İnternet üzerinde gezinirken bir dosya indirip bilgisayarına virüs bulaştığını hisseden insanlar genelde bunu neden
yaptıklarını bilmeden duygularıyla hareket ederler fakat bazen bu yöntem gerçekten işe yarayabilir. Küçük bir virüs yapıp
bir bilgisayara yolladığımızda genelde bu virüs bilgisayar kapatıp açıldığı zaman tekrar çalıştırılmayı bekler fakat Rootkit bir yazılım ile saldırganlar ele geçirdikleri bilgisayarlarda kalıcılık sağlayabilirler. Rootkitin çalışma mantığına bir göz atalım.

Rootkit Çalışma Mantığı

Bu araçların çalışma mantığı sistem yöneticilerinden saklanmak ve sistemdeki varlığını gizlemektir bunun için de çekirdek seviyesinde çalışan programlarda gizlenirler. Rootkit adını en önemli ve tüm yetkilere sahip hesap olan Root dan gelmektedir. Rootkit bilgisayara çok fazla yerden bulaşabilir indirdiğiniz bir oyun bilgisayarınıza koyduğunuz kolay bir şifre ve uygulayabileceği sosyal mühendislik sayesinde bilgisayarınıza sızıp Rootkit kurulumunu gerçekleştirebilir.

Rootkit Oluşturmak

Rootkit oluşturmak için Azazel yazılımını kullanacağız Açık kaynak kodlu bir yazılımdır. Buradaki bağlantı üzerinden yazılımın kaynak kodlarını görebilirsiniz. Jynx Rootkit ile benzer ve aynı kişi tarafından yapılmıştır fakat Jynx Rootkit’e göre biraz daha fazla özellik barındırır.

  • Anti Debugging
  • lfsof, ps ve ldd komutlarından gizleme
  • Dosya Ve Dizin olarak gizleme
  • Uzak bağlantıları gizleme
  • Prosesleri gizleme
  • Girişleri gizleme
  • 2 farklı arka kapı oluşturma
  • Logları temizleme

Gibi özellikler barındırır bu özellikleri sayesinde bulunması ve bulunduktan sonra silinmesi gerçekten çok zordur.Verdiğimiz github linki üzerinden zip dosyasını indirmeniz ve dosyanın içine gidip make komutunu çalıştırarak derlemeniz yeterli olacaktır. Config.py dosyası üzerinden ayarlarınızı yapılandırabilirsiniz.

Windows işletim sistemi kullanıyorsanız bunu Notepad++ de yada Linux bir işletim sistemi kullanıyorsanız nano ile düzenleyebilirsiniz. Burada bu kutudaki her şeyi değiştirmeniz gerektiğini notta belirtmişler zaten buradan sahte isminizi yada port aralığınızı Rootkit çalıştığında gösterilecek mesajı kendinize göre ayarlayabilirsiniz. Azazel Rootkiti karşı bilgisayara enjekte etmek için make install komutunu vermeniz yeterli olacaktır. Peki bu Rootkitlere yakalanınca ne yapmalıyız şimdi birde buna bakalım bunun için Chkrootkit aracını kullanacağız.

Chkrootkit aracı ile Rootkit tespiti

Chkrootkit aracı Rootkit zararlı yazılımını tespit etmek için kullandığımız bir araçtır. Bu yazılım bir nevi antivirüs yazılımına benzemektedir. Zararlı yazılımın kendine özgü belirli bir simgesi bulunur ve bilgisayara sızdığında bu simgeyi de veritabanın da bulundurur. Antivirüsler ile tarama yaptığımız zaman bu simgeleri karşılaştırır ve zararlı yazılım olup olmadığını anlamaya çalışır. Chkrootkit de buna benzer bir yöntem kullanmaktadır. Virüsler durmadan güncellendiği için bu aracında güncel olmasına özen göstermeliyiz.

Chkrootkit kullanımı

Buradaki bağlantı üzerinden Chkrootkitin resmi sitesinden bilgisayarımızın işletim sistemine göre programımızı indirebiliriz. İndirme işlemini tamamladıktan sonra konsola;

 chkrootkit -h 

Komutunu vererek parametreleri inceleyebiliriz. Modlardan bazılarından bahsetmek gerekirse -x komutu ile kapsamlı bir tarama gerçekleştirebilirsiniz daha hızlı ve basit tarama gerçekleştirmek için -q komutunu kullanabilirsiniz.Taramak istediğiniz bir dizin var ise bu dizini -r parametresi kullanarak belirleme şansınız vardır. -p ile daha geniş bir dizin taraması gerçekleştirebiliriz gibi fakat tüm sistemi taramak istiyorsanız sadece Chkrootkit yazmanız yeterli olacaktır.

Rootkitler genel anlamda bu şekildedir bir sisteme sızıldığı zaman ileriye dönük planlar düşünülüyorsa Rootkitler kullanılır bunları kullanmak gerçekten zararlıdır çünkü çekirdek seviyesinde bile çalışabilen bu yazılımları bulması çok zor olabiliyorken silmesi daha da zordur bu yüzden genelde bildiğimiz ve güvendiğimiz yerlerden dosya indirmeye ve kendi internetimiz dışında başka ağlarda biraz daha dikkatli olmaya özen göstermeliyiz.