Windows 10'da Rootkit'ler Nasıl Tespit Edilir (Ayrıntılı Kılavuz)

Rootkit'ler, bilgisayar korsanları tarafından, bazen birkaç yıl boyunca, verileri veya kaynakları sessizce çalacak kalıcı, görünüşte algılanamayan kötü amaçlı yazılımları cihazınızda gizlemek için kullanılır. Ayrıca, tuş vuruşlarınızın ve iletişiminizin gözetlendiği ve izleyiciye gizlilik bilgisi sağlayarak keylogger tarzında kullanılabilirler.  

Bu özel bilgisayar korsanlığı yöntemi, satıcıların tüm bilgisayar sürücülerini dijital olarak imzalamasını gerektiren Microsoft Vista'dan(Microsoft Vista) önce 2006'dan önce daha uygundu . Kernel Patch Protection ( KPP ) , kötü amaçlı yazılım yazarlarının saldırı yöntemlerini değiştirmesine neden oldu ve ancak yakın zamanda 2018'de Zacinlo reklam sahtekarlığı operasyonuyla(Zacinlo ad fraud operation) , rootkit'ler yeniden gündeme girdi.

2006'dan önceki rootkit'lerin tümü özellikle işletim sistemi tabanlıydı. Detrahere kötü amaçlı yazılım(Detrahere malware) ailesinden bir rootkit olan Zacinlo durumu(Zacinlo) , bize üretici yazılımı tabanlı bir rootkit biçiminde daha da tehlikeli bir şey verdi. Ne olursa olsun(Regardless) , rootkit'ler yıllık olarak görülen tüm kötü amaçlı yazılım çıktılarının yalnızca yüzde biri kadardır. 

Buna rağmen, sunabilecekleri tehlike nedeniyle, sisteminize zaten sızmış olabilecek kök kullanıcı takımlarını tespit etmenin nasıl çalıştığını anlamak akıllıca olacaktır.

Windows 10'da(Windows 10) Rootkit'leri Algılama ( Derinlemesine(In-Depth) )

Zacinlo , Windows 10 platformunu hedef aldığı keşfedilmeden önce neredeyse altı yıldır oyundaydı. Kök kullanıcı takımı bileşeni, yüksek düzeyde yapılandırılabilirdi ve işlevselliği için tehlikeli olduğunu düşündüğü süreçlerden kendisini koruyordu ve SSL iletişimlerini ele geçirme ve şifresini çözme yeteneğine sahipti.

Tüm yapılandırma verilerini Windows Kayıt Defteri'nde(Windows Registry) şifreler ve depolar ve Windows kapanırken, farklı bir ad kullanarak kendisini bellekten diske yeniden yazar ve kayıt defteri anahtarını günceller. Bu, standart virüsten koruma yazılımınız tarafından algılanmaktan kaçınmasına yardımcı oldu.

Bu, standart bir virüsten koruma veya kötü amaçlı yazılımdan koruma yazılımının, rootkit'leri algılamak için yeterli olmadığını gösterir. Bununla birlikte, sizi bir rootkit saldırısı şüphesine karşı uyaracak birkaç üst düzey kötü amaçlı yazılımdan koruma programı vardır. 

İyi Bir Antivirüs Yazılımının 5 Temel Özelliği(The 5 Key Attributes Of a Good Antivirus Software)

Günümüzün önde gelen antivirüs programlarının çoğu, rootkit'leri tespit etmek için bu dikkate değer beş yöntemin tümünü gerçekleştirecektir.

  • İmza Tabanlı Analiz(Signature-based Analysis) – Virüsten koruma yazılımı, günlüğe kaydedilen dosyaları bilinen rootkit imzalarıyla karşılaştırır. Analiz ayrıca, agresif bağlantı noktası kullanımı gibi bilinen kök kullanıcı takımlarının belirli çalışma etkinliklerini taklit eden davranış kalıplarını da arayacaktır.
  • Durdurma Algılama(Interception Detection)Windows işletim sistemi, bir rootkit'in harekete geçmesini istediği bilinen komutları çalıştırmak için işaretçi tabloları kullanır. Rootkit'ler tehdit olarak kabul edilen herhangi bir şeyi değiştirmeye veya değiştirmeye çalıştığından, bu, sisteminizi onların varlığına yönlendirecektir.
  • Çok Kaynaklı Veri Karşılaştırma(Multi-Source Data Comparison)Rootkit'ler(Rootkits) , gizli kalma girişimlerinde standart bir incelemede sunulan belirli verileri değiştirebilir. Yüksek ve düşük seviyeli sistem çağrılarının döndürülen sonuçları, bir rootkit'in varlığını ele verebilir. Yazılım ayrıca RAM'e(RAM) yüklenen işlem belleğini sabit diskteki dosyanın içeriğiyle karşılaştırabilir.
  • Bütünlük Kontrolü(Integrity Check) – Her sistem kitaplığı, sistemin “temiz” olduğu düşünüldüğünde oluşturulan bir dijital imzaya sahiptir. İyi bir güvenlik yazılımı, dijital imzayı oluşturmak için kullanılan kodda herhangi bir değişiklik olup olmadığını kütüphanelerde kontrol edebilir.
  • Kayıt Defteri Karşılaştırmaları(Registry Comparisons) - Çoğu virüsten koruma yazılımı programı, bunları önceden ayarlanmış bir programa sahiptir. Temiz bir dosya, istemcinin talep edilmeyen bir yürütülebilir dosya (.exe) olup olmadığını veya içerip içermediğini belirlemek için gerçek zamanlı olarak bir istemci dosyasıyla karşılaştırılacaktır.

Rootkit Taramaları Gerçekleştirme(Performing Rootkit Scans)

Bir rootkit taraması yapmak, rootkit bulaşmasını tespit etmek için en iyi girişimdir. Çoğu zaman işletim sisteminize kendi başına bir kök kullanıcı takımı tanımlama konusunda güvenilmez ve varlığını belirlemek için bir zorluk teşkil eder. Rootkit'ler usta casuslardır, neredeyse her fırsatta izlerini gizlerler ve görünürde gizli kalabilme yeteneğine sahiptirler.

Makinenize bir rootkit virüs saldırısı yapıldığından şüpheleniyorsanız, tespit için iyi bir strateji, bilgisayarı kapatmak ve taramayı bilinen bir temiz sistemden yürütmek olacaktır. Makinenizdeki bir kök kullanıcı setini bulmanın kesin bir yolu, bellek dökümü analizidir. Bir rootkit, sisteminize verdiği talimatları makinenin belleğinde yürütürken gizleyemez.

Kötü Amaçlı Yazılım Analizi İçin WinDbg Kullanma(Using WinDbg For Malware Analysis)

Microsoft Windows , uygulamalarda, sürücülerde veya işletim sisteminin kendisinde hata ayıklama taramaları gerçekleştirmek için kullanılabilecek kendi çok işlevli hata ayıklama aracını sağlamıştır. Çekirdek modu ve kullanıcı modu kodunda hata ayıklayacak, kilitlenme dökümlerini analiz etmeye yardımcı olacak ve CPU kayıtlarını inceleyecektir.

Bazı Windows sistemleri WinDbg ile birlikte gelir. Bu olmayanların (WinDbg)Microsoft Store'dan(Microsoft Store) indirmeleri gerekir . WinDbg Preview(WinDbg Preview) , WinDbg'nin daha modern versiyonudur ve göze daha kolay görseller, daha hızlı pencereler, eksiksiz komut dosyası oluşturma ve orijinaliyle aynı komutları, uzantıları ve iş akışlarını sağlar.

En azından, bir Mavi Ekran (Blue Screen)Ölümü(Death) ( BSOD ) dahil olmak üzere bir bellek veya kilitlenme dökümünü analiz etmek için WinDbg'yi(WinDbg) kullanabilirsiniz . Sonuçlardan, bir kötü amaçlı yazılım saldırısının göstergelerini arayabilirsiniz. Programlarınızdan birinin kötü amaçlı yazılım nedeniyle engellenebileceğini veya gerekenden daha fazla bellek kullandığını düşünüyorsanız, bir döküm dosyası oluşturabilir ve bunu analiz etmeye yardımcı olması için WinDbg'yi kullanabilirsiniz.(WinDbg)

Tam bir bellek dökümü önemli miktarda disk alanı kaplayabilir, bu nedenle bunun yerine Çekirdek Modu(Kernel-Mode) dökümü veya Küçük Bellek(Memory) dökümü gerçekleştirmek daha iyi olabilir . Bir Çekirdek Modu dökümü, kilitlenme anında çekirdek tarafından tüm bellek kullanım bilgilerini içerecektir. Küçük Bellek(Memory) dökümü, sürücüler, çekirdek ve daha fazlası gibi çeşitli sistemler hakkında temel bilgiler içerir, ancak karşılaştırıldığında çok küçüktür.

Küçük Bellek dökümleri, bir (Memory)BSOD'nin(BSOD) neden oluştuğunu analiz etmede daha kullanışlıdır . Kök kullanıcı takımlarını tespit etmek için tam sürüm veya çekirdek sürümü daha yararlı olacaktır.

Çekirdek Modu Döküm Dosyası Oluşturma(Creating A Kernel-Mode Dump File)

Çekirdek Modu(Kernel-Mode) döküm dosyası üç şekilde oluşturulabilir :

  • Sistemin kendi kendine çökmesine izin vermek için Denetim Masası'ndan(Control Panel) döküm dosyasını etkinleştirin
  • Sistemi çökmeye zorlamak için Denetim Masası'ndan(Control Panel) döküm dosyasını etkinleştirin
  • Sizin için bir tane oluşturmak için bir hata ayıklayıcı aracı kullanın

Üç numaralı seçimle gideceğiz. 

Gerekli döküm dosyasını gerçekleştirmek için WinDbg'nin (WinDbg)Komut(Command) penceresine aşağıdaki komutu girmeniz yeterlidir .

DosyaAdı'nı(FileName) döküm dosyası ve “?” için uygun bir adla değiştirin . bir f ile “f”nin küçük harf olduğundan emin olun, aksi takdirde farklı türde bir döküm dosyası oluşturacaksınız.

Hata ayıklayıcı rotasını çalıştırdığında (ilk tarama önemli dakikalar alacaktır), bir döküm dosyası oluşturulacak ve bulgularınızı analiz edebileceksiniz.

Bir rootkit'in varlığını belirlemek için geçici bellek ( RAM ) kullanımı gibi ne aradığınızı anlamak deneyim ve test gerektirir. Acemi biri için tavsiye edilmese de, canlı bir sistemde kötü amaçlı yazılım keşfetme tekniklerini test etmek mümkündür. Bunu yapmak için , sisteminize yanlışlıkla canlı bir virüs yerleştirmemek için WinDbg'nin çalışmaları hakkında yine uzmanlık ve derinlemesine bilgi gerekir.(WinDbg)

İyi gizlenmiş düşmanımızı ortaya çıkarmanın daha güvenli, daha acemi dostu yolları var.

Ek Tarama Yöntemleri(Additional Scanning Methods)

Manuel algılama ve davranışsal analiz, rootkit'leri algılamak için de güvenilir yöntemlerdir. Bir rootkit'in yerini keşfetmeye çalışmak büyük bir sorun olabilir, bu nedenle rootkit'in kendisini hedeflemek yerine rootkit benzeri davranışları arayabilirsiniz.

Yükleme sırasında Gelişmiş(Advanced) veya Özel(Custom) yükleme seçeneklerini kullanarak indirilen yazılım paketlerinde rootkit'leri arayabilirsiniz . Aramanız gereken şey, ayrıntılarda listelenen tanıdık olmayan dosyalardır. Bu dosyalar atılmalıdır veya kötü amaçlı yazılımlara ilişkin herhangi bir referans için çevrimiçi olarak hızlı bir arama yapabilirsiniz.

Güvenlik duvarları ve günlük raporları, bir kök kullanıcı setini keşfetmenin inanılmaz derecede etkili bir yoludur. Yazılım, ağınız inceleniyorsa sizi bilgilendirecek ve kurulumdan önce tanınmayan veya şüpheli indirmeleri karantinaya almalıdır. 

Bir rootkit'in zaten makinenizde olduğundan şüpheleniyorsanız, güvenlik duvarı günlük raporlarına girebilir ve olağan dışı davranışları arayabilirsiniz.

Güvenlik Duvarı Günlüğü Raporlarını İnceleme(Reviewing Firewall Logging Reports)

Güvenlik duvarı günlük filtreleme özelliklerine sahip IP Traffic Spy(IP Traffic Spy) gibi açık kaynaklı bir uygulama yaparak, mevcut güvenlik duvarı günlük raporlarınızı gözden geçirmek isteyeceksiniz , bu çok kullanışlı bir araçtır. Raporlar, bir saldırı meydana geldiğinde görmeniz gerekenleri size gösterecektir. 

Bağımsız bir çıkış filtreleme güvenlik duvarına sahip büyük bir ağınız varsa, IP Traffic Spy gerekli olmayacaktır. Bunun yerine, güvenlik duvarı günlükleri aracılığıyla ağdaki tüm cihazlara ve iş istasyonlarına gelen ve giden paketleri görebilmeniz gerekir.

İster ev ister küçük işletme ortamında olun, ISS'niz(ISP) tarafından sağlanan modemi veya varsa, güvenlik duvarı günlüklerini almak için kişisel bir güvenlik duvarı veya yönlendirici kullanabilirsiniz. Aynı ağa bağlı her cihaz için trafiği tanımlayabileceksiniz. 

Windows Güvenlik Duvarı Günlük(Windows Firewall Log) dosyalarını etkinleştirmek de faydalı olabilir . Varsayılan olarak, günlük dosyası devre dışıdır, yani hiçbir bilgi veya veri yazılmaz.

  • Bir günlük dosyası oluşturmak için Windows key + R tuşlarına basarak Çalıştır(Run) işlevini açın .
  • Kutuya wf.msc yazın(wf.msc) ve Enter'a(Enter) basın .

  • Windows Güvenlik Duvarı(Windows Firewall) ve Gelişmiş Güvenlik(Advanced Security) penceresinde , sol taraftaki menüde “Yerel Bilgisayarda Gelişmiş Güvenlik(Advanced Security) Özellikli Windows Defender Güvenlik Duvarı” öğesini vurgulayın . "Eylemler" altındaki en sağdaki menüde Özellikler'i(Properties) tıklayın .

  • Yeni iletişim penceresinde, "Özel Profil" sekmesine gidin ve "Günlük Kaydetme" bölümünde bulunabilen Özelleştir'i seçin.(Customize)

  • Yeni pencere, ne kadar büyük bir günlük dosyasının yazılacağını, dosyanın nereye gönderilmesini istediğinizi ve yalnızca bırakılan paketleri mi, başarılı bağlantı mı yoksa her ikisini mi günlüğe kaydedeceğinizi seçmenize olanak tanır.

  • Bırakılan(Dropped) paketler, Windows Güvenlik Duvarı'nın(Windows Firewall) sizin adınıza engellediği paketlerdir.
  • Varsayılan olarak, Windows Güvenlik Duvarı(Windows Firewall) günlük girdileri yalnızca son 4 MB'lık veriyi depolar ve %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Günlükler için veri kullanımına ilişkin boyut sınırını artırmanın bilgisayarınızın performansını etkileyebileceğini unutmayın.
  • Bittiğinde Tamam'a(OK) basın .
  • Ardından, "Özel Profil" sekmesinde az önce uyguladığınız adımların aynısını, yalnızca bu sefer "Genel Profil" sekmesinde tekrarlayın.
    • Artık hem genel hem de özel bağlantılar için günlükler oluşturulacak. Dosyaları Not Defteri(Notepad) gibi bir metin düzenleyicide görüntüleyebilir veya bir elektronik tabloya aktarabilirsiniz.
    • Artık günlük dosyalarını, kolay tanımlama için trafiği filtrelemek ve sıralamak üzere IP Traffic Spy gibi bir veritabanı ayrıştırıcı programına aktarabilirsiniz.(IP Traffic Spy)

Günlük dosyalarında olağan dışı herhangi bir şeye dikkat edin. En ufak bir sistem hatası bile bir rootkit bulaşmasını gösterebilir. Aşırı CPU veya bant genişliği kullanımı, çok zorlu bir şey çalıştırmadığınızda veya hiç kullanmadığınızda önemli bir ipucu olabilir.



About the author

İş ve teknolojide, Windows 10 ve Windows 11/10 çok önemli araçlardır. Bilgisayarlarla her zamankinden daha kolay ve güvenli bir şekilde etkileşim kurmanıza ve herhangi bir güvenlik riski olmadan güçlü ancak özelleştirilebilir uygulamaları çalıştırmanıza olanak tanır. Bu araçlar, çevrimiçi varlıklarını büyütmek ve yeni müşterilere ulaşmak isteyen işletmeler için de gereklidir. Bu nedenle, Windows 10 ve Windows 11/10'daki becerilerimin beni böyle bir iş veya iş için harika bir aday yaptığını söyleyebilirim.



Related posts