Rootkit Nedir? Rootkit Virüsü Nasıl Bulaşır ve Nasıl Temizlenir?
Siber saldırganlar, hedefledikleri cihaz ve kaynaklara erişim için çeşitli zararlı yazılımları kullanırlar. Peki bu kötü niyetli yazılımlar, bilgisayar ve işletim sistemini etkileyebilir mi? Evet, çoğu rootkit yazılımı bilgisayarların donanım ve aygıt yönetimi sürecini olumsuz yönde etkiler.
Rootkit Nedir?
Hedef bilgisayar veya ağdaki kontrolü ele geçirmek amacıyla tasarlanan ve siber suçlular tarafından sıklıkla kullanılan kötü niyetli yazılıma rootkit denir. “Root” ayrıcalıklı hesap yöneticisi ve “kit” yönetici düzeyinde erişime izin veren uygulamalar olarak bilinir. Root kelimesi Unix ve Linux işletim sistemlerinden gelir. Bilgisayara ya da ağa yetkisiz bir şekilde erişim elde eden siber saldırganlar; kişisel ve finansal verileri çalabilir, spam dolaşımına neden olabilir ve DDoS saldırısı için zemin hazırlayabilir.
Rootkit Nasıl Bulaşır?
Siber saldırganların hedef ağ veya bilgisayarlara erişmek için kullandığı en yaygın yöntemler şunlardır:
- Kimlik avı gibi sosyal mühendislik saldırıları ile kullanıcılar, kötü amaçlı yazılımları farkında olmayarak indirebilir. Böylece siber suçlular, işletim sistemine ait özellikleri kontrol edebilir ve ağ trafiğini yönetebilir.
- Ağ veya sistem kaynaklı ortaya çıkan siber güvenlik açıklarından yararlanarak rootkit virüsünü bilgisayara sızdırmak mümkündür. Penetrasyon testini yaptırmayan kurumlar, güvenlik açıklarının farkında olmayabilir.
- Kaynağı güvenilir olmayan dosyalar, belgeler ve uygulamalardaki içerikler rootkit virüsünü içerebilir. İlgili bağlantıyı tıklayıp yükleme yapmadan önce bağlantının kaynağını doğrulamanız gerekir.
Rootkit’in Zararları Nelerdir?
Rootkit virüsü, işletim sistemi bünyesindeki çekirdeğin yakınlarında ya da merkezinde çalıştığından bilgisayardaki komutları başlatma erişimine sahip olur. Nesnelerin İnterneti (Internet of Things) denilen IoT teknolojisinin gelişmesi ve dijitalleşmenin yaygınlaşmasıyla birlikte yalnızca bilgisayarların değil buzdolabı, kahve makinesi, termostat ve klima gibi cihazların da risk altında olduğu rootkit virüsünün zararları şunlardır:
- Siber saldırganlar rootkit ile kredi kartı ya da bankacılık uygulamasındaki bilgilere erişebilir.
- Rootkit, bilgisayar ve ağdaki güvenlik yazılımlarını devre dışı bırakarak DDoS saldırılarına yol açabilir. Bu saldırı sebebiyle sistemler ve uygulamalar devre dışı kalabilir.
- Rootkit ile spam olarak e-posta gönderilmesi mümkündür.
- İşletim sistemi üzerinde değişiklik yapabilen rootkit, uzak kullanıcılara yönetici erişimi sağlayabilir. Bu durum pek çok uygulamayı ve sistemi yetkilendirme, rol dağılımı ve güvenlik açısından riske atar.
Rootkit’in Bulaştığı Nasıl Anlaşılır?
Rootkit gizli kalma amacıyla tasarlandığından tespit edilmesi biraz zor olabilir. Web sayfalarının düzgün çalışmaması, mavi ekran hatası, Windows ayarlarının değiştirilmesi, web tarayıcısının çalışmaması ve cihaz performansında görülen yavaşlık gibi problemler rootkit bulaştığının bir işaretidir. Bu veya benzeri birkaç problem ile karşı karşıya kalıyorsanız antivirüs uygulamaları aracılığıyla virüs taraması yapabilirsiniz.
Rootkit Türleri
Rootkit türleri; kernel (çekirdek), bootloader (önyükleyici) ve memory (bellek) rootkit olmak üzere çeşitli kategorilere ayrılır.
Kernel (Çekirdek) Rootkit
İşletim sisteminin çekirdek düzeyini hedef alan kernel rootkit, en tehlikeli rootkit türlerinden biridir. Kernel rootkit ile siber saldırganlar, yalnızca bilgisayarınızın dosyalarına erişim sağlamakla kalmaz; bunun yanı sıra işletim sisteminin düzenini ve işleyişini de değiştirir.
Bootloader (Önyükleyici) Rootkit
Normal şartlarda önyükleyici aracılığıyla işletim sistemi bir bilgisayara yüklenir. Bootloader rootkit, gerçek önyükleyicinin sahtesi ile değiştirilmesidir. Böylece işletim sistemi yüklenmeden önce bootloader rootkit bilgisayarda aktif hâle gelerek işletim sisteminin kontrolünü ele geçirir.
Memory (Bellek) Rootkit
Bellek rootkit, bilgisayarın RAM bölgesinde gizlenerek arka planda çalışmaya devam eder ve bilgisayar kaynaklarını kullanır. Bu nedenle bilgisayarın çalışma performansı düşer fakat RAM’ler geçici olduğundan bilgisayar yeniden başlatılınca rootkitler de ortadan kaybolur. Çok önemli bir tehdit olmasa da kısa vadede performansı etkileyen memory rootkit, kalıcı olarak bilgisayarda yer almaz.
Rootkit Örnekleri
Tarihe damga vuran bazı rootkit örnekleri şunlardır:
ZeroAccess
2011 yılında ortaya çıkan ve milyonlarca bilgisayarın işletim sistemini etkileyen ZeroAccess, kernel rootkit türündendir. Bu rootkit aracılığıyla bilgisayarın işlevselliği doğrudan etkilenmez fakat bilgisayara zararlı yazılımlar yüklenerek siber saldırı yapılır.
Necurs
Teknik olarak karmaşık bir yapıya sahip Necurs, binlerce bilgisayarı etkileyen bir rootkit türüdür. 2012 yılından itibaren bulaşmaya devam eden Necurs, gittikçe gelişiyor.
Flame
Bilgisayarların işletim sistemlerini etkileyerek ekran görüntüsü alma, tuşları kaydetme, ağ trafiğini izleme ve ses kaydı alma gibi yetkinliklere erişen Flame, 2012 yılında keşfedildi.
TDSS
2008 yılında algılanan TDSS, önyükleyici rootkit olarak işletim sisteminin kurulum aşamasında yüklenir. Bu süreçte çalışan TDSS, sahteliğin algılanmasını zorlaştırır.
Berqnet Firewall ile Rootkit ve Siber Saldırılarına Karşı Güvenlik
Dijitalleşmeyle birlikte gitgide artan siber saldırılardan dolayı, Statista’ya göre siber güvenlik pazarının 2030 yılına kadar 538 milyar USD’ye çıkacağı tahmin ediliyor. Bu alandaki çalışmalardan biri olan Berqnet Firewall, bilgisayarların ağ ve işletim sistemi güvenliğini sağlamak amacıyla tasarlanan bir güvenlik duvarı çözümüdür. Kurumsal itibarınızı siber tehditlere karşı koruyan Berqnet Firewall, uygun yazılım ve donanımların birleştirilerek üretilmesinden ortaya çıkar. Rootkit işletim sistemini dolaylı ya da doğrudan etkilediğinden bu saldırının tespit edilmesi gerekir. Güvenlik duvarı çözümü, işletim sistemine yapılan saldırıların tespitinde ve bu saldırılara karşı korunmada önemli bir rol oynar. Berqnet Firewall kapsamında Web Filtreleme, IPS, IDS, VPN, Log Yönetimi ve Hotspot özellikleri yer alır ve birleşik bir yapıda siber tehditlere karşı koruma sağlar. Böylece ağ trafiği ve işletim sistemi yönetimini tek bir platform aracılığıyla takip edebilirsiniz.
Sıkça Sorulan Sorular
İşletim sistemini silmek ve yeniden yüklemek rootkitlerin ortadan kaybolması için iyi bir çözüm olsa da sürdürülebilir değildir. İşletim sistemi yeniden yüklendiğinde bir süre sonra tekrar rootkit devreye girebilir. Rootkitleri sürdürülebilir bir biçimde engellemek için kapsamlı bir siber güvenlik çözümü kullanabilir, uygulamalarınızı güncelleyebilir, yalnızca güvenilir kaynaklardan yükleme yapabilir ve kimlik avı gibi dolandırıcılıklara karşı dikkatli olabilirsiniz. Siber saldırganların güvenlik açıklarından yararlanmalarına fırsat vermemek için bilgisayarınızdaki işletim sistemini her zaman güncel tutmaya özen göstermelisiniz. Aynı zamanda bilgisayarın çalışma performansı üzerindeki değişiklikler de arka planda rootkit’in çalıştığına bir işaret olabilir. Böyle bir durumda ağ ve işletim sistemi trafiğini izleyebilir ve performans analizi yapabilirsiniz.
Windows işletim sisteminden rootkit kaldırma işlemi için öncelikle genel bir virüs taraması yapabilir ve bunun sonucunda problemler çözülmezse Windows’u silip yeniden yükleyebilirsiniz. Bu yükleme sürecinde harici bir ortam aygıtı kullanmak daha güvenli bir yoldur. Ayrıca bazı rootkitlerin BIOS’a erişmesi mümkündür. Bu durumda BIOS’a bulaşan rootkitler temizlenir ve işletim sistemi onarılır. Mac işletim sistemindeki cihazlar için ise güncellemeleri takip etmek oldukça önemlidir. Mac, bu güncellemeler ile yalnızca uygulamalara yeni özellikler ekleme yapmaz. Bu yeniliklerle birlikte işletim sistemindeki zararlı yazılımları kaldırır ve işletim sisteminde gereken bakımları yapar.
Rootkit’in temel amacı işletim sistemine, belleğe ve donanım katmanına erişmek ve kontrolü ele geçirmektir. Dolayısıyla rootkit, genel olarak düşük seviyeli programlama dilleri aracılığıyla yazılır. Makine diline daha yakın olan düşük seviyeli programlama dillerine örnek olarak Assembly, C ve C++ verilebilir. Böylece tasarlanan rootkit yazılımı bilgisayarlara çeşitli yöntemler ile yüklenir ve işletim sistemi, sürücü yazımı, sistem çekirdekleri ve bilgisayar belleği gibi yapılara etki eder.