Home rootkit Rootkit Nedir? – Rootkit nasıl kaldırılır?

Rootkit Nedir? – Rootkit nasıl kaldırılır?

by erenakkus

Rootkit Nedir , bir programdır veya daha sık olarak, tehdit aktörüne bir bilgisayara veya başka bir sisteme uzaktan erişim ve denetim sağlayan bir yazılım araçları koleksiyonudur. Bu tür yazılımlar için uzaktan son kullanıcı desteği sağlamak gibi meşru kullanımlar olsa da, çoğu rootkit virüsler, fidye yazılımı, keylogger programları veya diğer kötü amaçlı yazılım türleri gibi kötü amaçlı yazılımları tanıtmak için kurban sistemlerinde bir arka kapı açar veya sistemi daha fazla ağ güvenliği saldırıları için kullanır. Kök kullanıcı takımları genellikle kötü amaçlı yazılımların uç nokta antivirüs yazılımı tarafından tespit edilmesini önlemeye çalışır.

Rootkit’ler, kullanıcıları kandırmak için kimlik avı saldırıları veya sosyal mühendislik taktikleri de dahil olmak üzere bir dizi yolla kurulabilir ve kullanıcıları kandırarak rootkit’in kurban sistemine kurulmasına izin verir ve genellikle sisteme uzaktan siber suçlulara yönetici erişimi verir.

Bir rootkit kurulduktan sonra, uzaktaki oyuncuya işletim sisteminin (OS) hemen hemen her yönüne erişim ve denetim sağlar. Eski antivirüs programları genellikle rootkit’leri tespit etmekte zorlanırdı, ancak günümüzde çoğu antimalware programı, bir sistem içinde gizlenen rootkit’leri tarama ve kaldırma yeteneğine sahiptir.

Rootkit Nedir , bir programdır veya daha sık olarak, tehdit aktörüne bir bilgisayara veya başka bir sisteme uzaktan erişim ve denetim sağlayan bir yazılım araçları koleksiyonudur. Bu tür yazılımlar için uzaktan son kullanıcı desteği sağlamak gibi meşru kullanımlar olsa da, çoğu rootkit virüsler, fidye yazılımıkeylogger programları veya diğer kötü amaçlı yazılım türleri gibi kötü amaçlı yazılımları tanıtmak için kurban sistemlerinde bir arka kapı açar veya sistemi daha fazla ağ güvenliği saldırıları için kullanır.

Rootkit’ler nasıl çalışır? – Rootkit nedir

Rootkit’ler kendiliğinden yayılamadığı için, bilgisayarları etkilemek için gizli yöntemlere güvenirler. Tipik olarak, meşru gibi görünen ve gerçekten meşru işlevler sağlayabilecek bir yazılımın içinde saklanarak yayılırlar.

Kullanıcılar bir rootkit yükleyici programının sistemlerine kurulmasına izin verdiklerinde, rootkit kendini de gizlice kurar ve bir bilgisayar korsanı onu etkinleştirene kadar gizler. Bir rootkit, bankacılık kimlik bilgisi hırsızları, parola çalanlar, tuş kaydediciler , antivirüs engelleyicileri ve dağıtılmış hizmet reddi saldırıları için botlar dahil olmak üzere kötü amaçlı araçlar içerir .

Rootkit’ler genellikle e-posta kimlik avı kampanyaları, yürütülebilir kötü amaçlı dosyalar, hazırlanmış kötü amaçlı PDF dosyaları veya Word belgeleri dahil olmak üzere herhangi bir kötü amaçlı yazılımla aynı ortak vektörler aracılığıyla yüklenir, güvenliği ihlal edilmiş ortak sürücülere bağlanır veya riskli web sitelerinden rootkit bulaşmış yazılımları indirir.

Rootkit virüsü belirtileri

Bir rootkit’in temel amaçlarından biri, kurban sistemde kurulu ve erişilebilir durumda kalmak için tespit edilmekten kaçınmaktır; bu nedenle, rootkit geliştiricileri, kötü amaçlı yazılımlarını tespit edilemez tutmayı hedefler, bu da, bir rootkit enfeksiyonunu işaretleyen pek çok tespit edilebilir belirti olmayabileceği anlamına gelir.

Bir rootkit enfeksiyonunun yaygın bir belirtisi, kötü amaçlı yazılımdan korumanın çalışmayı durdurmasıdır. Çalışmayı durduran bir kötü amaçlı yazılımdan koruma uygulaması, etkin bir rootkit enfeksiyonu olduğunu gösterir.

Bir rootkit enfeksiyonunun başka bir belirtisi, Windows ayarları kullanıcı tarafından herhangi bir görünür eylem olmaksızın bağımsız olarak değiştiğinde gözlemlenebilir. Kilit ekranında değişen veya kaybolan arka plan görüntüleri veya görev çubuğunda sabitlenmiş öğeler gibi diğer olağandışı davranışlar da bir rootkit bulaşmasına işaret edebilir.

Son olarak, alışılmadık derecede yavaş performans veya yüksek CPU kullanımı ve tarayıcı yeniden yönlendirmeleri de bir rootkit bulaşmasının varlığını gösterebilir.

Rootkit türleri – Rootkit Nedir

Rootkit’in hedef sisteme bulaşma, çalışma veya devam etme şekli ile karakterize edilen birkaç farklı tipte rootkit vardır.

Çekirdek modu rootkit, bir işletim sisteminin işlevselliğini değiştirmek için tasarlanmıştır. Bazen kendi veri yapılarını ve – – rootkit türü genellikle kendi kodunu ekler olarak bilinen OS çekirdek, parçalarına kernel . Birçok çekirdek modu rootkiti, işletim sistemlerinin aygıt sürücülerinin veya yüklenebilir modüllerin işletim sistemi çekirdeği ile aynı düzeyde sistem ayrıcalıklarıyla yürütülmesine izin vermesi gerçeğinden yararlanır , böylece kök takımlar, antivirüs yazılımı tarafından algılanmayı önlemek için aygıt sürücüleri veya modüller olarak paketlenir.

Bazen bir uygulama rootkit olarak da adlandırılan kullanıcı modu rootkit, sıradan bir kullanıcı programıyla aynı şekilde çalışır. Kullanıcı modu rootkit’leri, sistem başlangıcı sırasında diğer sıradan programlar gibi başlatılabilir veya sisteme bir damlalıkla enjekte edilebilir . Yöntem işletim sistemine bağlıdır. Örneğin, bir Windows rootkit tipik olarak Windows dinamik bağlantı kitaplığı dosyalarının temel işlevlerini değiştirmeye odaklanır , ancak bir Unix sisteminde, uygulamanın tamamı kök kullanıcı takımı ile değiştirilebilir.

Bir bootkit veya bootloader rootkit, hedef sisteme bağlı bir sabit sürücünün veya başka bir depolama aygıtının Ana Önyükleme Kaydını etkiler. Önyükleme setleri, önyükleme sürecini alt üst edebilir ve önyüklemeden sonra sistem üzerindeki denetimi sürdürebilir ve sonuç olarak, tam disk şifrelemesini kullanan sistemlere saldırmak için başarıyla kullanılmıştır.

Ürün yazılımı kök setleri, sistem sabit yazılımına gömülü yazılımdan yararlanır ve kendilerini ağ kartları, BIOS’lar, yönlendiriciler veya diğer çevre birimleri veya cihazlar tarafından kullanılan ürün yazılımı görüntülerine yükler.

Çoğu türden rootkit enfeksiyonu, kendilerini kalıcı sistem depolama aygıtlarına yükledikleri, ancak bellek kök setleri kendilerini bilgisayar belleğine (RAM) yükledikleri için sistemlerde uzun süre devam edebilir. Bellek kök setleri yalnızca sistem RAM’i temizlenene kadar, genellikle bilgisayar yeniden başlatıldıktan sonra kalır.

Rootkit algılama ve kaldırma

Kök kullanıcı takımları zor algılanacak ve kaldırılacak şekilde tasarlanmıştır; rootkit geliştiricileri, kötü amaçlı yazılımlarını kullanıcılardan ve yöneticilerden ve birçok güvenlik ürünü türünden gizlemeye çalışır. Bir rootkit bir sistemi tehlikeye attığında, kötü niyetli faaliyet potansiyeli çok yüksektir.

Şunları da okuyabilirsiniz

 

0 comment
0

Leave a Comment