Rootkit tanımı ve anlamı
Rootkit, bilgisayar korsanlarının hedef cihaza erişmesini ve bu cihazı kontrol etmesini sağlamak için tasarlanmış bir kötü amaçlı yazılım türüdür. Çoğu rootkit, yazılımları ve işletim sistemlerini etkiler. Ancak bazıları bilgisayarınızın donanımını ve aygıt yazılımını da etkileyebilir. Rootkit’ler varlıklarını gizlemede uzmandır ancak gizli kaldıkları süre boyunca etkinliklerine devam ederler.
Bilgisayarlara yetkisiz erişim elde ettikten sonra, rootkit’ler siber suçluların kişisel verileri ve finansal bilgileri çalmalarına, kötü amaçlı yazılımlar yüklemelerine veya bilgisayarları bir botnet'in parçası olarak kullanmalarına olanak sağlar ve suçlular böylece spam'leri dolaşıma sokabilir ve cihazları DDoS (dağıtılmış hizmet reddi) saldırıları için kullanabilir.
“Rootkit” adı, en ayrıcalıklı hesap yöneticisinin "kök" olarak adlandırdığı Unix ve Linux işletim sistemlerinden gelir. Cihaza, yetkilendirilmemiş kök veya yönetici düzeyinde erişime izin veren uygulamalar "kit" olarak bilinir.
Rootkit nedir?
Rootkit, siber suçlular tarafından bir hedef bilgisayar veya ağ üzerinde kontrolü ele geçirmek için kullanılan yazılımlardır. Rootkit bazen tek bir yazılım parçası olarak görünebilir ancak genellikle korsanların hedef cihaz üzerinde yönetici düzeyinde kontrol sağlamasına olanak tanıyan bir dizi araçtan meydana gelir.
Bilgisayar korsanları hedef makinelere rootkit'ler yüklemek için çeşitli yöntemler kullanır:
- En sık kullanılan yöntem kimlik avı veya başka bir sosyal mühendislik saldırısı türü aracılığıyla saldırı gerçekleştirmektir. Kurbanlar, makinelerinde çalışan diğer işlemlerde gizlenen ve korsanlara neredeyse tüm işletim sistemi özelliklerinin kontrolünü veren kötü amaçlı yazılımları farkında olmadan indirip yükleyebilir.
- Bir diğer yöntem de, yazılımdaki veya güncelleştirilmemiş bir işletim sistemindeki bir güvenlik açığından yararlanarak rootkit'i bilgisayara sızdırmaktır.
- Kötü amaçlı yazılımlar ayrıca virüslü PDF'ler, korsan medya dosyaları veya şüpheli üçüncü taraf mağazalardan alınan uygulamalar gibi dosyaların içinde de gelebilir.
Rootkit'ler işletim sisteminin çekirdeğinin yakınında veya içinde çalışır ve bu da onlara bilgisayarda komutlar başlatma olanağı sağlar. İşletim sistemi kullanan her cihaz, rootkit’ler için potansiyel bir hedeftir. Nesnelerin İnterneti ilerledikçe buzdolabı veya termostat gibi ürünler de rootkit’lerin hedefi olabilir.
Rootkit'ler, tuş vuruşlarını onayınız olmadan yakalayan tuş kaydedicilerini gizleyebilir. Bu, siber suçluların kredi kartı veya çevrimiçi bankacılık bilgileri gibi kişisel bilgilerinizi çalmasını kolaylaştırır. Rootkit'ler, bilgisayar korsanlarının bilgisayarınızı kullanarak DDoS saldırıları başlatmasına veya spam e-posta göndermesine olanak tanır. Hatta güvenlik yazılımlarını devre dışı bırakabilir veya kaldırabilirler.
Bazı rootkit'ler yasal amaçlarla kullanılır; örneğin, uzaktan BT desteği sağlamak veya kanun uygulayıcılara yardımcı olmak. Ancak çoğunlukla kötü amaçlı olarak kullanılırlar. Rootkit'leri bu kadar tehlikeli kılan, çok çeşitli kötü amaçlı yazılım türleri dağıtabilecek olmalarıdır. Bu tür yazılımlar, bilgisayarın işletim sistemini değiştirebilir ve uzak kullanıcılara yönetici erişimi sağlayabilir.
Rootkit Türleri
1. Donanım veya aygıt yazılımı rootkit'i
Donanım veya aygıt yazılımı rootkit'leri sabit sürücünüzü, yönlendiricinizi veya bilgisayarınızın anakartındaki küçük bir bellek yongasında yüklü olan sisteminizin BIOS'unu etkileyebilir. Rootkit’ler, algılanması zor olan kötü amaçlı yazılımları yüklemek için doğrudan işletim sisteminiz yerine cihazınızın aygıt yazılımını hedef alır. Donanımı etkiledikleri için korsanların tuş vuruşlarınızı kaydetmesi ve çevrimiçi etkinliklerinizi izlemesi mümkün olur. Diğer türlerden daha az yaygın olsa da, donanım veya aygıt yazılımı rootkit'leri çevrimiçi güvenlik açısından ciddi bir tehdit oluşturur.
2. Önyükleme rootkit'i
Önyükleme mekanizması, işletim sisteminin bilgisayara yüklenmesinden sorumludur. Önyükleme rootkit'ler, bilgisayarınızın gerçek önyükleyicisini korsan bir önyükleyiciyle değiştirerek bu sisteme saldırır. Böylece bilgisayarınızın işletim sistemi tamamen yüklenmeden önce bile rootkit etkinleştirilmiş olur.
3. Bellek rootkit'i
Bellek rootkit'leri bilgisayarınızın rasgele erişim belleğinde (RAM) gizlenir ve arka planda kötü amaçlı etkinlikler gerçekleştirmek için bilgisayarınızın kaynaklarını kullanır. Bellek rootkit'leri bilgisayarınızın RAM performansını etkiler. Bunlar yalnızca bilgisayarınızın RAM'inde bulundukları ve kalıcı kod eklemedikleri için sistemi yeniden başlattığınızda bellek rootkit'leri kaybolur. Ancak bazen bunlardan kurtulmak için daha fazla işlem yapılması gerekir. Kısa kullanım ömürlerinden dolayı genellikle önemli bir tehdit olarak algılanmazlar.
4. Uygulama rootkit'i
Uygulama rootkit'leri, bilgisayarınızdaki standart dosyaları rootkit dosyalarıyla değiştirir. Standart uygulamaların çalışma şeklini bile değiştirmeleri mümkündür. Bu rootkit'ler Microsoft Office, Notepad veya Paint gibi programlara bulaşır. Saldırganlar, bu programları her çalıştırdığınızda bilgisayarınıza erişebilir. Rootkit bulaşan programlar hala normal çalıştığından, kullanıcıların bunu algılaması zordur. Ancak antivirüs programları her ikisi de uygulama katmanında çalıştığından bunları algılayabilir.
5. Çekirdek modu rootkit'leri
Çekirdek modu rootkit'leri, işletim sisteminizin çekirdeğini (yani çekirdek düzeyini) hedeflediği için bu tehdidin en ciddi türlerinden biridir. Bilgisayar korsanları bu dosyaları yalnızca bilgisayarınızdaki dosyalara erişmek için değil, kendi kodlarını ekleyerek işletim sisteminizin işleyişini değiştirmek için de kullanır.
6. Sanal rootkit'ler
Sanal bir rootkit, kendisini bilgisayarın işletim sisteminin altına yükler. Daha sonra, hedef işletim sistemlerini sanal makine olarak barındırır ve bu, orijinal işletim sistemi tarafından yapılan donanım çağrılarına müdahale edebilmesine olanak tanır. Bu tür bir rootkit, işletim sistemini değiştirmek için çekirdeği değiştirmek zorunda değildir ve tespit edilmesi çok zor olabilir.
Rootkit örnekleri
Stuxnet
Tarihin en kötü şöhrete sahip rootkit’lerinden biri olan Stuxnet, 2010 yılında keşfedilmiş ve 2005’ten beri geliştirilmekte olduğu düşünülen kötü amaçlı bir bilgisayar solucanıdır. Stuxnet, İran'ın nükleer programında ciddi hasara yol açmıştı. Hiçbir ülke sorumluluk kabul etmese de, Olimpiyat Oyunları olarak bilinen işbirliği çabasıyla ABD ve İsrail tarafından ortaklaşa oluşturulan bir siber silah olduğuna inanılıyor.
Diğer önemli rootkit örnekleri şunlardır:
Flame
2012 yılında siber güvenlik uzmanları tarafından, özelikle Orta Doğu'da siber casusluk için kullanılan Flame adlı bir rootkit keşfedildi. sKyWIper, Skywiper ve Flamer adlarıyla da bilinen Flame, bilgisayarın tüm işletim sistemini etkileyerek trafik izleme, ekran görüntüleri alma, ses kaydetme ve tuş basışlarını kaydetmeyi mümkün kılıyor. Flame'ın arkasındaki bilgisayar korsanları bulunamadı. Araştırmalara göre virüslü bilgisayarlara erişmek için üç kıtadaki 80 ayrı sunucu kullanılıyor.
Necurs
2012 yılında Necurs bir rootkit olarak ortaya çıktı ve bu yıl 83.000 bulaşma tespit edildiği bildiriliyor. Doğu Avrupa'daki elit siber suçlularla ilişkisi bulunan Necurs, teknik karmaşıklığı ve gelişim yeteneğiyle öne çıkıyor.
ZeroAccess
2011 yılında siber güvenlik uzmanları tarafından, dünya çapında 2 milyondan fazla bilgisayarı etkileyen bir çekirdek modu rootkit’i olan ZeroAccess keşfedildi. Bu rootkit, bulaştığı bilgisayarın işlevselliğini doğrudan etkilemek yerine ona kötü amaçlı yazılım indirip yükler ve siber saldırıları gerçekleştirmek için korsanların kullandığı dünya çapındaki botnet'in bir parçası haline getirir. ZeroAccess bugün halen etkin olarak kullanılıyor.
TDSS
TDSS rootkit’i ilk kez 2008 yılında algılandı. Önyükleyici rootkit'lere benzer, çünkü işletim sistemlerinin ilk aşamalarında yüklenir ve çalışır; bu da algılanmasını ve kaldırılmasını zorlaştırır.
Rootkit’leri tespit etme ve engelleme
Bu tür kötü amaçlı yazılımlar gizli kalmak üzere özel olarak tasarlandığından, bir bilgisayarda rootkit varlığını tespit etmek zor olabilir. Rootkit'ler de güvenlik yazılımlarını devre dışı bırakarak bu işi daha da zorlaştırabilir. Sonuç olarak, rootkit kötü amaçlı yazılımları bilgisayarınızda uzun süre kalarak önemli hasara neden olabilir.
Rootkit kötü amaçlı yazılımlarının olası belirtileri şunlardır:
1. Mavi ekran
Çok sayıda Windows hata mesajı veya beyaz metinli mavi ekranlar (bazen "ölümün mavi ekranı" olarak da anılır) çıkar ve bilgisayarınızın sürekli olarak yeniden başlatılması gerekir.
2. Olağandışı web tarayıcısı davranışı
Örneğin bilinmeyen yer imleri ortaya çıkabilir ya da bağlantılar yeniden yönlendirilebilir.
3. Cihaz performansında düşüş
Cihazınızın açılışı biraz zaman alabilir, yavaş çalışabilir veya sıklıkla donabilir. Ayrıca fare veya klavye girişlerine yanıt vermeyebilir.
4. Windows ayarlarının izniniz olmadan değişmesi
Örnek olarak, herhangi bir değişiklik yapmadığınız halde ekran koruyucunuzun değiştirilmesi, görev çubuğunun kendini gizlemesi veya yanlış tarih ve saat gösterilmesi verilebilir.
5. Web sayfalarının düzgün çalışmaması
Aşırı ağ trafiği nedeniyle web sayfaları veya ağ etkinlikleri kesintili görünür veya düzgün çalışmaz.
Rootkit taraması, bir rootkit bulaşmasını tespit etmenin en iyi yoludur ve antivirüs çözümünüz tarafından gerçekleştirilebilir. Bir rootkit virüsünden şüpheleniyorsanız, bulaşma olup olmadığını belirlemenin bir yolu bilgisayarı kapamak ve temiz olduğu bilinen bir sistemden tarama yapmaktır.
Başka bir rootkit tespit yöntemi de davranış analizidir. Bu, rootkit'i aramak yerine rootkit’lerin neden olduğu davranışların aranması anlamına gelir. Burada, sistem tuhaf davrandığında, buna yönelik yapılan taramalar işe yarayabilir ve bir davranış analizi sayesinde saldırı altına olduğunuzu fark etmeden önce uyarı alabilirsiniz.
Rootkit’lerden nasıl kurtulursunuz?
Bir rootkit'i kaldırmak karmaşık bir işlemdir ve genellikle TDSS rootkit'ini algılayıp kaldırabilen Kaspersky TDSSKiller yardımcı programı gibi özel araçlar gerekir. Bazen iyi gizlenmiş bir rootkit'i tamamen ortadan kaldırmanın tek yolu bilgisayarınızın işletim sistemini silmek ve sıfırdan yeniden yüklemektir.
Windows'tan rootkit kaldırma
Windows üzerindeki kaldırma işlemleri genellikle bir tarama işlemini içerir. Derin bir bulaşma söz konusuysa rootkit'i kaldırmanın tek yolu Windows'u yeniden yüklemektir. Bunu, yerleşik Windows yükleyicisini kullanmak yerine harici bir ortam aygıtı aracılığıyla yapmak daha iyidir. Bazı rootkit'ler BIOS'a bulaşır ve bunun onarılması gerekir. Onarımdan sonra rootkit temizlenemezse yeni bir bilgisayar edinmeniz gerekebilir.
Mac'ten rootkit kaldırma
Mac bilgisayarlarda yeni sürümleri güncel olarak takip edin. Mac güncellemeleri sadece yeni özellikler ekmekle kalmaz, aynı zamanda rootkit'ler de dahil olmak üzere kötü amaçlı yazılımları kaldırır. Apple, kötü amaçlı yazılımlardan korunmak için yerleşik güvenlik özelliklerine sahiptir. Ancak macOS ile birlikte geldiği bilinen bir rootkit detektörü yoktur. Bu nedenle aygıtınızda bir rootkit olduğundan şüpheleniyorsanız macOS'u yeniden yüklemeniz gerekir. Böylece makinenizdeki çoğu uygulamayla birlikte ve rootkit de kaldırılmış olur. Yukarıda belirtildiği gibi, rootkit BIOS'a bulaşmışsa bir onarım yapılması gerekir ve buna rağmen rootkit hala aygıttaki varlığını sürdürüyorsa yeni bir aygıt satın almanız gerekebilir.
Rootkit’leri engelleme
Rootkit'lerin algılanması tehlikeli ve zor olabileceği için internette gezinirken veya program indirirken dikkatli olmanız önemlidir. Bilgisayar virüslerinden korunmak için uygulanan koruyucu önlemlerin çoğu, rootkit riskinin en aza indirilmesine de yardımcı olacaktır:
1. Kapsamlı bir siber güvenlik çözümü kullanın
Cihazlarınızı koruma konusunda proaktif olun ve kapsamlı ve gelişmiş bir antivirüs çözümü yükleyin. Kaspersky Total Security, siber tehditlere karşı geniş çaplı bir koruma sunar ve rootkit taramaları yapabilmenizi sağlar.
2. Güncel kalın
Güvende kalmak ve bilgisayar korsanlarının size kötü amaçlı yazılım bulaştırmasını önlemek için yazılım güncellemelerinin sürekli yapılması çok önemlidir. Güvenlik açıklarından yararlanan rootkit saldırılarından kaçınmak için tüm programları ve işletim sisteminizi güncel tutun.
3. Kimlik avı dolandırıcılıklarına karşı tetikte olun
Kimlik avı, dolandırıcıların e-posta aracılığıyla kullanıcıları finansal bilgilerini vermeye veya rootkit gibi kötü amaçlı yazılımları indirmeye ikna etmeye çalıştıkları bir sosyal mühendislik saldırısı türüdür. Rootkit'lerin bilgisayarınıza sızmasını önlemek için, özellikle göndereni tanımıyorsanız, şüpheli e-postaları açmaktan kaçının. Bir bağlantının güvenilir olup olmadığından emin değilseniz bağlantıya hiç tıklamayın.
4. Yalnızca güvenilir kaynaklardan dosya indirin
Rootkit’lerin bilgisayarınıza yüklenmesini önlemek için ekleri açarken dikkatli olun ve tanımadığınız insanlardan gelen ekleri açmaktan kaçının. Yalnızca saygın sitelerden yazılım indirin. Web tarayıcınızın, ziyaret etmeye çalıştığınız bir web sitesinin güvenli olmadığını söyleyen uyarılarını göz ardı etmeyin.
5. Bilgisayarınızın davranışları veya performansı konusunda dikkatli olun
Davranışsal sorunlar, bir rootkit'in çalışmakta olduğunu gösterebilir. Beklenmeyen değişikliklere karşı tetikte olun ve bunların neden olduğunu bulmaya çalışın.
Rootkit'ler, bulmak ve kaldırmak açısından en zorlu kötü amaçlı yazılım türlerinden biridir. Tespit edilmesi zor oldukları için en iyi savunma genellikle baştan önlem almaktır. Sürekli koruma sağlamak için en son siber güvenlik tehditleri hakkında bilgi edinmeye devam edin.
İlgili Makaleler: