سئو و بهینه سازی

بدافزار روت کیت (Root Kit) چیست؟

بدافزار روت کیت (Root Kit) چیست؟

بدافزار روت کیت چیست؟

این گونه بدافزار (Root Kit) نوعی مخرب می باشد. زمانی که به سیستم کاربر نفوذ می کند به صورتی که هیچ گونه ردپایی از خود باقی نمی گذارد حتی نرم افزارهای امنیتی نیز قادر به شناسایی آن نمی باشد. زمانی که Rootkit بر روی سیستم شما نصب می شود در پشت پرده قادر است به سیستم و فایل ها دسترسی داشته باشد و آن را از راه دور کنترل کند و آنها را به تنظیمات دلخواه خود تغییر دهد و حتی نرم افزارها را مجدد راه اندازی کند. قطعا با وجود این مواردی که ذکر شده است کنترل سیستم به صورت کامل از سمت کاربر خارج می گردد. با توجه به این که در زمان ورود Rootkit قابل شناسایی از طریق نرم افزارها امنیتی نمی باشد، در نتیجه عملیات خنثی کردن آن نیز راحت نیست.

نحوه گسترش روت‌کیت‌ها:

در یک نگاه خوش‌بینانه، روت‌کیت‌ها در نهایت امر برنامه‌های رایانه‌ای هستند درست مثل هر برنامه دیگری که به‌منظور نصب و راه‌اندازی، باید اجرا شوند.

روت‌کیت‌ها معمولاً از سه قسمت تشکیل شده‌اند: (Dropper) بخشی از ویروس است که خود حاوی آلودگی خاصی نیست اما وظیفه‌اش نصب کد آلوده بر روی دستگاه قربانی می‌باشد، بار‌گذار (Loader) و خودِ روت‌کیت (roo‌tkit).

drop‌per یک برنامه یا فایل اجرایی است که روت‌کیت را نصب می‌کند. احتمالاً شما این برنامه را از طریق یک پیوست در یک ایمیل فیشینگ مشکوک یا از طریق یک دانلود مخرب از وب‌سایتی عجیب و غریب یا ناشناخته گرفته باشید.

لزوماً dro‌pper یک برنامه اجرایی نیست و ممکن است به شکل‌های دیگری نیز وارد عمل شود. فایل‌هایی مانند فایل‌های PDF و اسناد متنی ورد می‌توانند برای نصب و راه‌اندازی روت‌کیت طراحی شده باشند تا در صورت باز شدن به‌صورت خودکار شروع به نصب روت‌کیت کنند و اگر این مرحله انجام شود، دیگر خیلی دیر شده است.

آلودگی به روت‌کیت می‌تواند حتی از یک سند PDF یا فایل متنی Word ساده شروع شود.

با توجه به این مسئله، اگر درباره چیزهایی که در اینترنت جستجو می‌کنید و حتی بیشتر از آن درباره برنامه‌هایی که نصب می‌کنید بی‌توجه باشید، تقریباً آلودگی شما به روت‌کیت قطعی است. تبهکاران سایبری در مورد نحوه پنهان کردن بدافزارهای مخرب خود می‌توانند کاملاً خلاقانه و مبتکرانه عمل کنند.

گاهی اوقات شما با یک روت‌کیت آلوده می‌شوید که از منابع قانونی و مشروع آمده است. در سال ۱۳۸۳، شرکت سونی ۲۲ میلیون لوح فشرده را به فروش رساند که روت‌کیت را بر روی رایانه نصب می‌کرد و همه تلاش خود را برای بهبود حفاظت از کپی و ایمنی حقوق دیجیتال در موزیک موجود بر روی دیسک انجام داد.

در سال ۱۳۹۴، شرکت «لنوو» (Lenovo) از روت‌کیت‌ها برای نصب مجدد نرم‌افزار حذف شده بر روی کامپیوترهای فروخته‌شده خود و به‌منظور “‌ارسال اطلاعات قابل شناسایی و غیرشخصی در سیستم به سرورهای شرکت لنوو” استفاده کرد.

این روش‌های تجاری نه‌تنها تهاجمی و غیراخلاقی هستند، بلکه حضور آن‌ها یک تهدید امنیتی سایبری است؛ زیرا می‌توان آن‌ها را ربوده و برای مقاصد دیگری غیر از آنچه که برایش در نظر گرفته شده‌اند استفاده کرد.

انواع روت کیت ها:

انواع مختلفی از روتکیت ها وجود دارند که برمبنای نوع آلودگی، عملکرد، مقاومت و سیستم هدف تقسیم بندی می شوند.

نوع هسته ای روتکیت برای تغییر عملکرد سیستم عامل طراحی شده است. این مدل معمولا کدهای خودش را برروی هسته سیستم عامل اضافه می کند و به همین دلیل به آن مدل هسته یا هسته ای می گویند. اغلب این نوع روتکیت ها از این قابلیت سیستم عامل که به درایورهای دستگاه ها اجازه دسترسی با اولویت می دهند استفاده می کنند تا به هسته سیستم عامل نفوذ کنند. بنابراین آنها به پکیج های درایورها یا ماژول ها تبدیل می شوند و اینگونه از شناسایی توسط آنتی ویروس ها نیز در امان می مانند.

روت کیت مدل کاربر یا اپلیکیشن یکی دیگر از انواع روتکیت ها است که فعالیتش همانند نرم افزارهای کاربردی دیگر است. برای مثال ممکن است که در “سیستم استارت آپ” اجرا شود یا اینکه توسط یک Dropper در سیستم تزریق شود. روش بستگی به سیستم عامل دارد. برای مثال روتکیت ویندوز معمولا تلاش می کند تا عملکرد Windows Dynamic link Library Files را دستکاری کند، اما در سیستم عامل لینوکس کل یک اپلیکیشن ممکن است که توسط روت کیت جایگزین شود.

نوع دیگر آنها، بوتکیت است که مستر بوت یک درایو سخت یا هرگونه دستگاه ذخیره ساز که به سیستم متصل می شود را آلوده می کند. بوتکیت ها قادرند فرایند بوت را مختل کنند و کنترل سیستم را بعد از انجام بوت در اختیار بگیرند. این نوع روت کیت ها برای حمله به سیستم ها برای رمزنگاری کل دیسک مورد استفاده قرار می گیرند.

روت کیت های Firmware با مخفی شدن در نرم افزارهای دستگاه ها و نصب خود برروی ایمیج های دستگاه هایی مانند کارت های شبکه ، بایوس ها، روترها و دیگر دستگاه های مشابه باعث آلودگی می شوند.

اغلب انواع آلودگی های روت کیت ها می توانند طولانی مدت بروی سیستم باقی بمانند، زیرا آنها خودشان را برروی دستگاه های ذخیره ساز به صورت دائمی نصب می کنند. اما روت کیت های حافظه خود را برروی RAM کامپیوتر فعال می کنند. این نوع روتکیت ها که به آنها روت کیت های Memory گفته می شود تنها تا زمانی که رم کامپیوتر پاک سازی نشده است باقی می مانند و بعد از اینکه کامپیوتر دوباره روشن شود از بین می روند.

پیشنهاد مطالعه: شناخت کرم رایانه ای و نحوه جلوگیری از آن

خانواده های روت کیت:

» روت‌کیت زیرو اکسس(zeroaccess) یا “دسترسی صفر”

این روت‌کیت مسئول ایجاد یک بات‌نت زیرو اکسس است، که منابع رایانه شما را درست به مانند یک معدن برای استخراج بیت‌کوین‌های موردنیازش تبدیل می‌کند و یا شما را به کلیک بر ایمیل‌های تبلیغاتی فریبنده تشویق می‌کند. و حدود 1 الی 2 میلیون کامپیوتر دارای این بات نت هستند.

» روت کیت TDSS / Alureon / TDL

روت کیت TDL TDSS به دنبال شکار اطلاعات شخصی شما مانند داده‌های کارت اعتباری، حساب‌های بانکی آنلاین، گذرواژه‌ها، شماره امنیت اجتماعی و … است.

» روت‌کیت «نکیورس» (Necurs)

روت کیت نکیورس یکی از بزرگترین بات نت های فعال در سراسر جهان است و در حال گسترش هرزنامه های باج افزار لاکی (Locky) و بدافزار مالی (Dridex) است. و از بدافزارهای دیگر محافظت میکند و کامپیوترتان در چنگ بات نت ها گرفتار میکند.

نشانه های آلوده بودن به روت کیت:

یکی از اهداف اصلی روت کیت اجتناب از شناخته شدن توسط نرم افزارها و سخت افزارهای امنیتی است. این بدین معنی است که نشانه های خیلی واضحی از آلوده بودن به روت کیت وجود نخواهد داشت.

یکی از نشانه های معمول آلوده بودن به روت کیت متوقف شدن نرم افزار آنتی ویروس است. روت کیت ها می توانند یک نرم افزار ضد بدافزار را متوقف کنند و این نشانه ای از وجود آنها است.

یکی دیگر از علائم آلوده بودن به روت کیت زمانی مشاهده می شود که تنظیمات ویندوز بدون دخالت کاربر تغییر می کنند. بعضی اوقات این تغییرات واضح و عجیب هستند، مانند تغییر بک گراند ویندوز یا ابزار وظایف.

از دیگر علایم وجود روتکیت در سیستم می توان به کاهش سرعت عملکرد CPU یا جستجوگر اینترنت نیز اشاره کرد که هر کدام می توانند گویای وجود روتکیت در کامپیوتر شما باشد.

شناسایی و حذف روتکیت:

همانگونه که قبلا نیز گفتیم روتکیت ها به گونه ای طراحی شده اند که به راحتی شناسایی نمی شوند و به همین دلیل حذف آنها ساده نیست. آنها همیشه تلاش می کنند تا خود را مخفی نگاه دارند تا از نرم افزارهای امنیتی مانند آنتی ویروس ها یا ادمین ها اجتناب کنند. اما زمانی که سیستمی را آلوده کنند ریسک امنیتی آن را به شدت بالا می برند.

نرم افزارهای آنتی ویروس قوی و مدرن که تکنولوژی های پیچیده ای استفاده می کنند قادر به شناسایی روتکیت ها هستند. برای مثال آنتی ویروس اف سکیور می گوید که تمام روت کیت ها را شناسایی می کند و کسپرسکی نیز چنین ادعایی دارد. همچنین نرم افزارهایی مخصوص روتکیت نیز وجود دارد که می توانند برای شناسایی روتکیت ها مورد استفاده قرار گیرند. اما نکته ای وجود دارد حذف روتکیت ها است.

همانگونه که گفته شد، اغلب روت کیت ها در سیستم عامل یا دیسک سخت ادغام می شوند و حذف آنها باعث می شود که به آنها آسیب وارد شود و در انجام وظایف دچار اختلال شوند. با این وجود نرم افزارهای امنیتی که قابلیت ضد روت کیت دارند می توانند آنها را شناسایی کنند و گاهی آنها را حذف کنند. ولی حذف کامل برخی از آنها بسیار دشوار است.

یکی از راه ها پاک کردن سیستم عامل و نصب دوباره آن است که به شما کمک می کند به صورت کامل از دست این بدافزار نجات پیدا کنید. پاک کردن بوتکیت ها نیازمند راه اندازی یک سیستم عامل امن برای دسترسی به ذخیره ساز دستگاه آلوده است.

روت کیت هایی که برروی حافظه هستند با دوباره روشن کردن از بین می روند ولی گاهی نیاز به این دارید تا منشا آن را حذف کنید که ممکن برروی شبکه داخلی شما باشد.

استفاده از آنتی ویروس هایی که قابلیت مقابله و شناسایی روت کیت دارند و آموزش های امنیت سایبری برای جلوگیری از آلودگی به شما پیشنهاد می شود. زیرا بهترین راه برای در امان بودن پیشگیری از آلودگی است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *