Kök kullanıcı takımları, varlıklarını gizlerken bir işletim sisteminde ayrıcalıklı erişim sağlayan gizli yazılımlar koleksiyonudur. İyi huylu programlar olarak davranarak, kötü amaçlı yazılımları, tuş kaydedicileri, şifre ve kimlik bilgisi hırsızlarını ve bir bilgisayara veya ağa sızmak için tasarlanmış botları gizleyerek siber suçluların korumalı verilere erişmesine ve sistemi fark edilmeden ele geçirmesine izin verir.
Rootkit'ler bir USB aracılığıyla kurulabilir veya kimlik avı gibi sosyal mühendislik taktikleri aracılığıyla bir bilgisayara indirilebilir. Rootkit'ler yüklendikten sonra farkedilemez ve antivirüs veya kötü amaçlı yazılımdan koruma gibi güvenlik araçlarını engelleyebilir. Bir rootkit yalnızca varlığını değil, aynı zamanda kötü amaçlı yazılımları, virüsleri ve diğer yazılım yüklerini de gizlice çalışacak şekilde gizler. Sisteme bulaşırlar, bir arka kapı girişi oluştururlar ve bilgisayar korsanlarına, sahibinin bilgisi veya izni olmadan bir bilgisayara veya ağa uzaktan erişmeleri için yönetim düzeyinde ayrıcalıklar sağlarlar.
Rootkitlerin kullanımı
Rootkit'ler korsanlıkla mücadele, dijital haklar yönetimini (DRM) uygulama, çevrimiçi oyunlarda hileyi ortaya çıkarma ve önleme ve bir bal küpündeki saldırıları tanıma gibi iyilik için bir güç olabilir. Ancak genel olarak, rootkit'ler, bilgisayar korsanlarının yetkisiz erişim sağlaması, kötü amaçlı yazılım programlarını gizlemesi ve ağdaki diğer bilgisayarlara saldırmak için risk altındaki işletim sistemini bir ana bilgisayara dönüştürmesi için bir platformdur.
Rootkit türleri
Rootkit'ler sisteme girer girmez artan ayrıcalıklarla davranırlar ve bir Truva atı gibi hareket edebilirler, güvenlik araçlarını bozarak ve bir işletim sisteminin sürücülerini ve çekirdek modüllerini değiştirerek varlıklarını gizleyebilirler. Beş çeşidi vardır:
- Kullanıcı modu kullanıcı olarak diğer uygulamalarla birlikte çalışır ve bilgisayara sınırlı erişimle Ring 3 seviyesinde çalışır. Ancak süreçleri durdurabilir, değiştirebilir, değiştirebilir ve diğer uygulamaların belleğinin üzerine yazabilir.
- Çekirdek modu bir işletim sisteminin yöneticisiyle aynı ayrıcalıkları paylaşan Ring 0'da davranıp çalıştığı için tespit edilmesi ve kaldırılması en zor olandır.
- Bootkit'ler disk şifrelemesine saldırmak için bilgisayarın başlangıç kodunu veya önyükleme kesimini etkileyen bir tür çekirdek modu rootkitidir.
- Hiper donanımın sanallaştırma özelliklerinden yararlanır ve işletim sistemi ile donanım arasındaki iletişimi engeller. İşletim sistemini barındıran sanal bir makine gibi davranır.
- firmware rootkit'ler, sabit sürücü, RAM, ağ kartı, yönlendirici ve kart okuyucu gibi bir aygıtın veya platform sabit yazılımının sistem BIOS'unda gizlidir.
Tespit ve kaldırma
Rootkit'leri tespit etmek, özellikle işletim sistemi zaten etkilenmişse, bozulmuşsa ve çekirdek modu rootkit tarafından tehlikeye atılmışsa zor olabilir. Ancak, antivirüs yazılımı kullanmak, sistemin bütünlüğünü kontrol etmek, CPU kullanımını ve ağ trafiğini izlemek, imza taramak ve fark tabanlı algılamayı kullanmak dahil olmak üzere, rootkit'leri tespit etmenin yolları vardır.
Rootkit'lerin maskesini kaldırmak zor olabildiği gibi, manuel olarak kaldırılması da imkansızdır. Ancak bazı rootkit'ler antivirüs veya antimalware tarafından tespit edilebilir ve kaldırılabilir. Kök kullanıcı takımlarından kurtulmanın en kolay yolu, işletim sistemini ve uygulamalarını yeniden yüklemektir.