- Katılım
- 24 May 2020
- Mesajlar
- 1,952
- Tepkime puanı
- 91
- Puanları
- 45
İtibar:
Rootkit (kök kullanıcı takımı) tespit edilmesi ve sistemden kaldırılması oldukça zor olan bir kötü amaçlı yazılımdır. Rootkit yetkisiz erişim sağlamaktan izinsiz dosya çalıştırmaya kadar her türlü istenmeyen işe öncülük edebilir. Saldırganlar bu kötü amaçlı yazılımı kullanarak sisteminize müdahale etmeyi amaçlarlar.
Gelmiş geçmiş en tehlikeli rootkit Stuxnet olarak bilinir. Stuxnet, ABD ve İsrail ortaklığında geliştirilmiş ve İran'ın nükleer tesislerini hedef almıştır. Ancak Stuxnet hedefini yerine getirdikten sonra kontrolden çıkmıştır. Rootkit geçmişten günümüze doğru gelişimini hızlı bir şekilde sürdürür.
Rootkit geliştirilme durumuna göre çok farklı işlevlere sahip olabilir. Bazıları güvenlik yazılımlarının kendilerini fark edememesini sağlayacak şekilde kodlanırlar. Bu sayede bir sistemde yıllarca kalabilirler. Bazıları ise silinseler bile geri gelecek şekilde işlev gösterebilirler.
Rootkit genel olarak diğer kötü amaçlı yazılımları korur. Kötü niyetli bir programın fark edilmeden hareket etmesini sağlar. Böylece siber saldırı gerçekleştiren kişi öncü hareketini gerçekleştirip saldırıyı başlatmış olur. Kötü amaçlı yazılım rootkit korumasında olacağından silinse bile geri gelebilir.
Bilgisayarınızda bir rootkit olduğundan şüphelenmeniz durumunda sisteminizin davranışlarını kontrol etmelisiniz. Bu sayede bazı ipuçları yakalayabilirsiniz. Sistem aşırı yavaş çalışıyorsa ve bazı işlemler düzgünce yapılamıyorsa bir güvenlik yazılımıyla kötü amaçlı yazılım taraması yapabilirsiniz.
Buna engel olabilmek için önyükleme taraması yapmanız gerekir. Modern güvenlik yazılımlarında yer alan bu özellik sayesinde sisteminiz başlatma esnasında taramaya alınır ve rootkit tespit edilebilir. Önyükleme sırasında aktif hale gelmeyen pek çok rootkit bu şekilde etkisiz hale getirilebilir.
Sisteminizde bir rootkit varsa ve onu kaldırmak istiyorsanız en son denemeniz gereken yöntem budur. Diğer yöntemlerin çözüm olmadığı bir durumda başka çareniz olmayacaktır. Rootkit sistemden tamamen silinmezse size tekrar sorun çıkarabilecek bir kötü amaçlı yazılımdır.
Gelmiş geçmiş en tehlikeli rootkit Stuxnet olarak bilinir. Stuxnet, ABD ve İsrail ortaklığında geliştirilmiş ve İran'ın nükleer tesislerini hedef almıştır. Ancak Stuxnet hedefini yerine getirdikten sonra kontrolden çıkmıştır. Rootkit geçmişten günümüze doğru gelişimini hızlı bir şekilde sürdürür.
Rootkit ne anlama gelir?
Rootkit, kötü niyetli kişilerin bir bilgisayarın veya bilgisayar ağının kontrolünü ele geçirme konusunda yardımcı olan kötü amaçlı bir yazılımdır. Etkinleştirildiği zaman diğer kötü amaçlı yazılımların sisteme yerleşebilmesini sağlar. Trojan ve fidye yazılımları bulaştırılmak istenen en yaygın tehditlerdir.Rootkit geliştirilme durumuna göre çok farklı işlevlere sahip olabilir. Bazıları güvenlik yazılımlarının kendilerini fark edememesini sağlayacak şekilde kodlanırlar. Bu sayede bir sistemde yıllarca kalabilirler. Bazıları ise silinseler bile geri gelecek şekilde işlev gösterebilirler.
- Firmware rootkit: Firmware rootkit işletim sistemi başlatılmadan hemen önce devreye girer. Önyükleme adı verilen noktada devreye girmesi belirli donanım bileşenlerine ait yazılımların parçası olabilmesiyle mümkündür. Diğerlerine göre çok daha kalıcıdır.
- Kernel rootkit: Kernel rootkit veya kernel mode rootkit, işletim sistemine yeni kod ekleyebilme becerisine sahiptir. İşletim sisteminde yer alan kodu silip düzenleyebilir. Oldukça karmaşık bir yapısı vardır. Güvenlik yazılımları tarafından tespit edilmesi daha kolaydır.
- Bootloader rootkit: Bootloader rootkit, işletim sistemiyle aynı anda çalışmaya başlar. MBR ile VBR adı verilen önyükleme kayıtlarını hedefler. Bu kayıtlardan birine eklendiği zaman güvenlik yazılımları tarafından tespit edilmesi oldukça zorlaşır.
- Virtualized rootkit: Virtualized rootkit sanallaştırılmıştır. Kernel rootkit gibi çalışır ve işletim sistemi açılmadan önce devreye girer. Bilgisayarın oldukça derin bölümlerinde yer alır. Tespit edilmeleri bir yana kaldırılmalı çok zordur.
- User rootkit: User rootkit aynı zamanda user mode rootkit olarak bilinir. Bu rootkit uygulamalar üzerinde değişiklik yapar. Kullanıcılara yanlış bilgiler gösterir ve varlıklarını gizlemek için ek eylemler gerçekleştirirler. Kaldırılmaları ise diğerlerine göre daha kolaydır.
- Memory rootkit: Memory rootkit diğer rootkit türlerine göre biraz daha kısa ömürlüdür. RAM tamamen temizlenene kadar ona bağlı kalmaya devam eder. Aktif olduğunda ise sistemin kaynaklarını tüketerek bilgisayarın performansını olumsuz etkiler.
Rootkit neden kullanılır?
Rootkit bir sisteme bulaştırıldıktan sonra genel olarak bilgisayarın işletim sistemiyle aynı anda veya önyükleme işlemi sırasında devreye girer. Genel olarak davranışı bu şekilde olsa bile hedef işletim sisteminden önce başlatılabilen türleri vardır. Rootkit kullanmanın amacı ise çok çeşitli olabilir:- Kötü amaçlı yazılımları gizleme: Rootkit sayesinde saldırganlar hedef bilgisayara kötü amaçlı yazılım yükleyebilirler. Kötü amaçlı yazılımlar kendilerini kullanıcılardan ve güvenlik yazılımlarından gizlenecek şekilde işleyiş gösterebilirler.
- Bilgi hırsızlığı yapma: Rootkit sayesinde yüklenen kötü amaçlı yazılımlar tespit edilmedikleri sürece kullanıcı bilgilerini, kredi kartı bilgilerini ve hassas verileri çalmak için kullanılırlar. Rootkit olmaması durumunda bu yazılımların tespit edilmesi kolaylaşır.
- Dosya silme: Rootkit yapısına göre işletim sisteminin içerisindeki kodları değiştirebilirler. Bunu yapabildikleri için aynı zamanda diğer sistem dosyalarına müdahale edebilirler. Dosyaları planladıkları gibi değiştirdiklerinden oldukça tehlikelidirler.
- Gizlice dinleme: Saldırı yapan kişiler rootkit kullanarak kullanıcıları gizlice dinleme yoluna gidebilirler. Gizlice dinleme sayesinde kullanıcı bilgileri dahil olmak üzere pek çok farklı gizli bilginin ele geçirilmesi mümkündür.
- Dosya çalıştırma: Rootkit bir güvenlik yazılımının çalışma prensibini bozduktan sonra çeşitli dosyaların uzaktan çalıştırılması mümkün hale gelir. Saldırganlar diledikleri dosyaları uzaktan çalıştırma fırsatı elde ederek sisteme istedikleri müdahaleyi gerçekleştirebilirler.
- Uzaktan erişim tanıma: Rootkit güvenlik duvarı ayarlarında değişiklik yapabilme potansiyeline sahiptir. TCP bağlantı noktalarını açabilir ve komut dosyalarına müdahale edebilir. Saldırganlar uzaktan erişim sağlarlar ve sistemi bir botnet ile bağlantılı hale getirebilirler.
Rootkit nasıl tespit edilir?
Rootkit kolay tespit edilemez. Bilgisayarınızda rootkit olduğundan şüphe duyabilir hatta bundan emin olabilirsiniz. Rootkit standart kullanıcılar tarafından tespit edilemez. Ek güvenlik yazılımı kullanmak şarttır. En önemlisi kullanılacak olan güvenlik yazılımının gelişmiş özelliklere sahip olması gerekir.Rootkit genel olarak diğer kötü amaçlı yazılımları korur. Kötü niyetli bir programın fark edilmeden hareket etmesini sağlar. Böylece siber saldırı gerçekleştiren kişi öncü hareketini gerçekleştirip saldırıyı başlatmış olur. Kötü amaçlı yazılım rootkit korumasında olacağından silinse bile geri gelebilir.
Bilgisayarınızda bir rootkit olduğundan şüphelenmeniz durumunda sisteminizin davranışlarını kontrol etmelisiniz. Bu sayede bazı ipuçları yakalayabilirsiniz. Sistem aşırı yavaş çalışıyorsa ve bazı işlemler düzgünce yapılamıyorsa bir güvenlik yazılımıyla kötü amaçlı yazılım taraması yapabilirsiniz.
Rootkit nasıl kaldırılır?
Rootkit işletim sisteminin temeline müdahale edebileceği için yerleşik güvenlik yazılımları onu tespit edebilmek için yetersiz kalabilir. Sisteminizi korumak için daha geniş kapsamlı güvenlik yazılımları kullanmayı düşünebilirsiniz. Böylece gelecekteki tehditlere karşı önlem alabilirsiniz.1. Bulaşmaması için çaba gösterin
Rootkit gibi bir kötü amaçlı yazılımla uğraşmak istemiyorsanız en iyi yöntem bulaşmaması için çaba göstermektir. Sisteminizi korumak istiyorsanız online ortamda güvenli bir şekilde gezinme konusunda elinizden geleni yapmalısınız. Böylece kötü amaçlı yazılımlardan uzak durmanız söz konusu olabilir.- Bilinmeyen dosyaları açmayın: Güvenilir olmayan kaynaklardan gelen dosyaları açmayın. Dosyayı açmanız şart ise dikkatlice inceleyin ve bir phishing saldırısından korunun.
- Güvenilir kaynaklara yönelin: Bir yazılım veya uygulama indirmeniz gerekiyorsa güvenilir kaynakları seçin. Doğrudan üreticinin veya yayıncının sitesini kullanmaya çalışın.
- Sistem güncellemelerini ihmal etmeyin: Sistem güncellemeleri çeşitli güvenlik açıklarını kapatılmasına yardımcı olurlar. Sisteminiz zarar görmeden önce onları yükleyin.
2. Önyükleme taraması yapın
Rootkit kendini gizlemek için çok farklı yöntemler kullanır. İşletim sistemini çalıştırdığınız zaman cihazda bulunan rootkit güvenlik yazılımların standart taramalarından sıyrılabilir. Bunu yapabilmek için bilgi akışını değiştirme yoluna giderek dosyayı taramadan uzak tutar.Buna engel olabilmek için önyükleme taraması yapmanız gerekir. Modern güvenlik yazılımlarında yer alan bu özellik sayesinde sisteminiz başlatma esnasında taramaya alınır ve rootkit tespit edilebilir. Önyükleme sırasında aktif hale gelmeyen pek çok rootkit bu şekilde etkisiz hale getirilebilir.
3. İşletim sistemini yeniden yükleyin
Rootkit gibi bir kötü amaçlı yazılımdan kurtulmak kolay değildir. Verilerinizin bir yedeği varsa işletim sistemini tamamen kaldırıp temiz bir kurulum gerçekleştirin. Diskte yer alan verileri tamamen silmeniz önemlidir. Çünkü rootkit yeniden aktif hale gelecek şekilde tasarlanmış olabilir.Sisteminizde bir rootkit varsa ve onu kaldırmak istiyorsanız en son denemeniz gereken yöntem budur. Diğer yöntemlerin çözüm olmadığı bir durumda başka çareniz olmayacaktır. Rootkit sistemden tamamen silinmezse size tekrar sorun çıkarabilecek bir kötü amaçlı yazılımdır.