Jynx Rootkit Analiz
İster Network, ister tek bir bilgisayar olsun, izinsiz giriş erişimi sağlayan kişi, sistem üzerinde görünmezlik isteyecektir. Bunun içinde çeşitli yollara başvurabilir. Görünmezlik iksirinin en büyük kaynağı Rootkitlerdir. {/*‘Rootkit nedir?’ sorusuna ilişkin eski yazıma bakabilirsiniz(Referanslar)*/} *nix sistem üzerinde algılanmamak için kullanılan temel işlem, başlı başına bu işi görecek gerekli Rootkit aracını yüklemektir. Rootkitleri sisteme entegre etmek için kullanılan en önemli başvuru kaynağı Kernel Modülüdür. Kötü amaçla yazılan ve Çekirdeğe eklenen modül, saldırganın yakalanma riskini en aza indirir. Fakat LKM’nin(Linux Kernel Module) bir tehlikesi de şudur; sistemde gizli olmak yerine hatalı bir işlem yapılırsa ansızın “Kernel Panic” uyarısıyla sistem tamamen kilitlenir. Neticesinde şüpheli bir durum oluşur.
Diğer bir yöntem ise yakalanma durumunu en yüksek noktasına çıkaran işlem; orijinal dosyaları(çalıştırılabilir), Rootkitin dosyalarıyla yer değiştirmektir(Örn: netstat uygulamasının değiştirilmesi). Böylece sisteme girilen komut, sistem yöneticisini şaşırtır. Sahte çıktılar üretir.
Aynı zamanda Rootkit yakalama araçları tarafından kolay tespit edilir(Örn: rkhunter).
Devamı:
https://dl.packetstormsecurity.net/papers/general/jynx-rootkit.pdf
Share
& Comment
Tweet