روت کیت چیست؟

در میان بدافزارهای مختلفی که به سامانه‌های منفرد و زیرساخت‌ها حمله می‌کنند بدافزار روت کیت خطرناک‌ترین آن‌ها هستند، زیرا در بیشتر موارد شناسایی آن‌ها سخت است و اگر موفق شوند خود را به هسته سیستم‌عامل یا میان‌افزار مولفه‌های زیرساختی نظیر پردازنده‌های مرکزی یا بایوس برسانند ممکن است برای همیشه روی سامانه باقی بمانند.

روت کیت‌ها گونه‌ای از بدافزارها هستند که برای آلوده کردن یک رایانه مورد استفاده قرار می‌گیرند و به مهاجم اجازه می‌دهند تا مجموعه‌ای از ابزارها که به آن‌ها امکان دسترسی از راه دور را می‌دهد نصب کنند. این بدافزار عمدتا در اعماق سیستم قربانیان پنهان می‌شود و به گونه‌ای طراحی می‌شود که مقابل راهکارهای امنیتی و برنامه‌ای ضد تروجان، جان سالم به در برد.

یک روت کیت ممکن است حاوی چندین ابزار مخرب همانند کی لاگر، سرقت برنده پسوردها، ماژولی برای سرقت کارت‌های اعتباری یا اطلاعات بانکی و البته یک ربات برای انجام حملات DDOS یا غیر فعال کننده عملکردهای نرم افزارهای امنیتی باشد!

روت کیت‌ها عموما از درب پشتی اقدام به حمله می‌کنند تا بتوانند هر زمان که مایل بودند از راه دور به هر قسمت خاص از دستگاه آلوده قربانی اتصال برقرار کنند. برخی از نمونه‌های روت کیت مبتنی بر ویندوز TDSS, ZeroAccess, Alureon and Necurs بودند.

رایانه‌ای که تحت سلطه روت‌کیت و نهایتاً هکر قرار می‌گیرد را زامبی (Zombie) می‌نامند. اگر ضایعه‌ای در شبکه رایانه‌ها پیدا شود، با پیگیری آن به زامبی می‌رسیم و هکر نمی‌تواند ردیابی شود.

نحوه عملکرد

مکانیزم کاری بیشتر روت کیت‌ها پیچیده است. عملکرد روت کیت‌ها به این صورت است که پردازه‌هایی را روی سیستم‌عامل قربانی (ویندوز، لینوکس و به ندرت مک) ایجاد کرده و به اجرا در می‌آورند که نرم‌افزارهایی مثلTask Manager  قادر به مشاهده آن‌ها نیستند. در ادامه در سیستم‌عامل‌هایی مثل ویندوز کلیدهایی در رجیستری ویندوز ایجاد می‌کنند که نقش پل ارتباطی را دارند و به روت کیت اجازه می‌دهند به اینترنت متصل شود. کانال‌های ارتباطی به‌گونه‌ای ایجاد می‌شوند که ابزارهای شبکه مثل Netstat قادر به مشاهده آن‌ها نیستند.

در مرحله بعد روت کیت‌ها با ایجاد در‌های پشتی روی سامانه قربانیان راه را برای ورود بدافزارها به سیستم‌عامل هموار می‌کنند. بدافزارهایی که توسط روت کیت‌ها به سیستم‌عامل قربانیان وارد می‌شوند به دو گروه تقسیم می‌شوند:

1. گروه اول، بدافزارهای پوششی هستند که توسط نرم‌افزارهای امنیتی به راحتی شناسایی می‌شوند. این بدافزارها با هدف ایجاد رخنه‌ها یا به وجود آوردن شکاف‌هایی در حافظه اصلی به سیستم‌عامل قربانی وارد می‌شوند و به منظور آماده‌سازی زمینه برای ورود بدافزارهای اصلی به کار گرفته می‌شوند.
2. گروه دوم بدافزارهایی هستند که توسط نرم‌افزارهای امنیتی شناسایی نمی‌شوند و با هدف استراق سمع و جمع‌آوری اطلاعات کاربران به سامانه‌ها وارد می‌شوند. روت کیت‌ها عمدتا با زبان برنامه‌نویسی اسمبلی و در نمونه‌های خاص‌تر با زبان سی ایجاد می‌شوند، به همین دلیل کمترین اندازه را دارند، سرعت اجرای آن‌ها زیاد است و به راحتی از دید نرم افزارهای ضد روت کیت پنهان می‌شوند. با توجه به این‌که روت کیت‌ها با هدف آلوده‌سازی هسته سیستم عامل طراحی می‌شوند قدرت و عملکرد آن‌ها تقریبا نامحدود است.

وظایف روت کیت چیست؟

روت کیت به هکر کمک میکند تا کار های زیر را انجام دهد:

اجرای دستورات از راه دور با مجوز مدیریتی.
استخراج و سرقت اطلاعات که شامل رمزهای عبور و نام‌های کاربری می‌شود.
تغییر پیکربندی و تنظیمات سیستم‌عامل با هدف دسترسی ساده‌تر هکر به سامانه قربانی.
نصب نرم‌افزارهای جعلی به جای نرم‌افزارهای امنیتی نصب شده یا نصب برنامه‌های ناخواسته. خوشبختانه در این زمینه مایکروسافت گام‌های ارزشمندی برداشته و جدیدترین به‌روزرسانی ارایه شده برای ویندوز ۱۰ مانع نصب برنامه‌های ناخواسته می‌شود.
نصب بدافزارها، ویروس‌ها یا استخراج‌کنندگان رمزارز.
متصل کردن سامانه کامپیوتری به شبکه‌ای از بات‌نت‌ها که قرار است برای اهدافی همچون پیاده‌سازی حمله‌های DDoS استفاده شوند.

چرا شناسایی روت کیت ها مشکل است؟

یکی از مهم‌ترین دلایلی که باعث می‌شود شناسایی روت کیت‌ها سخت یا گاهی غیر ممکن شود تغییر مستمر مکانیزم‌های حفاظتی این گونه مخرب است. به همین دلیل است که بیشتر ضدویروس‌ها قادر به شناسایی روت کیت‌ها نیستند یا تنها هنگامی قادر به حذف آن‌ها هستند که اطلاعات کاملی از آن‌ها در دسترس باشد.

طبقه‌بندی و انواع روت کیت

روت کیت کرنل: روت کیت‌هایی که برای دستکاری فایل‌های سیستمی و حیاتی سیستم‌عامل‌ها طراحی می‌شوند و می‌توانند کدهای مخرب را به داخل ساختار داده‌ای کرنل سیستم‌عامل وارد کنند. در چنین شرایطی ضدویروس‌ها هیچ‌گاه متوجه اتفاقات مشکوک نمی‌شوند. متاسفانه اگر روت کیت‌های کرنل دچار باگی شوند، عملکرد سیستم ناخواسته دستخوش تغییر می‌شود و در بیشتر موارد مجبور به تعویض سیستم‌عامل هستید.

روت کیت RAM: روت کیت RAM از مکانیزم مقیم در حافظه استفاده می‌کند و تنها منابع آزاد در دسترس برنامه‌ها را مصرف می‌کند.

روت کیت هایپروایزر: روت کیت‌های ناظر ارشد یا همان Hypervisor که روت کیت مجازی نیز نامیده می‌شوند، نسخه تکامل یافته روت کیت‌ها هستند که از فناوری‌های نوین برای آلودگی و پنهان‌سازی استفاده می‌کنند. این روت کیت‌ها عمدتا در ارتباط مکانیزم‌های داکر و کوبرنتیس فعالیت دارند و قادر هستند کنترل کامل یک ماشین مجازی را به دست گیرند.

روت کیت بارگذاری‌کننده: روت کیت BootLoader هنگامی که به سیستمی وارد می‌شود رکورد راه‌انداز اصلی (MBR) کامپیوتر که نحوه بارگذاری سیستم‌عامل را مشخص می‌کند آلوده می‌کند. گاهی اوقات رکورد را‌ه‌انداز ولوم (VBR) را نیز آلوده می‌کند. با توجه به این‌که روت کیت فوق در رکورد راه‌انداز دیسک قرار می‌گیرد در ساختار سیستم فایلی سیستم‌عامل ظاهر نمی‌شود و ضدویروس‌ها به سختی قادر به شناسایی و حذف آن هستند. در حالت کلی، هرگونه تلاش برای حذف روت کیت بوت‌لودر باعث از کار افتادگی سیستم‌عامل یا سخت‌افزار می‌شود.

روت کیت‌ برنامه کاربردی: ساده‌ترین نوع روت کیت‌ها است که شناسایی آن ساده است، زیرا از رویکرد استتار در قالب فایل‌های سیستمی یا برنامه‌های کاربردی استفاده می‌کند و در نتیجه ضدویروس‌ها قادر به شناسایی و حذف آن هستند.

روت کیت سخت‌افزاری: این گروه از روت کیت‌ها به‌طور مستقیم MiddleWare سخت‌افزارها را نشانه می‌روند.

راهکار محافظت در برابر روت کیت

اگر احساس می‌کنید سامانه‌ای آلوده به روت کیت است، مراحل زیر را دنبال کنید:

۱. کامپیوتر باید در حالت ایمن و با قابلیت اتصال به شبکه بوت شود. برخی از روت کیت‌ها اجازه نصب محصولات امنیتی را نمی‌دهند یا هنگامی که بسته امنیتی نصب شود، آن‌را پاک می‌کنند. بنابراین باید کامپیوتر در حالت مطمئن و با قابلیت اتصال به شبکه (Safe Mode with Networking) راه‌اندازی شود تا دسترسی روت کیت به سامانه به حداقل برسد.

۲. در مرحله بعد باید از ابزارهای شناسایی روت کیت‌ها استفاده کنید. روت کیت‌ها خانواده بزرگی دارند به همین دلیل یک پویش‌گر روت کیت واحد نمی‌تواند گونه‌های مختلف را شناسایی کند. به همین دلیل باید ترکیبی از اسکنرهای مختلف اجرا کنید. کارشناسان امنیتی دو ابزار Kaspersky TDSS Killer و Malwarebytes Antirootkit را پیشنهاد می‌کنند. ضدروت کیت Malwarebytes قابلیت شناسایی بیشتر روت کیت‌ها را دارد. روت کیت Malwarebytes می‌تواند آسیب‌های وارده از جانب روت کیت به سیستم‌عامل را نیز شناسایی و برطرف کند که در نوع خود جالب است.

۳. پس از شناسایی و حذف روت کیت‌ها باید اثرات را پاک کنید. RKill یک ابزار قدرتمند در این زمینه است که هرگونه فرآیند مرتبط با فعالیت‌های مخرب را شناسایی و متوقف می‌کند.

ابزارهای شناسایی روت کیت‌های عادی

این ابزار محدود و برای همه روت کیت ها کاربرد ندارد.

Hitman Pro: از اسکنرهایی است که برای شناسایی روت کیت‌ها استفاده می‌شود. Hitman Pro می‌تواند روت کیت‌های پنهان از دید ضدویروس‌ها را شناسایی و حذف کند.

Norton Power Eraser: یک اسکنر رایگان است که برای شناسایی و حذف روت کیت‌ها طراحی شده است. ابزار فوق قابلیت بررسی ترافیک و فعالیت‌های مشکوک را دارد که هم تراز با ابزارهای نظارت بر شبکه‌ها است. به همین دلیل در زمان اجرا ممکن است هشدارهای کاذب مثبت زیادی را مشاهده کنید. در زمان نصب ابزار فوق دقت کنید که تیک گزینه Include Rootkit Scan را فعال کنید.

UnHackMe: نرم‌افزار فوق هر زمان نشانه‌ای مبنی بر هک یک سامانه و باز شدن کانالی برای تزریق کدهای مخرب به سامانه‌ای را شناسایی کند هشدارهای لحظه‌ای به کاربر نشان می‌دهد. علاوه براین قابلیت‌هایی برای حذف کلیدها از رجیستری، فایل‌های آلوده موقت و دریافت گزارش‌ها ارایه می‌کند.

GMER: یکی دیگر از گزینه‌های قدرتمند در این زمینه است. عملکرد GMER به اندازه‌ای مطلوب است که به موتور ضدویروس Avast نیز افزوده شده است. لازم به توضیح است که کار با ضدروت کیت فوق نیازمند دانش فنی است تا بتوانید پردازه‌های مخرب را شناسایی کنید. توصیه می‌شود کاربران عادی تنها برای پویش عادی سیستم از این محصول استفاده کنند، زیرا ممکن است فایل‌های سیستمی را به اشتباه توسط این نرم‌افزار پاک کنید.