KERNELTOOLKİT
Kernel Rootkit'lerin Özellikleri
Ayrıcalıklı Erişim : Sistemdeki en yüksek ayrıcalıklarla çalışırlar ve bu sayede çoğu güvenlik mekanizmasını aşabilirler.
Gizlilik : Çekirdek rootkit'leri sistem çağrılarını ve çekirdek veri yapılarını değiştirerek varlıklarını gizleyebilirler.
Kalıcılık : Çoğu kötü amaçlı yazılım önleme yazılımının erişemeyeceği bir düzeyde çalıştıkları için kaldırılmaları zor olabilir.
Algılanması Zor : Geleneksel güvenlik araçları, tarayabilecekleri seviyenin altında çalıştıkları için çekirdek kök araçlarını algılayamayabilir.
Çekirdek Rootkit Türleri
Yüklenebilir Çekirdek Modülleri (LKM'ler) : Bunlar çekirdekten yüklenebilen ve kaldırılabilen modüllerdir. Genellikle Linux sistemlerinde kullanılırlar.
Çekirdek Modu Sürücüleri : Windows'ta çekirdek kök setleri genellikle çekirdek modu sürücüleri biçimini alır.
Tespit ve Kaldırma
Bütünlük Kontrolü : Tripwire gibi araçlar sistem dosyalarının bütünlüğünü kontrol etmek ve yetkisiz değişiklikleri tespit etmek için kullanılabilir.
Bellek Denetimi : Volatility gibi araçlar, kök araç takımlarını tespit etmek için bellek dökümlerini inceleyebilir.
Davranış Analizi : Sıra dışı davranışların izlenmesi bazen bir rootkit'in varlığına işaret edebilir.
Güvenli Modda Başlatma : Windows'ta, Güvenli Modda başlatma bazen rootkit'leri geçici olarak devre dışı bırakabilir.
Örnek Araçlar
Linux : chkrootkit,rkhunter
Windows : GMER,RootkitRevealer
Önleme
Sistemleri Güncel Tutun : İşletim sisteminin ve tüm yazılımların en son güvenlik yamalarıyla güncel olduğundan emin olun.
Güçlü Kimlik Doğrulaması Kullanın : Yetkisiz erişimi önlemek için güçlü kimlik doğrulama mekanizmaları uygulayın.
Ayrıcalıkları Sınırlandırın : Tehlikeye atılmış bir hesabın etkisini en aza indirmek için en az ayrıcalık ilkesini izleyin.
Örnek Komut
Linux'ta yüklenebilir çekirdek modüllerini kontrol etmek için şunu kullanabilirsiniz:
CHKROOTKİT
chkrootkitLinux dahil Unix benzeri işletim sistemlerindeki rootkit'leri tespit etmek için kullanılan popüler bir araçtır. Penetrasyon test uzmanları ve siber güvenlik profesyonellerinin sistemlerin kötü amaçlı çekirdek düzeyindeki yazılımlardan arınmış olduğundan emin olmaları için olmazsa olmaz bir araçtır. İşte nasıl kullanılacağına dair kısa bir kılavuz chkrootkit:
Kurulum
Kurulum için chkrootkitLinux dağıtımınıza özel paket yöneticisini kullanabilirsiniz.
Debian tabanlı sistemlerde (örneğin Ubuntu):
Red Hat tabanlı sistemlerde (örneğin CentOS, Fedora):
Kurulduktan sonra, sisteminizi rootkit'lere karşı taramak için çalıştırabilirsiniz chkrootkit. Gerekli izinlere sahip olduğundan emin olmak için taramayı kök kullanıcı olarak çalıştırmanız önerilir.
Sonuçların Yorumlanması
chkrootkitbir dizi test ve sonuçlarını çıktı olarak verecektir. İşte nelere dikkat etmeniz gerektiğine dair kısa bir genel bakış:
Geçti : Testin herhangi bir sorun bulamadığını gösterir.
UYARI : Olası bir sorunun tespit edildiğini ancak daha ileri araştırmanın gerekli olduğunu belirtir.
Enfekte : Bir rootkit bulunduğunu belirtir.
Örnek Çıktı
Ortak Testler
e2fs : ext2/ext3 dosya sistemini kullanan rootkit'leri kontrol eder.Ortak Testler
lnk_file : Sembolik bağlantı kullanarak gizli dosyaları kontrol eder.
raw_file : Ham bir aygıt kullanarak gizli dosyaları kontrol eder.
prelink : Önceden bağlanmış ikili dosyaları kontrol eder.
wtmp : Şüpheli girdiler için wtmp dosyasını kontrol eder.
Ek Adımlar
Bir rootkit tespit ederseniz chkrootkit, aşağıdaki adımları izlemelisiniz:Sistemi İzole Edin : Daha fazla yayılmayı önlemek için enfekte sistemin ağ bağlantısını kesin.
Verileri Yedekleyin : Önemli verilerinizin yedeklendiğinden emin olun.
Rootkit'i Kaldırın : Rootkit'i kaldırmak için uygun araçları ve teknikleri kullanın.
Yama ve Güncelleme : Sistemin en son güvenlik yamalarıyla güncel olduğundan emin olun.
Yeniden taramachkrootkit : Rootkit'in kaldırıldığını doğrulamak için tekrar çalıştırın .
Gelişmiş Kullanım
-rDaha gelişmiş kullanımlar için, taranacak uzak bir sistemi belirtme seçeneğini veya -vayrıntılı çıktı seçeneğini kullanabilirsiniz .
Çözüm
chkrootkitrootkit'leri tespit etmek için güçlü bir araçtır ve her düzenli güvenlik denetimi rutininin bir parçası olmalıdır.
RKHUNTER
rkhunter(Rootkit Hunter) Linux dahil Unix benzeri işletim sistemlerindeki rootkit'leri tespit etmek için kullanılan bir diğer popüler araçtır. Bir sistemde bulunabilecek rootkit'leri ve diğer kötü amaçlı yazılımları taramak için tasarlanmıştır. İşte nasıl kullanılacağına dair bir kılavuz rkhunter:
Kurulum
Kurulum için rkhunterLinux dağıtımınıza özel paket yöneticisini kullanabilirsiniz.Debian tabanlı sistemlerde (örneğin Ubuntu):
Red Hat tabanlı sistemlerde (örneğin CentOS, Fedora):
Kurulumdan sonra, bilinen rootkit'lerin ve kötü amaçlı yazılımların veritabanını güncellemek için ilk kurulumu çalıştırmalısınız:
rkhunter'ı çalıştırıyor
Bir tarama çalıştırmak için aşağıdaki komutu kullanabilirsiniz:
Sonuçların Yorumlanması
rkhunterbir dizi test ve sonuçlarını çıktı olarak verecektir. İşte nelere dikkat etmeniz gerektiğine dair kısa bir genel bakış:
Tamam : Testin herhangi bir sorun bulamadığını gösterir.
Uyarı : Olası bir sorunun tespit edildiğini ancak daha fazla araştırmanın gerekli olduğunu belirtir.
Uyarı: GID değişikliği : Bir dosyanın grup kimliğinin değiştiğini gösterir.
Uyarı: UID değişikliği : Bir dosyanın kullanıcı kimliğinin değiştiğini gösterir.
Örnek Çıktı
Ortak Testler
Ortak Testler
Sistem komutları : Rootkit enfeksiyonuna karşı genel sistem komutlarını kontrol eder.
Gizli dosyalar ve dizinler : Gizli dosya ve dizinleri kontrol eder.
Şüpheli dizeler : Sistem dosyalarında şüpheli dizeleri kontrol eder.
Paketlenmiş ikili dosyalar : Bir rootkit'in varlığını gösterebilecek paketlenmiş ikili dosyaları kontrol eder.
Ek Adımlar
Bir rootkit tespit ederseniz rkhunter, aşağıdaki adımları izlemelisiniz:
Sistemi İzole Edin : Daha fazla yayılmayı önlemek için enfekte sistemin ağ bağlantısını kesin.
Verileri Yedekleyin : Önemli verilerinizin yedeklendiğinden emin olun.
Rootkit'i Kaldırın : Rootkit'i kaldırmak için uygun araçları ve teknikleri kullanın.
Yama ve Güncelleme : Sistemin en son güvenlik yamalarıyla güncel olduğundan emin olun.
Yeniden taramarkhunter : Rootkit'in kaldırıldığını doğrulamak için tekrar çalıştırın .
Gelişmiş Kullanım
--propupdDaha gelişmiş kullanımlar için, özellik veritabanını güncelleme seçeneğini ve --skbelirli testleri atlama seçeneğini kullanabilirsiniz .
Çözüm
rkhunterrootkit'leri tespit etmek için güçlü bir araçtır ve her düzenli güvenlik denetimi rutininin bir parçası olmalıdır.
Son düzenleme:
