Rootkit evrimi ve algılama yöntemleri

Rootkit’ler, bilgisayar korsanlarının cephaneliğinde diğer kötü amaçlı yazılımlar kadar yaygın değildir. Örneğin, Bitdefender’a göre rootkit’ler, tespit edilen kötü amaçlı yazılımların %1’inden daha azını oluşturur. Ancak, tespit edilen tüm vakalar...

Rootkit’ler, bilgisayar korsanlarının cephaneliğinde diğer kötü amaçlı yazılımlar kadar yaygın değildir. Örneğin, Bitdefender’a göre rootkit’ler, tespit edilen kötü amaçlı yazılımların %1’inden daha azını oluşturur. Ancak, tespit edilen tüm vakalar büyük bilgisayar korsanlığı saldırılarıyla ilgilidir. Örneğin, suçlular tarafından Remsec adlı bir rootkit kullanılarak gerçekleştirilen bir siber casusluk kampanyasının, Strider adlı bir APT siber casusluk kampanyası tarafından yürütüldüğü biliniyor. Bu durumda, Strider çetesi Belçika, İsveç, İran, Rusya ve Ruanda’daki devlet kurumlarını hackleyerek şifreleme anahtarlarını, sunucu IP adreslerini ve diğer hassas bilgileri çaldı.

Rootkit oluşturma süreci çok karmaşık olduğundan, genellikle suç çeteleri her zaman bu tür “pahalı” siber silahlar kullanmazlar. Ancak, rootkit’lerin oluşturduğu risk çok büyüktür. Ayrıca rootkit’ler, cihazlarındaki kötü amaçlı etkinlikleri maskeleyebilir ve kötü amaçlı etkinliklerin zamanında tespit edilmesini engelleyebilir. Modern işletim sistemlerinin rootkit’lere karşı birçok koruma uygulamasına rağmen, rootkit’ler saldırılarda hala büyük bir başarıyla kullanılmaktadır. Bir Rus bilgi güvenliği araştırma şirketi olan Positive Technologies, kısa bir süre önce rootkit’lerle ilgili geniş bir analiz yayınladı. Bu makalenin bir çevirisini orbita.uz’da sunmaya karar verdik. Bu makalenin bilgi güvenliği ve buradaki ana risk faktörlerinden biri olan rootkit’ler hakkında belirli bir fikir oluşturmaya yardımcı olacağını düşünüyorum. Makale analitiktir ve son 10 yılda belirlenen en önemli 16 rootkit ailesini analiz eder. Rootkit’lerin nasıl geliştiği, şu anda kimlerin ne amaçla kullandığı, rootkit’lerin nasıl tespit edilebileceği ve gelecekte medeni insanlar tarafından başka hangi amaçlarla kullanılabileceğinden bahsediyor.

Rootkit nedir?

Rootkit, bir sistemdeki kötü amaçlı yazılımların varlığını gizlemenize olanak tanıyan bir programdır (veya bir dizi programdır).

Tipik olarak rootkit’ler, kötü niyetli kişilerin bir bilgisayara veya ağa uzaktan erişmesine, ağ trafiğini yakalamasına, kullanıcıları gözetlemesine, tuş vuruşlarını kaydetmesine, kimlik doğrulama bilgilerini çalmasına, kurbanın BT kaynaklarını kripto para birimi için madencilik yapmasına ve DDoS saldırıları gerçekleştirmesine izin verir. -fonksiyonel kötü amaçlı yazılım programları için kullanılmasına izin verir. Bu tür programlarda rootkit’in görevi, bu gayrimeşru-yasadışı faaliyeti maskelemek ve gizlemektir.

Rootkit’ler, kurbanın cihazında kazandıkları gücün boyutuna göre birkaç farklı kategoriye ayrılır. Örneğin:

  • Çekirdek modunda çalışan rootkit’ler.

Bu tür rootkit’ler, işletim sisteminin tüm yetkilerine sahiptir. Aygıt sürücüleri biçiminde veya başlatmadan önce indirilen yazılım modülleri şeklinde geliştirilirler. Bu tür rootkit’lerin geliştirilmesi çok karmaşıktır çünkü programın kaynak kodundaki herhangi bir hata sistemin kararlılığını etkiler ve kötü amaçlı yazılımın kolayca bulunmasını sağlar. Şimdiye kadar uzmanlar tarafından tanımlanan rootkit’lerin yaklaşık %38’i çekirdek modu rootkit’lerdir.

  • Kullanıcı modunda çalışan rootkit’ler

Bu tür rootkit’ler genellikle hackleme çeteleri tarafından toplu saldırılar başlatmak için kullanılır. Bu tür rootkit’lerin oluşturulması nispeten kolaydır ve tipik olarak kullanıcı modu rootkit’leri, yaygın olarak kullanılan birçok programla aynı yetki seviyelerine sahiptir. Bu formun rootkit’leri ayrıca sistem verilerini yakalayabilir ve değerlerini değiştirebilir. Tespit edilen rootkit’ler arasında, kullanıcı modu rootkit’lerinin payı %31 civarındaydı.

Necurs, Flame ve DirtyMoe gibi bazı rootkit’ler her iki modda çalışacak şekilde tasarlandı ve rootkit’lerin %31’ini oluşturuyor.

Kullanıcı modu rootkit’lere geçiş, rootkit geliştiricileri arasındaki mevcut trendlerden biridir. Örneğin, Sophos araştırmacıları , ZeroAccess rootkit geliştiricilerinin tamamen bu modu kullanmaya geçtiğini keşfetti. Bize göre, bu tür eylemlerin nedenleri şunlar olabilir:

  • Yukarıda belirtildiği gibi, çekirdek modu rootkit’in geliştirilmesi çok karmaşıktır ve suçlular onu kurbanın sistemine yükleyecek ve kendi saldırıları için kullanacak kadar yetenekli olmayabilir, bu yüzden kolay yolu seçerler.
  • Böyle bir rootkit’i geliştirmek ve değiştirmek çok zaman alır. Özel bir kişi zamanla sınırlı olabilir, örneğin, yama yapılmadan ve güvenlik güncellemeleri yüklenmeden veya diğer bilgisayar korsanlığı grupları bunu öğrenmeden önce şirketin çevresinde keşfedilen bir güvenlik açığından yararlanabilmelidir. Bilgili insanlar hızlı hareket eder: Bir açıktan yararlanmanın keşfedilmesi ile bir güvenlik açığından yararlanmaya yönelik ilk girişimler arasında bir günden az bir süre geçebilir. Ve mafyanın kullanıma hazır bir aracı yoksa, kesinlikle bir tane oluşturmak için yeterli zaman yoktur.
  • Çekirdek modu rootkit’in ilk kodunda bir hata varsa, işletim sisteminin çalışmasında onarılamaz değişikliklere neden olarak saldırganı açığa çıkarabilir ve saldırıyı başarısızlığa uğratabilir.
  • Savunma sistemlerinin zaten zayıf olduğundan emin olan çeteler için saldırı aracını karmaşıklaştırmaya gerek yok. Şirketin çevresine bir giriş noktası bulunursa ve gözlemler, çevrenin savunmasının zayıf bir şekilde organize edildiğini gösteriyorsa, ciddi güvenlik açıkları vardır ve bu, kaynak yoğun olabilir ve açığa çıkarsa potansiyel olarak büyük bir felaket olabilir. daha az arzu edilir olmak

Öyleyse, rootkit’leri, özellikle çekirdek modu rootkit’leri geliştirmek bu kadar zorsa, çeteler neden bunları kullanmaya devam ediyor? Cevap çok basit: Bu tür çeteler genellikle yeterli mali kaynağa ve teknik desteğe sahip, çok yetenekli kişilerden oluşan organize çetelerdir ve onlar için saldırı başarılı olursa saldırıyı organize etmek için harcanan tüm masraflar haklı çıkacaktır. Bu tür APT grupları arasında, siparişe göre çeşitli bilgileri gasp edenler veya müşterinin menfaati için rakiplerinin altyapısını hackleyenler ve ayrıca saldırıya hazırlanmak için harcanan fonları karşılamaya yetecek kadar para miktarı , mağdurdan “Bir de gasp çeteleri var.

Rootkit’lerin evrimi

Rootkit’ler başlangıçta, maksimum ayrıcalıklar elde etmek ve komutları yürütmek için kök kullanıcı adını kullanarak Unix sistemlerine saldırmak için kullanıldı. Terim oradan geldi. Ancak, 1999 gibi erken bir tarihte, Windows işletim sistemi için ilk rootkit ortaya çıktı ve buna NTRootkit adı verildi. Daha sonra, macOS sistemlerine yönelik saldırılar için kullanılabilecek rootkit’ler ortaya çıktı.

En ünlü rootkit saldırısı, 2010 Stuxnet kötü amaçlı yazılım kampanyasıydı. Stuxnet ile suçlular gizlice veri topladı ve ayrıca sızdıkları ağlara yürütülebilir dosyalar yerleştirdi. Yapılan incelemeler sonucunda bu kötü niyetli programın oluşturulmasında ABD ve İsrail istihbaratının da parmağı olduğu ortaya çıktı. Bu işbirliğinin temel amacı, İran’ın nükleer sistemini devre dışı bırakmak ve ülkenin nükleer altyapısına fiziksel zarar vermekti.

Son on yılda, rootkit kullanma ihtiyacı, esas olarak veri madenciliği konusunda uzmanlaşmış siber suçlular arasında ortaya çıktı. Orta Doğu’daki bir siber casusluk kampanyasında, Flame adlı bir rootkit kullanan bilgisayar korsanları kurbanın ağındaki trafiği izledi, bir keylogger işlevi uyguladı ve ekranların ekran görüntülerini topladı.

Bilgisayar korsanları, rootkit’leri yalnızca gizlice bilgi toplamak ve sisteme uzaktan yetkisiz erişim elde etmek için değil, aynı zamanda bundan doğrudan finansal fayda sağlamak için de kullanır. Örneğin, Avast tarafından sağlanan bilgilere göre DirtyMoe rootkit örneğinde, madenci modülünü gizlemek için bu rootkit’i yayan siber suçlular yalnızca 2021’de 100.000’den fazla bilgisayara bulaştı. Sadece bir yıl önce, yani 2020’de bu rootkit’in bulaştığı bilgisayarların sayısı 10.000’i geçmiyordu. Rootkit’in bu şekilde hızla yayılmasının nedeni, kötü amaçlı yazılımın Windows işletim sistemine sahip bilgisayarlarda yayılmasını kolaylaştırmak için özel olarak eklenen yeni bir modüldür. Bu modül, açık SBM bağlantı noktalarına sahip bilgisayarlar için İnternette arama yapar ve açık bağlantı noktalarına sahip bilgisayarlara uzaktan erişim için kimlik bilgilerini sıralar.

İlginç gerçek

Avast şirket temsilcileri , DirtyMoe rootkit sürücüsünün kaynak kodunda bazı kod parçalarının İnternetten alındığını gösterebilecek birçok hata buldu . Kötü amaçlı yazılımın modülleri Delphi’de yazılmıştır, bu nedenle antivirüsler tarafından kolayca yakalanırlar . Bu nedenle DirtyMoe rootkit’in geliştiricileri, kaynak kodunu karartmak için VMProtect’i kullandı.

Bazen rootkit’ler istenmeden oluşturulur. Örneğin, bu , Capcom’un Street Fighter V oyununu yarattığı 2016’da oldu . Şirket tarafından o dönemde yayınlanan güncelleme sonucunda, yabancı kodun yürütülmesine karşı çekirdek düzeyinde koruma sistemi (SMEP) devre dışı bırakılmış, böylece halka açık oyunun yüklü olduğu bilgisayarlara yalnızca uzaktan erişim kapıları bırakılmıştı. . Bu oyun için güncellemenin yüklenmesi sırasında sistem düzeyinde izinler çıkmaya başlayınca daha dikkatli kullanıcılar yükleme işlemini durdurdu.

TunnelSnake adlı Moriya adlı bir rootkiten az 2018’den beri bir siber casusluk kampanyasının parçası olarak kullanılıyor. Kurbanlar arasında Güneydoğu Asya ve Afrika’yı kapsayan iki diplomatik kuruluş da bulunuyor. Bu kötü amaçlı yazılımın temel amacı, kurbanların BT altyapısına uzaktan erişim sağlamak ve yıkıcı kodu indirip çalıştırmaktır. Bu rootkit, Windows işletim sistemi tarafından yönetilen nesneleri hedefler ve hem kullanıcı modunda hem de çekirdek modunda çalışır. İlk penetrasyon vektörü olarak bilgisayar korsanları, CVE-2017-7269 güvenlik açığı olduğuna inanılan İnternet’teki bilinen bir güvenlik açığını kullandı. Rootkit geliştiricileri ayrıca sürücülerin zorunlu imza doğrulamasını atlamak için bir mekanizma sağladılar ve PatchGuard modülü ‘görünüm ekranı’nı çağırıyor. Bunun için VirtualBox sanal makine sürücüsü kullandılar. Ek olarak, bu rootkit, onu gizli tutmaya hizmet eden kontrol sunucusuyla iletişimi başlatmaz.

Remsec (Krem) rutkit– Stider çetesi tarafından siber casusluk amacıyla kullanılan modüler bir kötü amaçlı yazılım. Ekip, kriptografik yöntemler kullanarak trafiği korumak için tasarlanmış yazılımlar hakkında bilgi toplamak için bu rootkit’i kullanır. Konularını devlet kurumları, araştırma kurumları ve telekomünikasyon şirketlerinden özenle seçer. Altyapıya sızmak için sıfır gün güvenlik açığı kullanılır. Remsec rootkit, çekirdek modunda çalışır ve Windows için tasarlanmıştır. Modülleri, bilgisayar korsanlarına uzaktan erişim sağlar, bilgisayarlarına kötü amaçlı yazılım yükler, ağ trafiğini, tuş vuruşlarını kaydeder ve toplanan verileri saldıran çetenin sunucularına gönderir. Modüllerin çoğu Lua programlama dilinde yazılmıştır. ESET araştırmacılarıçekirdek kipinde çalışan virüsten koruma programlarının meşru sürücülerinin rootkit sistemine sızmak için kullanıldığı belirlendi . İlginç bir şekilde, sistemdeki etkinliğini gizlemek için Remsec rootkit, API çağrılarını engellemez ve sistem olaylarını kullanmaz. Bunun yerine, kendi kodunun yürütülmesini sağlayan üst düzey yetkileri devralır.

Başlangıçta rootkit’lerin rolü, sistemdeki en yüksek yetkiyi (yönetici veya sistem yetkilisi) kazanmaktı . Şu anda rootkit’ler, bilgisayar korsanlarının kötü amaçlı etkinliklerinin sistem koruma araçları tarafından tespit edilmesini engellemeye yöneliktir .

Yalnızca güvenlik sistemi geliştiricileri değil, aynı zamanda işletim sistemi geliştiricileri de artık rootkit’lere karşı mücadeleye katılıyor. Örneğin, Windows 10’a toplu geçiş, mevcut rootkit’leri ciddi şekilde etkiledi. Çünkü Windows’un bu yorumu, “Darkweb’in sundukları” bölümünde ayrı olarak ele alınacak olan rootkit’lerle mücadele için bir dizi önlem sağlar.

Ancak kamuoyu da boş durmadı. Örneğin, nispeten yeni olan Morian rutkit’indeişletim sisteminde önceden yüklenmiş korumaları atlamak için bir mekanizma vardır. Ek olarak, kök kullanıcı takımı üretme süreci artık işletim sistemlerinin özünü derinlemesine anlayan ve tersine mühendislik ve programlama konusunda yüksek becerilere sahip uzmanları içeriyor. Bilgili kötü amaçlı yazılım geliştiricileri, işletim sistemlerinin güvenlik açıklarını ve kendine özgü özelliklerini belirlemek için tersine mühendislik araçlarını kullanır ve ardından kötü amaçlı yazılım enjekte etmek için bu güvenlik açıklarından yararlanır. Yukarıda bahsedildiği gibi rootkit oluşturmak çok karmaşık bir iş olsa da, yeni rootkit’ler hala düzenli olarak ortaya çıkıyor.

Yukarıdakilerden rootkit’lerin çok tehlikeli olduğu sonucuna varılabilir çünkü:

  • kötülük yapanların sistemdeki en yüksek konumları işgal etmesine izin veriyorlar
  • Bilgisayarda kötü amaçlı bir işlemin çalıştığını fark etmeyi zorlaştırır;
  • Rootkit’leri tespit etmek ve yok etmek de çok zordur;
  • Rootkit’lerin varlığı genellikle saldırının iyi hazırlanmış ve iyi hedeflenmiş bir siber tehdit tarafından gerçekleştirildiğini gösterir. Bu nedenle, rootkit tespit edildiğinde, bilgisayar korsanları şirketin altyapısı üzerinde çoktan kontrol sağlamış olabilir.

Çoğu durumda, rootkit saldırıları yalnızca veri kaybına değil, aynı zamanda gerçek mali kayıplara da neden olur. Ancak, birkaç nedenden dolayı, bu tür mali kayıpların gerçek boyutunu belirlemek her zaman mümkün değildir, çünkü:

  • Çok yetenekli bilgisayar korsanları tarafından yapılan saldırıların sonuçları, özellikle bilgisayar korsanları kurumsal ağda yıllardır rahatça oturuyorsa, çok uzun süre gizli kalabilir;
  • Saldırının sonuçlarını ortadan kaldırmak için maliyetlerin hesaplanması da gereklidir. Bazı durumlarda rootkit’i kaldırmak mümkün olmayacak ve BT altyapısının donanımının tamamen güncellenmesi gerekecek;
  • Saldırı veri çalmayı hedefliyorsa, çalınan bu verinin parasal karşılığını hesaplamak gerekir.

2011’den beri rootkit’lerin zaman çizelgesi

Saldırıların arkasında kim var?

Rootkit oluşturmanın tüm karmaşıklıkları ve olasılıkları göz önüne alındığında, çoğu durumda bunların APT çeteleri tarafından kullanıldığı ortaya çıkıyor. Bu düzeydeki bilgisayar korsanlığı çetelerinin ana odak noktası veri madenciliği ve siber casusluktur. Örneğin, Equation Group çetesi , Orta Doğu’daki siber casusluk faaliyetlerinde Flame adlı bir rootkit’i aktif olarak kullandı .aktif olarak kullanılır. Analiz edilen rootkit’lerin toplam %77’si, dağıtımcıları için bilgi toplamak üzere tasarlanmıştır. Vakaların yaklaşık üçte birinde (%31), suçlular mali kazanç sağlamayı planlıyordu. Örneğin, Yingbom Rutkit sıradan insanları hedefliyordu. En az yaygın olan tür, kurbanın altyapısını diğer saldırıları başlatmak için bir kaynak olarak kullanmaya çalışan rootkit’lerdir. Bu tür rutkit’ler yalnızca% 15’lik bir payda tanımlanır.

İncelenen rootkit’lerin %56’sı hedefli saldırılar için kullanıldı

Suçlular, rootkit’leri dağıtmanın ana yöntemi (vakaların %85’i) olarak, kimlik avı haber bültenleri, sahte siteler ve gerçekleri taklit eden uygulamaların oluşturulmasını içeren sosyal mühendislik yöntemlerini kullanır . Örneğin, Scranos rootkit’iBunu dağıtan bilgisayar korsanları, bireyleri hedef aldı, bu nedenle, onu yaymak için saldırıya uğramış yazılımları ve kimlik avı dağıtımlarını kullandılar. Zararlılar özellikle 2019’da aktifti. Çin, Hindistan, Romanya, Fransa, İtalya, Brezilya ve Endonezya etkilendi. Siber suçluların amacı maddi çıkar elde etmek ve bilgiye erişim sağlamaktı. Öncelikle çerez dosyaları ve internet bankacılığı giriş hesapları ile ilgilendiler. Kötü amaçlı yazılım, saldırganların yalnızca uzaktan erişime ve veri toplamasına izin vermekle kalmadı, aynı zamanda kendi önyükleyicisini yasal svchost.exe işlemine eklemeyi de başardı. Siber suçlular genellikle yukarıdakilere ek olarak reklam yazılımları yerleştirirler; bu nedenle, bu kötü amaçlı yazılımın size bulaşmadığından emin olmak için Facebook ve YouTube etkinliğinizi kontrol etmeniz gerekir. Hesap geçmişinizde bu kaynaklarda sizin yapmadığınız işlemler görürseniz, hesabınızı sizden başka biri kontrol ediyor olabilir. Bir diğer ilgi çekici özelliği ise Scanros’un bilgisayarı kapatma komutu gönderildiği anda kendini kopyalaması ve bunun için kayıt defterinde özel bir anahtar oluşturarak bilgisayarın bir sonraki açılışında otomatik olarak başlamasına zemin hazırlamasıdır.

Rootkit’ler nasıl yayılır?

Rootkit ailesinin analizi, rootkit saldırılarının %44’ünün kamu kurumlarını hedef alan kötü niyetli aktörleri içerdiğini gösterdi. Daha az ölçüde, bilim ve eğitim kurumları onların hedefi haline geldi. Bunun temel nedeni, bu kurumlarda işlenen bilgilerin büyük önem arz etmesi ve bu nedenle kültüre insanlarda yoğun bir ilgi uyandırmasıdır.

Şekil 2. Rootkit’lerden en çok etkilenen ilk 5 alan (rootkit’lerin yüzdesi)

Finans kuruluşlarını hedef alan saldırıların payı %19 oldu. Bankalara saldıran bir rootkit örneği, Kronos adlı bir rootkit’tir . Büyük Britanya ve Hindistan’daki bir dizi banka onun avı oldu.

Rootkit’lerin yarısından fazlası (%56) belirli kişilere saldırmayı hedefliyor. Bunlar, kamuya yönelik siber casusluk kampanyaları açısından önemli olan üst düzey yetkililer, diplomatlar, büyük kuruluşların önemli çalışanları vb. olabilir.

Darkweb’in sunduğu şeyler

Uzman Bill Demirkali, Defcon 2020 IB konferansında, Windows için kaliteli bir rootkit yazmanın kolay olduğunu, tüm meselenin C veya C++ ile programlama ve projeleri bir araya getirmek, açıklardan yararlanabilme ve tersine mühendislik yapabilmek olduğunu söyleyerek şaka yaptı. Windows platformunda cihaz mimarisi hakkında derin bilgi. Başarılı bir saldırı, yalnızca kusurlu bir sürücüyü kötü amaçlı kullanım için bulup istismar etmeyi, ardından bildirimde bulunmaksızın bir rootkit’i tanıtmayı ve kurmayı gerektirir.

Bir rootkit geliştirmek çok karmaşık bir süreçtir, ancak web’de, özellikle de dark web’de bu konu hakkında pek çok bilgi bulunmaktadır. Referans kitaplarına ek olarak, “herhangi bir cüzdana” uygun hazır rootkit’ler ve ayrıca kod yazan veya özel rootkit’ler oluşturan programlama hizmetleri de bulabilirsiniz. Oradan geliştirilen rootkit için alıcılar veya müşteriler de bulabilirsiniz.

Darkweb’deki en popüler Rusça ve İngilizce forumlarda rootkit’lerin satılması veya satın alınmasının yanı sıra rootkit oluşturucuları aranmasına yönelik fiyatların analizi, kullanıma hazır bir rootkit’in fiyatının 45 ila 100.000 arasında değişebileceğini gösterdi. ABD Doları Fiyat, kullanım moduna, hangi işletim sistemine yönelik olduğuna, ek işlevlere ve kullanım koşullarına bağlıdır.

Bir rootkit’in dark web’deki ortalama fiyatı 2.800$’dır.

Örneğin bir rootkit ortalama 100-200 USD gibi bir fiyata kiralanabiliyor yani bir ay kullanılabiliyor.

Figür 3. Rootkit Satışlarında Fiyat Oranı © Positive Technologies

Zaman sınırı olmayan rootkit’ler pahalıdır, örneğin, internet bankacılığı giriş bilgilerini toplayan aynı Kronos rootkit’i 2014’te 7.000 dolara satıldı. Bu tür rootkit’ler, çoğunlukla APT çeteleri tarafından hedefli saldırılarda kullanılır.

Bazı durumlarda zararlı programı geliştiren programcılar, müşterinin isteğine göre programı daha da geliştirmeyi teklif etmekte ve hatta belli bir süre servis hizmeti bile verebilmektedir.

Şekil 4. Bir darkweb forumunda satılan bir rootkit ile ilgili bir reklam

Rootkit’lerin satın alınmasına yönelik reklamlar, temel olarak uzaktan erişimi etkinleştirme, dosyaları ayıklama ve etkinliklerini ve ağ etkinliklerini gizleme gibi gereksinimleri içerir.

Şekil 5. Bir darkweb forumunda rootkit satın almak için bir reklam

Reklamların %67’sinde rootkit’in Windows için hedeflenmesi şartı vardı ve gerçekten de gerçek saldırılarda Windows’u hedefleyen rootkit’ler daha yaygın. Analiz, bu tür rutkitlerin toplam payın %69’unu oluşturduğunu gösterdi. Bazı rootkit’lerin aynı anda birkaç farklı işletim sistemini hedefleyebileceğini de belirtmekte fayda var.

Rootkit’lerin verdiği zararın boyutunu fark eden Windows işletim sistemi geliştiricileri, 2006 yılında Windows Vista’ya Kernel Patch Protection (KPP) adlı bir bileşen eklemişti, o zamanki Windows’un şu anki yorumu yemişti. Bu modül, donanım aygıtı üreticilerinin sürücülerini dijital olarak imzalamasını gerektirir. Halkın bu gözetleme yöntemini atlatması an meselesiydi ve kısa sürede bu koruma yöntemini atlatmayı öğrendiler. Bu nedenle, Windows 10’dan başlayarak, rootkit’lerin çalışmasını engellemeyi amaçlayan bir dizi özellik vardır.bir dizi başka fonksiyon eklenmiştir. Bu, sürücü doğrulama, bileşen veri yolu bütünlük kontrolleri, güvenilir kaynaklardan indirme ayarları ve indirme ilerleme değerlendirmesi gibi yöntemleri içerir. Ancak bu önlemler bile rootkit’lere karşı korumayı garanti etmez.

Tespit yöntemleri

Rootkit’leri tespit etmek için sistem imzaları ve davranışı analiz edilir ve bütünlüğü kontrol edilir. Avrupa Ağ ve Bilgi Güvenliği Ajansı’na (ENISA) göre, çoğu durumda sistemi yeniden yükleyerek rootkit’ten kurtulabilirsiniz.

Rootkit tespiti şu şekilde yapılabilir:

  • bir sistem bütünlüğü kontrolü gerçekleştirin;
  • ağ trafiğindeki anormallikleri kontrol etme;
  • rootkit arama araçlarını kullanın;
  • uç düğümlerde kötü amaçlı yazılım tespit araçlarının kullanılması, bu tür araçlar rootkit’in kurulum aşamasında tespit edilmesini sağlar;
  • Yazılım kurulumu ve işletimi sırasında rootkit’leri tanımlayan korumalı alan çözümleri kullanın.

Bir kum saati çözümü, kötü niyetli bir kullanıcı bir dizi kötü niyetli veya en azından şüpheli eylem gerçekleştirdiğinde sistem kurulumu aşamasında bir rootkit’in algılanmasına yardımcı olur. Aracısız kum saati çözümleri rootkit indirmelerini engellemezken, önceden oluşturulmuş analiz araçları kötü amaçlı üçüncü taraf indirmelerini bildirir. Kötü amaçlı yazılım süreci kesintisiz olduğundan, güvenlik kontrolleri bu tür yürütmelerde kum saati çözümleri algılamaz, sıradan kullanıcının bunu tespit ettiğinden şüphesi yoktur. Ekim 2021’de PT ESC uzmanlarının, bir kum saati kullanarak rootkit’leri tespit etme tekniğine alışmanızı sağlayacak bir çalışmanın sonuçlarını yayınlayacaklarını belirtmekte fayda var.

Rootkit bulaşma olasılığını en aza indirmek için güvenlik sistemi güncellemelerini izlemek ve zamanında yüklemek, programları yalnızca güvenilir kaynaklardan yüklemek, kuruluma başlamadan önce dijital imzaları ve sertifikaları ve ayrıca anti-virüs araçlarını kontrol etmek önemlidir. imzaları düzenli olarak güncellemeniz önerilir. Antivirüsler, “eski” rootkit’lerin çoğunu algılayabilir.

Rootkit’lerin geleceği

Rootkit’lerin siber suçluların elinde uzun süre bir silah olarak kalacağına inanıyoruz. Uzmanlar, rootkit’lerin yeni yorumlarının ortaya çıktığını ve bunların etki mekanizmalarının şimdiye kadar bildiğimiz diğer rootkit’lerden farklı olduğunu belirtiyor. Bu, en hırslı insanların bile yerinde durmadıkları, becerilerini geliştirdikleri ve korumayı atlatmak için yeni teknikler icat ettikleri anlamına gelir. Rootkit’ler ne kadar gelişmiş olursa olsun, maksimum ayrıcalık modunda kod yürütme, savunmalardan saklanma ve ağda uzun süre kalma becerileri siber suç çeteleri için çok önemlidir. Bu nedenle rootkit’ler, siber suç çetelerinin ana silahlarından biri olmaya devam ediyor. Aynı zamanda, rootkit’lerin esas olarak bu tür araçları yaratma yeteneğine sahip oldukça yetenekli çeteler ve karaborsadan rootkit satın alacak finansal araçlara sahip gruplar tarafından kullanıldığına dikkat edilmelidir. Bu nedenle, rootkit’lerin ana tehlikeli yönü, belirli hedefli saldırıların doğrudan yürütülmesinden önce sürecin (hazırlık kısmı) açığa çıkmasını önlemesidir. finansal olarak rootkit satın alacak grupların karaborsayı kullandığını belirtmekte fayda var. Bu nedenle, rootkit’lerin ana tehlikeli yönü, belirli hedefli saldırıların doğrudan yürütülmesinden önce sürecin (hazırlık kısmı) açığa çıkmasını önlemesidir. finansal olarak rootkit satın alacak grupların karaborsayı kullandığını belirtmekte fayda var. Bu nedenle, rootkit’lerin ana tehlikeli yönü, belirli hedefli saldırıların doğrudan yürütülmesinden önce sürecin (hazırlık kısmı) açığa çıkmasını önlemesidir.

Kategoriler
Güvenlikİnternet
Henüz Yorum Yok

Cevap bırakın

*

*

Benzer Konular