Merhaba
Rootkit yazılımları, saldırganların ele geçirdikleri sisteme daha sonra erişim sağlayabilmelerine imkan sunan zararlı yazılımlardır. Bu yazılımlar, sistem yöneticilerinden saklanmak ve sistemde ki varlığını gizlemek için birden fazla tekniğe başvurmaktadır. Azazel ve Jynx 2.0 rootkitlerinin özellikleri incelendiğinde, sistem yöneticileri tarafından tespit edilebilmesi gerçekten zordur.
Bu tür rootkit yazılımlarının sistemdeki varlığını kontrol eden rootkit tespit yazılımları bulunmaktadır. Chkrootkit ve rkhunter yazılımları bu işi yapan araçların en popülerleri arasındadır. Bir çok repository’de bulunan ve kurulumu kolay olan bu araçlar, sistemde bilinen rootkit’leri tespit etmektedir.
Rootkit ve rootkit tespit yazılımlarının süreci aşağıdaki şekildedir.
- Black Hat dünyasıda chkrootkit ve rkhunter gibi araçlar tarafından tespit edilemeyen bir rootkit geliştirir.
- Bir zaman sonra güvenlik araştırmacıları yeni rootkit’i tespit ederler.
- Tespit edilen rootkit’in kullandığı teknikler analiz edilir
- Yeni rootkit, rootkit tespiti araçlarına tanıtılır.
Bu sürece en güzel örnek Jynx isimli rootkit ilk çıktığı tarafından Chkrootkit ve Rkhunter tarafından tespit edilemiyordu. Yapıyı daha iyi anlatabilmek adına rkhunter ‘in web sayfasına baktığımızda, son güncelleme için changelog’da aşağıdaki satırlar bulunmaktadır.
... Added Jynx rootkit check. Added Turtle/Turtle2 rootkit check. Added KBeast rootkit check. ...
Chkrootkit ve Rkhunter Kurulumu
Bu iki aracın CentOS üzerine kurulumları oldukça basittir. Kurulum için EPEL reposunun sisteme tanıtılması gerekmektedir.
wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm wget http://rpms.famillecollet.com/enterprise/remi-release-6.rpm sudo rpm -Uvh remi-release-6*.rpm epel-release-6*.rpm
EPEl reposunun tanıtılmasından sonra aşağıdaki komut ile kurulum tamamlanır.
yum install -y chkrootkit rkhunter
Chkrootkit ve Rkhunter Kullanımı
Rootkit tespit araçlarının kullanımı oldukça basittir. Komut çalıştırıldıktan sonra sisteminizi tarayarak sonuçlar ekrana yazılmaktadır.
Chkrootkit’in çalıştırılması için aşağıdaki komut verilmelidir.
chkrootkit
Chkrootkit çalıştırıldığında ise aşağıdaki şekilde çıktı verecektir.
rkhunter’ın kullanımı için aşağıdaki komut verilmelidir.
rkhunter --check
rkhunter çalışmaya başladığında ise sistemi rootkitler için tarayacak ve aşağıdaki ekran görüntüsünde çıktılar sunacaktır.
Chrootkit ve Rkhunter’ın Azazel Rootkit’i ile Test Edilmesi
Özelliklerine ve kurulumuna buradaki yazı ile ulaşabileceğiniz Azazel son derece tehlikeli ve güçlü rootkitlerden bir tanesidir.
Test Ortamı :
- CentOS 6.4 2.6.32-431.5.1.el6.i686 son güncellemeleri yapılmış linux dağıtımı.
- chrootkit ve rkhunter kurulu
- Saldırgan tarafından Azazel rootkit’i kurulu.
Azazel test ortamına indirilerek make install komutu ile kurulmuştur. Kurulumdan sonra chrootkit ve rkhunter araçları çalıştırılıp tespit işleminde başarılı olup olmadıkları kontrol edilmiştir.
Sonuçlar :
Rkhunter Azazel rootkit’ini tespit edememiştir.
Chkrootkit Azazel rootki’ini tespit edememiştir.