RootKit Nedir ve Sistemden Nasıl Temizlenir?

RootKit olarak bilinen yazılımlar ilk olarak UNIX işletim sistemlerinde ortaya çıkmıştır ve orijinal UNIX işletim sistemi dosyaları ile yer değiştirip normal bir kullanıcıya root erişim hakkı vermeyi hedeflemişlerdir. Zamanla bu yazılımlar Windows ortamına çalışabilir olmuştur. Windows NT tabanlı işletim sistemlerinde çalışabilen ilk Rootkit ise 1999 yılında gözlenmiştir. Yine de bu dönemde normal bilgisayar kullanıcısının güvenlik konusunda dikkatini çekememiş, sadece güvenlik uzmanlarının uzaktan izlediği bir yazılım türü olarak kalmıştır. 2005 yılında ise Sony Digital Rights Management (DRM) Rootkit’inin tespit edilmesi Rootkit konusunun önemini gözler önüne sermiştir. İşte bu noktadan sonra rootkit’ler tüm güvenlik çevrelerince önemli ve tehlikeli bir tehtid olarak tanımlanmıştır. Çünkü Sony DRM rootkit zararsız bir rootkit olsa da tüm rootkit yazılımları kötü niyetli kullanıcılar tarafından zararlı hale getirilebilmektedir yani zararsız rootkitler de potansiyel bir tehlike oluşturmaktadır.

Adından da anlaşılabileceği gibi RootKit iki parçadan oluşmaktadır; Root= Unix sistemlerinde herşeyi yapma yetkisine sahip olan kullanıcı ya da kullanıcı yetkisi, Kit = Bu yetki sahibi olabilmek için kullanılan gerekli araç kutusu şeklinde ifade edilebilir.

Bunu yaparken sistem araçları ile yer değiştirmiş olmaları, tanınmalarını engellemekte ve arkaplanda hiçbir kullanıcının ya da tarayıcının fark edemeyeceği biçimde çalışmalarını sağlamaktadır. Bu özellikleri zararlı yazılımları yazan programcılar (hacker) tarafından çok cazip bulunmakta ve ilk başlarda kötü amaçlarla kullanılmayan bu yazılımlardan yanlış kimselerin elinde çok tehlikeli olabilecekleri için günümüzde kötü niyetli yazılımlar olarak bahsedilmektedir.

Rootkit’lerin fark ettirmeden işlemler yapabildiğinden bahsetmiştim. Bunu biraz açmak gerekirse; Rootkit yazılımların bu derece tehlikeli olmalarının en önemli nedeni sadece kendilerini gizleyebilmeleri değil aynı zamanda ne yapmak için programlandılarsa yapacakları işlemlerde kullandıkları araçları, dosyaları, kayıt defteri anahtarları, portları ve hatta sistem dosyalarını da gizleyebilmeleridir.

Rootkit’ler bu kötü özelliklerine rağmen daha önce UNIX örneğinde verdiğim gibi tamamen kötü niyetli yazılımlar olmayabilirler ancak sistemde bir rootkit olması bile bu yazılımların kötü niyetli olarak yeniden düzenlenebilmesinden sağladığı için potansiyel bir tehlike oluşturmaktadır.

Rootkit’lerin kullanılış amaçları aslında diğer kötü niyetli yazılımlardan çok farklı değildir, sisteminize aldığınız bir Rootkit başka birininin (hacker) bilgisayarınıza girmesini ve kendi yasal olmayan amaçları için bilgisayarınızı kullanmasını sağlayabilir. Mesela bir Rootkit yazılımı bilgisayarınıza başka bir kötü niyetli yazılımı (virüs, spyware, keylogger vs…) daha öncede bahsettiğim gibi gizleyebilmektedir.

Rootkitler Nasıl Gizlenir

Rootkit yazılımlarının asıl etkili olmasının nedeni işletim sisteminin zayıflıklarından yararlanmalarıdır. Bu zayıflıkları kullanarak işletim sistemine sızarlar ve bu sayede kendilerini işletim sistemi dosyaları ile değiştirebilirler.

Önceden de belirttiğim gibi rootkit yazılımları çoğu zararlı program tarayıcısından kendisini saklayabilir ve tarama sonuçlarında görünmezler. Tarama yapılırken işletim sisteminin kendileri için, tarama yapan güvenlik yazılımına yanlış bilgiler vermesini sağlarlar ve böylece işletim sistemi herhangi bir rootkit bulundurmadığını tarama yazılımına belirtir. Her ne zaman bir tarayıcı ya da kullanıcı, işletim sisteminden doğrudan bilgi isterse, işletim sisteminden gelen bilginin doğru olduğu kabul edilir. Bu bir kural gibidir. Tarama yapan bir araç işletim sistemine zararlı bir yazılım olup olmadığını sorduğunda ya da tarama yaptığında işletim sisteminde eğer rootkit varsa rootkit geri dönecek olan bu bilgiyi kendi çıkarı için düzenler ve hem kendisini hem de ilişki kurduğu diğer zararlı yazılımları gizleyen, yeniden düzenlenmiş bilgileri tarayıcıya gönderir. Bunu yapabilmesini sağlayan temel güç ise rootkit yazılımının root yani yönetici haklarına sahip olmuş olmasıdır.

Rootkitler sistemden istenen bilgileri değerlendirmek için bir süre bu bilgilerin geri dönüşünü geciktirir bu işleme hooking denmektedir. Bu hooking süresi boyunca rootkit tarayıcı ya da kullanıcı tarafından sistemden istenen bilgileri, kendisini ve ona eşlik eden zararlı yazılımları gizleyecek şekilde değiştirir.

Rootkit ile birlikte işlem gören ya da rootkit sayesinde sistemde gizlenmiş olan yazılımların tespit edilip kaldırılması da çok önemlidir. Çünkü bu yazılımlar sürekli rootkitler ile bir veri alış verişi içindedir. Rootkitden temizlenmiş bir sistemde eğer zararlı bir yazılım kendisini gizleyecek bir rootkit olmadığını fark ederse bu sistemi öncelikle rootkit ile tekrar enfekte etmek için çalışacaktır bunu açtığı backdoorlar ile yapabileceği gibi değişik biçimlerde de yapabilmektedir.

Peki bu gizlenme size nasıl yansır, örneğin görev yöneticisini açtığınızda arkada çalışan bu rootkit ve ilişkili dosyalar çalışsalar da göremezsiniz. Eğer windows ile bu rootkit dosyasının bulunduğu dizine giderseniz ortada bir rootkit olmadığını görürsünüz, kayıt defterinde bir değişiklik var mı diye kontrol ettiğinizde değişiklik bulunsa da göremezsiniz ve eğer rootkit bir port kullanıyorsa, portları kontrol etseniz bile açık değil, kapalı olarak görürsünüz.