Telekom Portal

Rootkit nedir? (Kök Kullanıcı Takımları)

UNIX iÅŸletim sistemlerinde, linux türevlerinde  yönetici anlamına gelen “root” isminden gelen kök kullanıcı takımları, saldırganın bir sistemin kontrolünü ele geçirdikten sonra, bilgisayar sistemine eklenen yazılımlardır. Bunlar, kayıt (log) girdilerini silerek veya saldırganın iÅŸlemlerini gizleyerek, saldırının izlerini temizleyen araçlar ve saldırganın sisteme daha sonraki giriÅŸlerini kolaylaÅŸtıracak arka kapıları düzenleyen araçlardır. UNIX iÅŸletim sisteminde bulunan netstat, ps, ls, du, ifconfig ve login gibi komut programlarının orijinalleri yerine geçen ve asıl iÅŸlevleri dışında korsana farklı imkânlar sunabilen kök kullanıcı takımındaki programlar, orijinalleri ile aynı saÄŸlama toplamına (checksum) sahip olacak ÅŸekilde düzenlendiÄŸinden; bu programların orijinallerinden farklı olduÄŸunu anlamak sadece kriptografik özet karşılaÅŸtırması yapabilen “tripwire” ismi verilen bütünlük tarama programları ile mümkün olabilmektedir.
ps komutu saldırgana ait kötü amaçlı iÅŸlemleri saklamak için;
ls komutu gizlenmesi gereken dosya ve dizinleri saklamak için;
du komutu saldırgan program ve kök kullanıcı takımları tarafından kullanılan disk alanını saklamak için deÄŸiÅŸtirilmektedir.
Çekirdek seviyesinde kök kullanıcı takımları, iÅŸletim sistemine çekirdek (kernel) seviyesinde çengel (hook) attıklarından, fark edilmeleri oldukça güçtür. UNIX ve türevi iÅŸletim sistemleri dışında Windows 2000 ve NT sistemleri için de kök kullanıcı takımları Ä°nternet üzerinde rahatlıkla elde edilebilmektedir.
Bu tip kötü amaçlı yazılımlarıda anti-spyware ve anti-rootkit programları ile taratarak temizlemek gerekir.