leri
- MBR Kök setleri/önyükleme setleri
Çekirdek modu kök kullanıcı takımı uzlaşmasının olası etkisi, aşağıdaki ekran görüntüsü ile gösterilmiştir.
Üçüncü tür, sistemin kontrolünü ele geçirmek ve önyükleme sırasındaki mümkün olan en erken noktayı yükleme sürecini başlatmak için Ana Önyükleme Kaydı'nı değiştirir3. (Master Boot Record)Dosyaları, kayıt defteri değişikliklerini, ağ bağlantılarının kanıtlarını ve varlığını gösterebilecek diğer olası göstergeleri gizler.
Rootkit işlevini kullanan önemli Kötü Amaçlı Yazılım aileleri(Malware)
- Win32/Sinowal 13 – Farklı sistemler için kullanıcı adları ve parolalar gibi hassas verileri çalmaya çalışan çok bileşenli bir kötü amaçlı yazılım ailesi. Bu, çeşitli FTP(FTP) , HTTP ve e-posta hesaplarının kimlik doğrulama ayrıntılarını ve ayrıca çevrimiçi bankacılık ve diğer finansal işlemler için kullanılan kimlik bilgilerini çalma girişimini içerir .
- Win32/Cutwail 15 – Rasgele dosyaları indiren ve çalıştıran bir Truva Atı . (Trojan)İndirilen dosyalar diskten yürütülebilir veya doğrudan diğer işlemlere enjekte edilebilir. İndirilen dosyaların işlevselliği değişken olsa da, Cutwail genellikle spam gönderen diğer bileşenleri indirir. Çekirdek modu rootkit kullanır ve bileşenlerini etkilenen kullanıcılardan gizlemek için birkaç aygıt sürücüsü yükler.
- Win32/Rustockbotnet aracılığıyla "spam" e-posta dağıtımına yardımcı olmak için geliştirilmiş, çok bileşenli, rootkit etkin arka kapı Truva atları(Trojans) ailesi . Botnet, güvenliği ihlal edilmiş bilgisayarlardan oluşan, saldırgan tarafından kontrol edilen büyük bir ağdır.
Rootkit'lere karşı koruma
Rootkit'lerin yüklenmesini önlemek, rootkit'lerin bulaşmasını önlemenin en etkili yöntemidir. Bunun için anti-virüs ve güvenlik duvarı ürünleri gibi koruyucu teknolojilere yatırım yapmak gerekiyor. Bu tür ürünler, geleneksel imza tabanlı algılama, buluşsal algılama, dinamik ve duyarlı imza yeteneği ve davranış izleme kullanarak korumaya yönelik kapsamlı bir yaklaşım benimsemelidir.
Tüm bu imza setleri, otomatik bir güncelleme mekanizması kullanılarak güncel tutulmalıdır. Microsoft antivirüs çözümleri, etkilenen bir sistemin çekirdeğini değiştirme girişimlerini algılayan ve bunları raporlayan canlı çekirdek davranışı izleme ve gizli sürücülerin tanımlanmasını ve kaldırılmasını kolaylaştıran doğrudan dosya sistemi ayrıştırma dahil olmak üzere, kök kullanıcı takımlarını azaltmak için özel olarak tasarlanmış bir dizi teknolojiyi içerir.
Bir sistemin güvenliği ihlal edilmişse, bilinen iyi veya güvenilir bir ortama önyükleme yapmanıza olanak tanıyan ek bir araç, bazı uygun düzeltme önlemleri önerebileceğinden yararlı olabilir.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
Bu şartlar altında,
- Bağımsız Sistem Süpürme(Standalone System Sweeper) aracı ( Microsoft Tanılama(Diagnostics) ve Kurtarma Araç(Recovery Toolset) Setinin ( DaRT ) bir parçası )
- Windows Defender Çevrimdışı(Defender Offline) yararlı olabilir.
Daha fazla bilgi için, PDF(PDF) raporunu Microsoft İndirme Merkezi'nden(Microsoft Download Center.) indirebilirsiniz .
Related posts
Phishing Scams and Attacks Nasıl Kaçınılır?
Uzak Access Trojan nedir? Önleme, Detection & Removal
Remove virus USB Flash Drive'dan Command Prompt or Batch File'u kullanma
Rogue Security Software or Scareware: Nasıl önlemek, kaldır kontrol etmek?
Win32 nedir: BogEnt ve nasıl kaldırılır?
Chromium Virus Windows 11/10'dan nasıl kaldırılır
Windows'den güvenli bir şekilde kaldırmak için IDP.Generic and How nedir?
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Windows 10 kötü amaçlı yazılımlar için Registry nasıl kontrol edilir
Bilgisayarınızın ASUS Update Malware tarafından enfekte olup olmadığını kontrol edin
Virüslerden, Casus Yazılımlardan ve Kötü Amaçlı Yazılımlardan Kurtulmanın 3 Yolu
İpuçları güvenli Windows 11/10 - Nasıl Malware önlemek için
Uzaktan Administration Tools: Riskler, Threats, Prevention
Bir computer virus, Trojan, Work, spyware or malware nasıl alabilirsin?
Bilgisayarınızı Thunderspy attack'e karşı korumak için ipuçları
Windows 10 içinde PC'nizden Malware çıkarmak Nasıl
CandyOpen nedir? CandyOpen Windows 10'den nasıl kaldırılır?
Avast Boot Scan Malware Windows PC'ten kaldırmak için Nasıl kullanılır?
Fileless Malware Attacks, Protection and Detection
Land saldırılarından kaç yaşıyorlar? Nasıl Güvende Kalmak?