بدافزار روت کیت چیست؟
این گونه بدافزار (Root Kit) نوعی مخرب می باشد. زمانی که به سیستم کاربر نفوذ می کند به صورتی که هیچ گونه ردپایی از خود باقی نمی گذارد حتی نرم افزارهای امنیتی نیز قادر به شناسایی آن نمی باشد. زمانی که Rootkit بر روی سیستم شما نصب می شود در پشت پرده قادر است به سیستم و فایل ها دسترسی داشته باشد و آن را از راه دور کنترل کند و آنها را به تنظیمات دلخواه خود تغییر دهد و حتی نرم افزارها را مجدد راه اندازی کند. قطعا با وجود این مواردی که ذکر شده است کنترل سیستم به صورت کامل از سمت کاربر خارج می گردد. با توجه به این که در زمان ورود Rootkit قابل شناسایی از طریق نرم افزارها امنیتی نمی باشد، در نتیجه عملیات خنثی کردن آن نیز راحت نیست.
نحوه گسترش روتکیتها:
در یک نگاه خوشبینانه، روتکیتها در نهایت امر برنامههای رایانهای هستند درست مثل هر برنامه دیگری که بهمنظور نصب و راهاندازی، باید اجرا شوند.
روتکیتها معمولاً از سه قسمت تشکیل شدهاند: (Dropper) بخشی از ویروس است که خود حاوی آلودگی خاصی نیست اما وظیفهاش نصب کد آلوده بر روی دستگاه قربانی میباشد، بارگذار (Loader) و خودِ روتکیت (rootkit).
dropper یک برنامه یا فایل اجرایی است که روتکیت را نصب میکند. احتمالاً شما این برنامه را از طریق یک پیوست در یک ایمیل فیشینگ مشکوک یا از طریق یک دانلود مخرب از وبسایتی عجیب و غریب یا ناشناخته گرفته باشید.
لزوماً dropper یک برنامه اجرایی نیست و ممکن است به شکلهای دیگری نیز وارد عمل شود. فایلهایی مانند فایلهای PDF و اسناد متنی ورد میتوانند برای نصب و راهاندازی روتکیت طراحی شده باشند تا در صورت باز شدن بهصورت خودکار شروع به نصب روتکیت کنند و اگر این مرحله انجام شود، دیگر خیلی دیر شده است.
آلودگی به روتکیت میتواند حتی از یک سند PDF یا فایل متنی Word ساده شروع شود.
با توجه به این مسئله، اگر درباره چیزهایی که در اینترنت جستجو میکنید و حتی بیشتر از آن درباره برنامههایی که نصب میکنید بیتوجه باشید، تقریباً آلودگی شما به روتکیت قطعی است. تبهکاران سایبری در مورد نحوه پنهان کردن بدافزارهای مخرب خود میتوانند کاملاً خلاقانه و مبتکرانه عمل کنند.
گاهی اوقات شما با یک روتکیت آلوده میشوید که از منابع قانونی و مشروع آمده است. در سال ۱۳۸۳، شرکت سونی ۲۲ میلیون لوح فشرده را به فروش رساند که روتکیت را بر روی رایانه نصب میکرد و همه تلاش خود را برای بهبود حفاظت از کپی و ایمنی حقوق دیجیتال در موزیک موجود بر روی دیسک انجام داد.
در سال ۱۳۹۴، شرکت «لنوو» (Lenovo) از روتکیتها برای نصب مجدد نرمافزار حذف شده بر روی کامپیوترهای فروختهشده خود و بهمنظور “ارسال اطلاعات قابل شناسایی و غیرشخصی در سیستم به سرورهای شرکت لنوو” استفاده کرد.
این روشهای تجاری نهتنها تهاجمی و غیراخلاقی هستند، بلکه حضور آنها یک تهدید امنیتی سایبری است؛ زیرا میتوان آنها را ربوده و برای مقاصد دیگری غیر از آنچه که برایش در نظر گرفته شدهاند استفاده کرد.
انواع روت کیت ها:
انواع مختلفی از روتکیت ها وجود دارند که برمبنای نوع آلودگی، عملکرد، مقاومت و سیستم هدف تقسیم بندی می شوند.
نوع هسته ای روتکیت برای تغییر عملکرد سیستم عامل طراحی شده است. این مدل معمولا کدهای خودش را برروی هسته سیستم عامل اضافه می کند و به همین دلیل به آن مدل هسته یا هسته ای می گویند. اغلب این نوع روتکیت ها از این قابلیت سیستم عامل که به درایورهای دستگاه ها اجازه دسترسی با اولویت می دهند استفاده می کنند تا به هسته سیستم عامل نفوذ کنند. بنابراین آنها به پکیج های درایورها یا ماژول ها تبدیل می شوند و اینگونه از شناسایی توسط آنتی ویروس ها نیز در امان می مانند.
روت کیت مدل کاربر یا اپلیکیشن یکی دیگر از انواع روتکیت ها است که فعالیتش همانند نرم افزارهای کاربردی دیگر است. برای مثال ممکن است که در “سیستم استارت آپ” اجرا شود یا اینکه توسط یک Dropper در سیستم تزریق شود. روش بستگی به سیستم عامل دارد. برای مثال روتکیت ویندوز معمولا تلاش می کند تا عملکرد Windows Dynamic link Library Files را دستکاری کند، اما در سیستم عامل لینوکس کل یک اپلیکیشن ممکن است که توسط روت کیت جایگزین شود.
نوع دیگر آنها، بوتکیت است که مستر بوت یک درایو سخت یا هرگونه دستگاه ذخیره ساز که به سیستم متصل می شود را آلوده می کند. بوتکیت ها قادرند فرایند بوت را مختل کنند و کنترل سیستم را بعد از انجام بوت در اختیار بگیرند. این نوع روت کیت ها برای حمله به سیستم ها برای رمزنگاری کل دیسک مورد استفاده قرار می گیرند.
روت کیت های Firmware با مخفی شدن در نرم افزارهای دستگاه ها و نصب خود برروی ایمیج های دستگاه هایی مانند کارت های شبکه ، بایوس ها، روترها و دیگر دستگاه های مشابه باعث آلودگی می شوند.
اغلب انواع آلودگی های روت کیت ها می توانند طولانی مدت بروی سیستم باقی بمانند، زیرا آنها خودشان را برروی دستگاه های ذخیره ساز به صورت دائمی نصب می کنند. اما روت کیت های حافظه خود را برروی RAM کامپیوتر فعال می کنند. این نوع روتکیت ها که به آنها روت کیت های Memory گفته می شود تنها تا زمانی که رم کامپیوتر پاک سازی نشده است باقی می مانند و بعد از اینکه کامپیوتر دوباره روشن شود از بین می روند.
پیشنهاد مطالعه: شناخت کرم رایانه ای و نحوه جلوگیری از آن
خانواده های روت کیت:
» روتکیت زیرو اکسس(zeroaccess) یا “دسترسی صفر”
این روتکیت مسئول ایجاد یک باتنت زیرو اکسس است، که منابع رایانه شما را درست به مانند یک معدن برای استخراج بیتکوینهای موردنیازش تبدیل میکند و یا شما را به کلیک بر ایمیلهای تبلیغاتی فریبنده تشویق میکند. و حدود 1 الی 2 میلیون کامپیوتر دارای این بات نت هستند.
» روت کیت TDSS / Alureon / TDL
روت کیت TDL TDSS به دنبال شکار اطلاعات شخصی شما مانند دادههای کارت اعتباری، حسابهای بانکی آنلاین، گذرواژهها، شماره امنیت اجتماعی و … است.
» روتکیت «نکیورس» (Necurs)
روت کیت نکیورس یکی از بزرگترین بات نت های فعال در سراسر جهان است و در حال گسترش هرزنامه های باج افزار لاکی (Locky) و بدافزار مالی (Dridex) است. و از بدافزارهای دیگر محافظت میکند و کامپیوترتان در چنگ بات نت ها گرفتار میکند.
نشانه های آلوده بودن به روت کیت:
یکی از اهداف اصلی روت کیت اجتناب از شناخته شدن توسط نرم افزارها و سخت افزارهای امنیتی است. این بدین معنی است که نشانه های خیلی واضحی از آلوده بودن به روت کیت وجود نخواهد داشت.
یکی از نشانه های معمول آلوده بودن به روت کیت متوقف شدن نرم افزار آنتی ویروس است. روت کیت ها می توانند یک نرم افزار ضد بدافزار را متوقف کنند و این نشانه ای از وجود آنها است.
یکی دیگر از علائم آلوده بودن به روت کیت زمانی مشاهده می شود که تنظیمات ویندوز بدون دخالت کاربر تغییر می کنند. بعضی اوقات این تغییرات واضح و عجیب هستند، مانند تغییر بک گراند ویندوز یا ابزار وظایف.
از دیگر علایم وجود روتکیت در سیستم می توان به کاهش سرعت عملکرد CPU یا جستجوگر اینترنت نیز اشاره کرد که هر کدام می توانند گویای وجود روتکیت در کامپیوتر شما باشد.
شناسایی و حذف روتکیت:
همانگونه که قبلا نیز گفتیم روتکیت ها به گونه ای طراحی شده اند که به راحتی شناسایی نمی شوند و به همین دلیل حذف آنها ساده نیست. آنها همیشه تلاش می کنند تا خود را مخفی نگاه دارند تا از نرم افزارهای امنیتی مانند آنتی ویروس ها یا ادمین ها اجتناب کنند. اما زمانی که سیستمی را آلوده کنند ریسک امنیتی آن را به شدت بالا می برند.
نرم افزارهای آنتی ویروس قوی و مدرن که تکنولوژی های پیچیده ای استفاده می کنند قادر به شناسایی روتکیت ها هستند. برای مثال آنتی ویروس اف سکیور می گوید که تمام روت کیت ها را شناسایی می کند و کسپرسکی نیز چنین ادعایی دارد. همچنین نرم افزارهایی مخصوص روتکیت نیز وجود دارد که می توانند برای شناسایی روتکیت ها مورد استفاده قرار گیرند. اما نکته ای وجود دارد حذف روتکیت ها است.
همانگونه که گفته شد، اغلب روت کیت ها در سیستم عامل یا دیسک سخت ادغام می شوند و حذف آنها باعث می شود که به آنها آسیب وارد شود و در انجام وظایف دچار اختلال شوند. با این وجود نرم افزارهای امنیتی که قابلیت ضد روت کیت دارند می توانند آنها را شناسایی کنند و گاهی آنها را حذف کنند. ولی حذف کامل برخی از آنها بسیار دشوار است.
یکی از راه ها پاک کردن سیستم عامل و نصب دوباره آن است که به شما کمک می کند به صورت کامل از دست این بدافزار نجات پیدا کنید. پاک کردن بوتکیت ها نیازمند راه اندازی یک سیستم عامل امن برای دسترسی به ذخیره ساز دستگاه آلوده است.
روت کیت هایی که برروی حافظه هستند با دوباره روشن کردن از بین می روند ولی گاهی نیاز به این دارید تا منشا آن را حذف کنید که ممکن برروی شبکه داخلی شما باشد.
استفاده از آنتی ویروس هایی که قابلیت مقابله و شناسایی روت کیت دارند و آموزش های امنیت سایبری برای جلوگیری از آلودگی به شما پیشنهاد می شود. زیرا بهترین راه برای در امان بودن پیشگیری از آلودگی است.