1) Malicious Code - Zararlı Kod Nedir?
2) Rootkit
3) Tracking Cookie leri
4) Keyloggerlar
5) Dropper
6) Adware
7) Spyware
8) Browser Hijacker
9) Dialer
10) Bulaşma Belirtileri
11) Bulaşma Metotları


Rootkit Nedir?


Rootkit’in çekirdeği 2 kelimeden oluşur;root ve kit. Root bir işletim sisteminde sisteme hükmeden “Yönetici” yani “Administrator” hesabını ve kit ise bir bilgisayara root seviyesinde erişimi sağlayan yazılım setlerini ifade etmektedir. Bir başka ifadeyle; çalışma süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen kötü niyetli kullanımına da rastlamak mümkündür.

Gerçekte Rootkitleri Malware olarak tanımlamak eksik olur zira Rootkitlerin amaçlarndan bir tanesi malware varlığını gizlemektir. Rootkit ler bunu akıllı taktikler ve hileler kullanarak Windows u veya bulaştığı işletim sisteminin kendisini değiştirerek, malware in bilgisayarınızda işletim sisteminin normal çalışması esnasında görülmesini engellemektedirler.

Bir başka ifadeyle malware salgını kullanıcıların görüş açısından ve korunma amaçlı kullanılan programlardan gizlenmiş olmaktadır.

Rootkit nasıl tespit edilir ve nasıl temizlenir?


Rootkit tespiti için en güvenilir yöntem daha önceden alınmış rootkt bulaşmamış bir referans sistemi yardımıyla dosya dosya karşılaştırma yapmaktır. Yani yapması söylemekten daha zor bir eylemdir.

Bu amaçla geliştirilmiş çeşitli yazılımlar mevcuttur lakin sisteme hakim olan kullanıcılar sistemde gerçekleşen anormal durumlarla bu tip bulamaları tespit edebilmektedirler.

Kötü amaçlı kodları gizlemede artan bir şekilde kullanılan rootkit'lerin tespiti ve temizlenmesi konusunda bazı uzmanlar kolay bazıları ise imkansız demektedirler. Bu görüş farklılıkları masaüstü ve sunucularda gizlenen rootkit'lere karşı savunmaya ihtiyacı olan sistem yöneticileri ve firma güvenlik yöneticilerinin kafasını karıştırmaktadır. Rootkit tespit ve temizleme de şu an için az sayıda yazılım olsa da yeni firmalarda bu alanda faaliyet göstermeye başlamaktadırlar.

En iyimser güvenlik firmaları dahi işletim sistemine bağlanmış olan gizli kodu silmenin zor olabileceğini belirtimektedirler. Bazı rootkit ler dosya isimlerinin değiştirilmesi ile engellenebilirken bazılarının temizlenmesi için uzmanlar sistemin yeniden kurulması gerektiğini savunmaktadırlar. Zira işletim sistemine tam yerleşmiş bir rootkit in silinmesi sistemin çalışmasını engellemektedir. Bu tip durumlarda rootkit in gizlediği malware I tespit edip silmek daha akılcı bir yöntemdir.

Rootkit tehditine karşı korunmak için yazılım ürünleri geliştirmeyi hedefleyen, yeni kurulmuş bir şirket olan Komoku'dan James Butler "Rootkit'lerdeki dahili fonksiyon hook işlemleri Microsoft'un hotpatch işlemine benziyor. Orjinal fonksiyonun bazı kısımlarının üzerine yazılıyor ve bu da işleyişi değiştiriyor" demektedir. Butler bir başka konferansta çeşitli tipte hook işlemleri tespit ettiklerini söylemiştir (sistem çağrısı, IDT, IRP tablosu ) Ve etkilenen bilgisayardan rootkit'i temizlemenin genelde imkansız olduğunu ifade etmiştir.

Tespit amaçlı geliştirilen yazılımları listeleyecek olursak;

1)F-Secure Blacklight

Yakın zamana kadar ücretsiz sunulan bir yazılımdır. Aylık update yapılan yazılımın nasıl çalıştığı konusunda çok detaylı bir bilgi mevcut değildir. F-Secure “Sistemin derin bir seviyesinde tarandığı ve bu şekilde Blacklight’ın kullanıcı ve güvenlik yazılımlarından gizlenen sistem aktivitelerine göre Rootkit’in tespit edildiğini” açıklamaktadır.
http://www.f-secure.com/blacklight

2)Sysinternals RootkitRevealer

Bu ücretsiz yazılım kullanıcı modu bilgisi ile kernel modunu karşılaştırmakta ve Windows Registry ve dosya sisteminde mevcut farklılıkları bildirmektedir. Programın NTFS alternatif veri akımlarını gizlenmiş kodlar için tarama opsiyonu mevcuttur. Lakin bu opsiyon bu özelliği kullanan bazı programlara ilişkin hata mesajı verebilmektedir. Program rootkit temizlememektedir. Bulunan Rootkit leri temizlemek kullanıcıya bırakılmıtır.
http://www.sysinternals.com/utilities/RootkitRevealer.html

3) Rootkit hook Analyzer

Beta sürümü sunulmuş bir programdır. Sistemde kernel hook larını tanımlamakta ve kullanıcıya bildirmektedir. Lakin bazı programların da bu hook ları kullanması sebebiyle verilen mesajlarda kullanıcının dikkat etmesi gerekmektedir.
http://www.resplendence.com/hookanalyzer

4)Icesword (Uzman kullanıcılar için)

Bu çin programı için rootkit belirlenmesinde en büyük silah denilebilmektedir. Gerçekte daha önce belirtilen programlar gibi otomatik tarama özelliği yoktur zira bu program bir program setidir ve tecrübeli kullanıcılara yöneliktir. Bu set, işlem gözlemleyici, başlangıç analizörü, port sıralayıcı vb yazılımları içermektedir .
Çince olmakla birlikte İngilizce versiyonu da sunulmuştur.
http://xfocus.net/tools/200509/IceSword_en1.12.rar
http://tinyurl.com/ckqsn

Rootkit’ten nasıl sakınılır?

Rootkit’ten sakınmak malware lerden sakınmaktan farkı yoktur. En basit yöntem işletim sistemini administrator değil daha düşük bir kullanıcı ayrıcalığı ile kullanmaktır zira rootkit lerin sisteme bulaşmak için admin ayrıcalığı gerekmektedir. Bu yöntem çok pratik değildir.
Daha pratik yöntem bu amaçla geliştirilmiş bazı güvenlik yazılımlarını kullanmaktır. Bu yazılımlar sistem hook larını inceleyerek rootkit lerin bazılarını engelleyebilmektedir.





Kaynakça:
1) Wikipedia
2) Olympos.org - Erman Kurt
3) Pcsupportadvisor
4) About.com




Derleyen: Kemal Inanc