Rootkit: Görünmez Düşman
Bilgisayar güvenliği dünyasında bazı tehditler vardır ki, var olduklarını fark ettiğinizde artık çok geç olabilir. Rootkit tam olarak böyle bir şey. Adını duyan birçok kişi "virüs işte" diye geçiştirir ama aradaki fark, gece ile gündüz kadar belirgin.
Normal zararlı yazılımlar sisteme zarar verip ortaya çıkmayı sever, rootkit ise tam tersine görünmez kalır.
Amacı sistemi ele geçirmek değil, ele geçirdiğini asla fark ettirmemektir.
Neden Bu Kadar Özel?
Herhangi bir malware sisteme girince kendini belli eder.
Örnek verirsek
-Dosya kaybolur
-Sistem yavaşlar
-Garip pencereler açılır
Vb.
Rootkit ise tam tersine "burada hiçbir şey yok" illüzyonu yaratıyor. Sistem yöneticisi bile olsanız, o anda kontrol ettiğinizi sandığınız makine aslında başkasının elinde.
Şimdi düşünelim ki
Evinizin anahtarlarını birine verdiniz,
Örnek verelim
O kişi içeride dolaşıyor, eşyalarınıza bakıyor, hatta bazen sizin yerinize komutlar veriyor ama siz hiçbir şey fark etmiyorsunuz. İşte rootkit tam olarak bu.
Nasıl Çalışır Bu Şey?
Teknik detaylara boğmadan anlatmak gerekirse
Rootkit işletim sisteminin en temel katmanlarına yerleşiyor. Kernel seviyesine(yani işletim sisteminin beynine kadar iniyor)
Bu kısma gelince orada kendini
-Süreç listesi
-Dosya sistemin
-Ağ bağlantıları
Gibi yerlerden siliyor
Şimdi ise görev yöneticisi kısmına gelelim
Siz görev yöneticisine baktığınızda çalışan programları görürsünüz ama rootkit orada görünmez. Antivirüs taraması yaparsınız, temiz der. Çünkü artık antivirüsün gördüğü şeyi rootkit filtreliyor.
Bir örnekle açalım
Farz edin ki banka hesabınıza girmek için bilgisayarınızı açtınız. Klavyeden bastığınız her tuş normalde işletim sistemine gider, oradan ilgili programa.
Ama araya girmiş bir rootkit varsa o tuş vuruşları
-Önce kötü niyetli bir yere kopyalanır
-Sonra normal akışına devam eder.
Siz şifrenizi girerken aslında kilometrelerce ötedeki birisi de aynı şifreyi görüyor olabilir. Ve siz bunu anlamanız imkansız çünkü bilgisayarınız gayet normal çalışıyor gibi görünür.
Türleri Nelerdir?
User-mode rootkitler var, bunlar daha basit seviyede çalışıyor. Sistemi manipüle eder, dosyaları gizler ama tam anlamıyla görünmez değildir. Daha derin taramalarla yakalanabilir.
Kernel-mode rootkitler ise işin profesyonel versiyonu. İşletim sisteminin çekirdeğine yerleşir. Artık o sistemde "gerçeklik" nedir, rootkit karar verir. Antivirüs yazılımı çalıştırdığınızda, rootkit ona "her şey yolunda" raporu verir. Bu seviyeye inen bir rootkiti tespit etmek, içeriden dışarıya bakmadan neredeyse imkansızdır.
Bir de donanım seviyesindekiler var. UEFI firmware'ine yerleşen rootkitler
Örnek
-Format atsanız bile silinmez
-İşletim sistemi değişse bile kalır.
-Anakart değiştirmeden kurtulmanız mümkün olmaz.
Bunlar nadirdir ama var olduklarını bilmek gerekiyor.
Nereden Gelir Bu Tehdit?
En yaygın yol
Başka bir zararlı yazılımın getirmesidir. Bir trojan indirirsiniz, o sisteme girer, sonra asıl işi yapacak olanı çağırır ve rootkiti kurar.
Bazen de exploit kitleri kullanılır.
Ziyaret ettiğiniz normal görünümlü bir web sitesi, tarayıcınızdaki açığı kullanarak sessizce kurulum yapabilir.
(Buradanda her web sitesinin güvenli olmadığını anlamak gerek)
Fiziksel erişim olan senaryolar daha tehlikeli
Bilgisayarınıza bir dakikalığına erişen birisi, özel hazırlanmış bir USB ile saniyeler içinde kalıcı bir arka kapı (en çok bilinen tabirle backdoor) bırakabilir. Sonra o kişi gider, siz hiçbir şey fark etmezsiniz.
Tespit Etmek Mümkün Mü?
İşte asıl mesele burada başlıyor
Eğer rootkit iyi yazılmışsa ve kernel seviyesindeyse, o sistemin kendi araçlarıyla kendini tespit etmesi imkansızdır. Çünkü gördüğünüz her şey zaten rootkitin size göstermek istediğidir. Bunun için harici yöntemler gerekir. Bağımsız bir işletim sistemiyle,
Örneğin
Bir linux dağıtımıyla sistemi başlatıp, o an çalışmayan hedef diski incelemek gerekir. Offline tarama denir buna. Çalışan sistemi değil, uyuyan haldeki dosyaları incelersiniz.
Bazı davranışsal analizler de işe yarar
-Ağ trafiğinde anormal bir şey var mı?
-Bellek kullanımında açıklanamayan alanlar var mı?
Donanım seviyesindeki rootkitler için ise firmware kontrolleri şart.
Kurtulmak Var mı?
Gelelim en merak edilen kısıma
User-mode rootkitler için temizlik mümkün. Özel araçlar, derin taramalar işe yarayabilir. Ama kernel seviyesine inmişse, güvenilir kaynaklardan alınmış temiz bir işletim sistemi imajıyla format atmak en mantıklısı. Belki temizlerim diye uğraşmak, sistemin hala ele geçirilmiş olma riskini taşır.
UEFI seviyesindeyse işler karışıyor. Firmware güncellemesi yapmak, hatta anakart değiştirmek gerekebilir. Bu nedenle önlem her zaman önemli.
Peki Nasıl Korunulur?
İlk kural
Her şeyi güncel tutmaktır.
-İşletim sistemi
-Tarayıcı
-Firmware
Her güncelleme bir önceki açığı kapatır.
İkincisi
Bilinmeyen kaynaklardan hiçbir şey indirmemektir.
Üçüncüsü
Fiziksel erişimi kısıtlamaktır. Bilgisayarınızı kilitsiz bırakmayın, güvenmediğiniz USB bellekleri takmayın.
Secure boot kısmına gelecek olursak
Secure Boot özelliğini açmak, imzasız kernel modüllerinin yüklenmesini engeller. Bu, modern işletim sistemlerinin sunduğu önemli bir kalkandır. Ayrıca düzenli olarak offline yedek almak, başınıza bir şey geldiğinde en azından verilerinizi kurtarmanızı sağlar.
Rootkit, siber güvenlik dünyasının gizli ajanıdır. Sessizce gelir, sessizce bilgilerinizi alır gider. Fark edilmemek üzerine kurulu bir stratejisi vardır.
Bu yüzden
-Farkında olmak
-Şüpheci olmak
-Önlem almak
en etkili unsurlardır.
