Rootkit'ler, teknik olarak en gelişmiş kötü niyetli kod (kötü amaçlı yazılım kodu) ve keşfedilmesi ve ortadan kaldırılması en zorlarından biri olarak adlandırılabilir. Tüm kötü amaçlı yazılım türlerinden muhtemelen virüsler ve solucanlar en fazla reklamı yapar, çünkü bunlar genellikle yaygındır. Birçok insanın bir virüs veya solucan tarafından etkilendiği bilinmektedir, ancak bu kesinlikle virüslerin ve solucanların en yıkıcı çeşitlilikteki kötü amaçlı yazılım olduğu anlamına gelmez. Daha tehlikeli kötü amaçlı yazılım türleri vardır, çünkü gizli modda çalıştıkları bir kural olarak, tespit etmek ve kaldırmak zordur ve çok uzun süre fark edilemez, sessizce erişim kazanır, verileri çalar ve kurbanın makinesindeki dosyaları değiştirebilirler. .
Bu kadar gizli bir düşmanın bir örneği rootkit'lerdir - kurulum için kullanılabilecek sisteme yönetici düzeyinde erişim sağlamak için çalıştırılabilir programları, hatta işletim sisteminin çekirdeğini değiştirebilen veya değiştirebilen bir araç koleksiyonu casus yazılım, keylogger ve diğer zararlı araçlar. Temel olarak, bir rootkit saldırganın kurbanın makinesine (ve makinenin ait olduğu tüm ağa) tam erişim sağlamasına izin verir. Önemli bir kayba / hasara neden olan bir kök setinin bilinen kullanımlarından biri, Valve'ın Half-Life 2: Source oyun motorunun kaynak kodunun çalınmasıydı.
Rootkit'ler yeni bir şey değil - yıllardır etraftalar ve çeşitli işletim sistemlerini (Windows, UNIX, Linux, Solaris, vb.) Etkilediği bilinmektedir. Kamunun kendilerine dikkatini çeken rootkit olaylarının bir ya da iki toplu olayı olmasaydı (Bkz. Ünlü Örnekler bölümü), küçük bir güvenlik uzmanları çemberi dışında yine farkındalıktan kaçmış olabilirler. Bugün itibariyle, rootkitler diğer zararlı yazılım biçimleri kadar yaygın olmadıklarından tüm yıkıcı potansiyellerini açığa çıkarmamışlardır. Ancak, bu biraz rahatlık olabilir.
Rootkit Mekanizmaları Maruz Kaldı
Truva atlarına, virüslere ve solucanlara benzer şekilde, rootkitler, genellikle kullanıcı etkileşimi olmadan ağ güvenliği ve işletim sistemindeki kusurları kullanarak kendilerini yükler. E-posta eki olarak veya yasal bir yazılım programları içeren bir pakette gelebilecek rootkitler olsa da, kullanıcı eki açana veya programı yükleyene kadar zararsızdır. Ancak, daha az karmaşık kötü amaçlı yazılım biçimlerinin aksine, rootkitler işletim sistemine çok derin sızar ve varlığını gizlemek için özel çaba gösterir - örneğin, sistem dosyalarını değiştirerek.
Temel olarak, iki tür rootkit vardır: çekirdek seviyesi rootkitleri ve uygulama seviyesi rootkitleri. Çekirdek düzeyinde kök dizileri, işletim sisteminin çekirdeğine kod ekler veya bunları değiştirir. Bu, bir saldırganın varlığını gizlemek için sistem çağrılarını değiştiren bir aygıt sürücüsü veya yüklenebilir bir modül takılarak elde edilir. Bu nedenle, günlük dosyalarına bakarsanız, sistem üzerinde hiçbir şüpheli etkinlik görmezsiniz. Uygulama düzeyinde rootkit'ler daha az karmaşıktır ve genellikle işletim sisteminin kendisinden ziyade uygulamaların çalıştırılabilirlerini değiştirdikleri için tespit edilmesi kolaydır. Windows 2000, yürütülebilir bir dosyanın her değişikliğini kullanıcıya bildirdiğinden, saldırganın fark edilmemesini zorlaştırır.
Rootkit'ler Neden Risk Oluşturuyor?
Rootkit'ler arka kapı görevi görebilir ve genellikle görevlerinde yalnız değillerdir - genellikle casus yazılım, truva atları veya virüsler eşlik eder. Rootkit'in amaçları, bir başkasının bilgisayarına nüfuz etmenin basit kötü niyetli neşesinden (ve yabancı mevcudiyet izlerini gizlemekten), gizli verilerin gizli olarak elde edilmesi için bütün bir sistemin kurulmasına (Half of the örneğinde olduğu gibi kredi kartı numaraları veya kaynak kodu) kadar değişebilir. -Yaşam 2).
Genel olarak, uygulama düzeyinde rootkit'ler daha az tehlikelidir ve tespit edilmesi kolaydır. Ancak, mali durumunuzu takip etmek için kullandığınız program bir rootkit tarafından “yamalı” hale gelirse, parasal kayıp önemli olabilir - yani bir saldırgan kredi kartı verilerinizi birkaç öğe satın almak için kullanabilir ve eğer kullanmazsanız, Kredi kartı bakiyenizin vadesinde şüpheli hareket ettiğini fark etmeyin, parayı bir daha asla göremeyeceksiniz.
Çekirdek düzeyindeki kök dizinlerle karşılaştırıldığında, uygulama düzeyindeki kök diziler tatlı ve zararsız görünür. Neden? Çünkü teoride, çekirdek düzeyinde bir rootkit tüm kapıları bir sisteme açar. Kapılar açıldığında, diğer kötü amaçlı yazılım biçimleri sisteme girebilir. Bir çekirdek seviyesi rootkit enfeksiyonuna sahip olmak ve kolayca tespit edip kaldıramamak (veya bir sonraki göreceğimiz gibi), başkasının bilgisayarınız üzerinde tam kontrol sahibi olabileceği ve istediği şekilde kullanabileceği anlamına gelir - örneğin, diğer makinelere bir saldırı başlatmak, saldırının bilgisayarınızdan kaynaklandığı izlenimini vererek başka bir yerden değil.
Kök Kitlerinin Tespiti ve Çıkarılması
Diğer kötü amaçlı yazılım türlerinin algılanması ve kaldırılması kolay değildir, ancak çekirdek düzeyinde kök setleri belirli bir felakettir. Bir anlamda, bu bir Catch 22'dir - bir rootkit'iniz varsa, o zaman anti-rootkit yazılımının ihtiyaç duyduğu sistem dosyalarının değiştirilmesi muhtemeldir ve bu nedenle kontrolün sonuçlarına güvenilmez. Dahası, bir rootkit çalışıyorsa, dosya listesini veya antivirüs programlarının güvendiği çalışan işlemlerin listesini başarıyla değiştirebilir, böylece sahte veriler sağlar. Ayrıca, çalışan bir rootkit antivirüs programı işlemlerini bellekten kaldırabilir ve böylece uygulamanın beklenmedik şekilde kapanmasına veya sonlandırılmasına neden olabilir. Bununla birlikte, bunu yaparak dolaylı olarak varlığını gösterir, böylece bir şey ters gittiğinde, özellikle de sistem güvenliğini sağlayan yazılımla şüphelenilebilir.
Kök setinin varlığının tespit edilmesi için önerilen bir yöntem, temiz olduğu bilinen alternatif bir ortamdan (yani bir yedekleme veya kurtarma CD-ROM'u) önyükleme yapmak ve şüpheli sistemi kontrol etmektir. Bu yöntemin avantajı, rootkit'in çalışmayacağına (bu nedenle kendini gizleyemeyeceğine) ve sistem dosyalarının aktif olarak tahrif edilmemesidir.
Rootkit'leri tespit etmenin (ve çıkarmayı denemenin) yolları vardır. Bir yol, geçerli sistem dosyalarını parmak izlerini karşılaştırmak için orijinal sistem dosyalarının temiz MD5 parmak izlerinin olmasını sağlamaktır. Bu yöntem çok güvenilir değil, hiç yoktan iyidir. Bir çekirdek hata ayıklayıcısını kullanmak daha güvenilirdir, ancak işletim sistemi hakkında derinlemesine bilgi gerektirir. Sistem yöneticilerinin çoğu bile, özellikle Marc Russinovich'in RootkitRevealer'i gibi rootkit tespiti için ücretsiz iyi programlar olduğunda nadiren başvurur. Onun sitesine giderseniz, programın nasıl kullanılacağına dair ayrıntılı talimatlar bulacaksınız.
Bilgisayarınızda bir rootkit tespit ederseniz, bir sonraki adım ondan kurtulmaktır (söylenenden daha kolay). Bazı rootkit'lerde, tüm işletim sistemini de kaldırmak istemediğiniz sürece kaldırma bir seçenek değildir! En belirgin çözüm - hayati sistem dosyaları söz konusu olduğunda virüslü dosyaları silmek (hangilerinin tam olarak gizlendiğini bilmeniz şartıyla) kesinlikle uygulanamaz. Bu dosyaları silerseniz, muhtemelen Windows'u bir daha asla başlatamayacaksınız. UnHackMe veya F-Secure BlackLight Beta gibi birkaç rootkit kaldırma uygulamasını deneyebilirsiniz, ancak zararlıları güvenle kaldırabilmek için bunlara fazla güvenmeyin.
Şok terapisi gibi gelebilir, ancak bir rootkit'i kaldırmanın kanıtlanmış tek yolu sabit diski biçimlendirmek ve işletim sistemini tekrar yüklemek (tabii ki temiz bir kurulum ortamından!). Kök setini nereden edindiğinize dair bir ipucunuz varsa (başka bir programda toplandı mı veya birileri size e-posta yoluyla mı gönderdi?), Enfeksiyon kaynağını tekrar çalıştırmayı ya da canlandırmayı bile düşünmeyin!
Rootkitlerin Ünlü Örnekleri
Rootkit'ler yıllardır gizli bir şekilde kullanılıyor, ancak haber başlıklarında göründüğü zaman geçen yıla kadar. Kullanıcının makinesine bir rootkit yükleyerek yetkisiz CD kopyalamayı koruyan Dijital Hak Yönetimi (DRM) teknolojisine sahip Sony-BMG örneği, sert eleştirilere neden oldu. Davalar ve ceza soruşturması vardı. Sony-BMG, davalarına göre CD'lerini mağazalardan çekmek ve satın alınan kopyaları temiz kopyalarla değiştirmek zorunda kaldı. Sony-BMG, Sony'nin sitesine özel veri göndermek için de kullanılan kopya koruma programının varlığını gizlemek amacıyla gizlice sistem dosyalarını gizlemekle suçlandı. Program kullanıcı tarafından kaldırıldıysa, CD sürücüsü çalışmaz hale geldi. Aslında, bu telif hakkı koruma programı tüm gizlilik haklarını ihlal etti, bu tür kötü amaçlı yazılımlar için tipik olan yasadışı teknikleri kullandı ve hepsinden öte, kurbanın bilgisayarını çeşitli saldırı türlerine karşı savunmasız bıraktı. Sony-BMG gibi büyük bir şirketin ilk önce kibirli bir yoldan gitmesi normaldi ve çoğu insan bir rootkit'in ne olduğunu bilmeseydi ve neden bir tane aldıklarını umursuyorlardı. Eh, Sony'nin kök seti hakkında zili çalan ilk kişi olan Mark Roussinovich gibi adamlar olmasaydı, hile işe yarayabilirdi ve bir şirketin entelektüel savunması iddiasıyla suçlanan milyonlarca bilgisayara virüs bulaşırdı. özellik, mal mülk, emlak!
Sony'deki gibi, fakat İnternete bağlanmak gerekli olmadığında, Norton SystemWorks'ün durumu söz konusudur. Her iki vakanın da etik veya teknik açıdan karşılaştırılamayacağı doğrudur çünkü Norton'un rootkit (veya rootkit benzeri teknoloji), Windows sistem dosyalarını Norton Protected Recycle Bin'e uyması için değiştirirken, Norton kısıtlamak için kötü niyetli niyetlerle suçlanabilir Sony'de olduğu gibi kullanıcı hakları veya rootkit'ten yararlanmak. Gizlemenin amacı, herkesten (kullanıcılar, yöneticiler vb.) Ve her şeyden (diğer programlar, Windows'un kendisi) kullanıcıların sildiği ve daha sonra bu yedek dizinden geri yüklenebilen bir yedekleme dizinini gizlemekti. Korumalı Geri Dönüşüm Kutusu'nun işlevi, önce silinen hızlı parmaklara karşı bir güvenlik ağı daha eklemek ve ardından doğru dosyaları silip silmediklerini düşünerek Geri Dönüşüm Kutusu'ndan silinmiş dosyaları geri yüklemek için ek bir yol sağlamaktı. veya Geri Dönüşüm Kutusu'nu atlamış olan).
Bu iki örnek, en şiddetli rootkit aktivitesi vakaları değildir, ancak söz konusu vakalara dikkat çekerek, bütünüyle kök kitlelere kamuoyu ilgisi çekildiğinden bahsetmeye değerdir. Umarım, şimdi daha fazla insan sadece bir rootkit'in ne olduğunu bilmekle kalmaz, aynı zamanda bir tanesine sahip olup olmadıklarını önemser ve onları tespit edip kaldırabilir!
