Bir Rootkit Hikayesi...

“Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz?” Bu cümle ile açılıyor, F-Secure firmasının sayfası. Farklı kaynakları da ekleyerek biraz okuyunca görüyorsunuz ki, bilgisayarınıza veya sunucunuza kurulu olan Microsoft Windows işletim sistemi, en hızlı güncellemeleri yapmanıza, en yeni ve en güncel antivirüs programlarını kurmuş olmanıza, Microsoftu kendi güvenlik duvarı ve araçlarının yanısıra parasını vererek satın aldığınız uygulama seviyesine kadar çıkabilen firewall programlarına rağmen, ele geçirilmiş olabilir.

Bu konu nereden çıktı diyeceksiniz, başımdan geçen olaylar zincirini sizlere de aktarmak ve bu sayede İngilizce’sinin dahi oldukça az bulunduğu bu konuda Türkçe dökümantasyon oluşturmaktır amacım.

Bir süre önce, dizüstü bilgisayarımda kurulu olan Windows çalışırken, sürekli fan çalıştırmaya başladı. Önce ortam ısısından veya fan yollarının tıkalı olmasından dolayı olduğunu zannettiğim bu durum, “Task Manager” açıp işlemleri izlemeye başlayınca anlaşıldı ki bir güvenlik vakası oluşmuş. Tabi bu durum oldukça şaşırtıcı oldu, çünkü işletim sistemi Windows olduğu için tedirgin olduğumdan, Microsoft firewall’u, mcafee anti-virüs ve firewall yazılımlarını en güncel haliyle kullanmaktayım. Tüm programlar lisanslı durumda ve dışarıdan dosya kabulü gibi konulara ekstra hassasiyet gösteriyorum. Eh, dedim, bizimde başımıza gelebilir.

Ancak, birkaç gün uğaşmama rağmen bulaşmış olan virüsü bulamadım. Kablolu veya kablosuz, bir şekilde ağ bağlantısı sağladığımda yükselen cpu kullanım oranları, bir yerlere virüs taraması yaptığını düşündürdü. Ama, Mcafee nin firewall programı üzerinden “izin verilen verilmeyen tüm aktiviteyi göster” komutu ile baktım durdum, hiçbir trafik oluşmuyordu. Tüm firewalları ve antivirüsleri devre dışı bıraktığımda da yine aynı sonucu aldım.

Harddiski söküp, bir usb kutu yardımıyla başka bir bilgisayara bağladım ve orada da tarama yaptım, sonuç aynı, hiçbirşey bulunmadı.

Kafa takılınca bu mevzuya, bu sefer ofis bilgisayarıma bir iki komut girerek pc-yönlendirici haline getirdim, ikinci ethernet kartı üzerinden dizüstü bilgisayarı bağladım. Bu sayede, dizüstü bilgisayarın ağa gönderdiği ve ağdan ona doğru gelen tüm paketleri bu bilgisayar üzerinde izleyebilir hale de gelmiş oldum. Ve izledim.

Bilgisayar, öncelikle çeşitli MX kayıtlarını sorguluyor, sonra da bulduğu e-posta sunucularına çeşitli yalancı isimlerden e-postalar atıyordu. Attığı e-postaları da inceledim, yine çeşitli subject satırları ile, anlam bütünlüğü olmayan ingilizce kelimelerin yanyana dizildiği metin ile dolu, bir gif veya jpg uzantılı eki olan e-postalardı bunlar. Ama, herşeyden önce, google’a ve icq programının ftp sitesine bir trafik yapıyordu, http://ftp.icq.com/ adresine “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exe” komutu gönderiyordu, yani bu siteden bir dosyayı bilgisayara indiriyordu. Benzer şekilde http://www.microsoft.com adresine “GET /windows/products/windowsvista/buyorupgrade/default.mspx” ve başka sitelere başka komutlar gönderiyordu. Ama icq programının, bu bilgisayara hiç değmemiş yazılımlardan birisi olması, bu “GET pub/ICQ_Win95_98_NT4/ICQ_5/icq5_setup.exe” komutunu anahtar olarak kullanarak arama yapmama sebep oldu, ve buldum.

İlk paragrafa geri dönüp yeniden okuyalım: Bir virüsün veya casus yazılımın (spyware), geleneksel antivirüs programlarınızı atlatarak gizlenebileceğini biliyor muydunuz? http://support.microsoft.com/kb/105763 adresinde, Microsoft tarafından 2006 yılı Kasım ayında duyurulmuş bir marifet var: ADS, yani: Alternate Data Streams, Türkçe’si: alternatif veri akışı, meali: bilinen yolların dışında dosyaların veya dizinlerin veri aktarmalarına olanak sağlayan (evet yanlış okumadınız, dizinlerin bile veri akışı yapmalarına imkan sağlamakta), düzgün dökümantasyonu olmayan bir şey. İşte bu sebepledir ki sizin tüm firewallarınız ve işletim sistemine yüklü diğer güvenlik zamazingolarınız etkisiz kalıyor, Microsoft sizin için geliştirmiş: bir program alternatif yollardan veri aktarıyor.

İşte bu az dökümente edilmiş özellik, kötü yazılımlar tarafından kullanılırsa ne olur? Birde registry ve sistem gizleme özelliklerini kullanırlarsa ne olur? (evet, böyle özellikler varmış, kendi kurduğunuz ve yönettiğiniz sunucuda registry edit ederken sizden sistem tarafından gizlenen girdiler var imiş). Bir mailbot rootkit’idir tespit etmiş olduğum.

Burada anlatmak istediğim Windows’da rootkit nasıl bulunur değildir veya bu rootkit nasıl temizlenir de değildir. Bu amaçla bu sayfaya gelenler için, benzer şeyler yaşıyorsanız, GMER programını (http://www.gmer.net/index.php), F-Secure’un Blacklight Rootkit Elimination programını (http://www.f-secure.com/blacklight/) öneririm. Henüz ücretsiz olan bu yazılımları kullanarak, en azından bilgisayarınızı kontrol eder, varsa tespit işleminizi yapabilirsiniz (her iki programda oldukça küçükler, bir iki tıklamayla hızla indirip, çalıştırılabilir dosyayı (executable file) çift tıklayarak, kuruluma gerek olmadan hemen kullanabiliyorsunuz).

Sınırlı sayıda olan İngilizce dökümantasyon için;

• http://www.pctools.com/br/threat-expert/sample/report/mailbot_rustock/ : Birebir aynı sonuçları gördüğüm, ama yanlış sonuca varmış bir sayfa. Hiçbir removal önerisi olmadığından, aslında virüs tespitinin yanlış olduğu, bilgisayarlarında rootkit bulunduğu çıkarılabilinir.

• http://www.bluetack.co.uk/forums/index.php?showtopic=15097 : Kafayı bu işle bozmuş bir adamın çalışmaları. Bana en fazla ışık tutan sayfa oldu.

Çoğu kişi de bu tip bir rootkit bulunuyor olabilir, en azından GMER ile hızlıca bir tarama yapın derim ben.

Golü attım. Paylaşmak istedim. :)