Linux Sunucularda Rootkit Tespiti – Rkhunter ile Chkrootkit Performansı

Merhaba

Rootkit yazılımları, saldırganların ele geçirdikleri sisteme daha sonra erişim sağlayabilmelerine imkan sunan zararlı yazılımlardır. Bu yazılımlar, sistem yöneticilerinden saklanmak ve sistemde ki varlığını gizlemek için birden fazla tekniğe başvurmaktadır. Azazel  ve Jynx 2.0 rootkitlerinin özellikleri incelendiğinde, sistem yöneticileri tarafından tespit edilebilmesi gerçekten zordur.

Bu tür rootkit yazılımlarının sistemdeki varlığını kontrol eden rootkit tespit yazılımları bulunmaktadır. Chkrootkit ve rkhunter yazılımları bu işi yapan araçların en popülerleri arasındadır. Bir çok repository’de bulunan ve kurulumu kolay olan bu araçlar, sistemde bilinen rootkit’leri tespit etmektedir.

Rootkit ve rootkit tespit yazılımlarının süreci aşağıdaki şekildedir.

  1. Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir.
  2. Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler.
  3. Tespit edilen rootkit’in kullandığı teknikler analiz edilir
  4. Yeni rootkit, rootkit tespiti araçlarına tanıtılır.

Bu sürece en güzel örnek Jynx  isimli rootkit ilk çıktığı tarafından Chkrootkit ve Rkhunter tarafından tespit edilemiyordu. Yapıyı daha iyi anlatabilmek adına rkhunter ‘in web sayfasına baktığımızda, son güncelleme için changelog’da aşağıdaki satırlar bulunmaktadır.

Chkrootkit ve Rkhunter Kurulumu

Bu iki aracın CentOS üzerine kurulumları oldukça basittir. Kurulum için EPEL reposunun sisteme tanıtılması gerekmektedir.

EPEl reposunun tanıtılmasından sonra aşağıdaki komut ile kurulum tamamlanır.

Chkrootkit ve Rkhunter Kullanımı

Rootkit tespit araçlarının kullanımı oldukça basittir. Komut çalıştırıldıktan sonra sisteminizi tarayarak sonuçlar ekrana yazılmaktadır.

Chkrootkit’in çalıştırılması için aşağıdaki komut verilmelidir.

Chkrootkit çalıştırıldığında ise aşağıdaki şekilde çıktı verecektir.

chkrootkit output

rkhunter’ın kullanımı için aşağıdaki komut verilmelidir.

rkhunter çalışmaya başladığında ise  sistemi rootkitler için tarayacak ve aşağıdaki ekran görüntüsünde çıktılar sunacaktır.

rkhunter output

Chrootkit ve Rkhunter’ın Azazel Rootkit’i ile Test Edilmesi

Özelliklerine ve kurulumuna buradaki yazı ile ulaşabileceğiniz Azazel son derece tehlikeli ve güçlü rootkitlerden bir tanesidir.

Test Ortamı :

  • CentOS 6.4 2.6.32-431.5.1.el6.i686 son güncellemeleri yapılmış linux dağıtımı.
  • chrootkit ve rkhunter kurulu
  • Saldırgan tarafından Azazel rootkit’i kurulu.

Azazel test ortamına indirilerek make install komutu ile kurulmuştur. Kurulumdan sonra chrootkit ve rkhunter araçları çalıştırılıp tespit işleminde başarılı olup olmadıkları kontrol edilmiştir.

Sonuçlar :

Rkhunter Azazel rootkit’ini tespit edememiştir.

Chkrootkit Azazel rootki’ini tespit edememiştir.

  • FY

    Hocam peki güncel versiyonlar Azazel Rootkit’i tespt edebiliyor mu ?

    • Merhaba, deneyip sonuçları bizimle paylaşabilir misin :-)