روت کیت چیست؟
توسط Fateme Zahra
در میان بدافزارهای مختلفی که به سامانههای منفرد و زیرساختها حمله میکنند بدافزار روت کیت خطرناکترین آنها هستند، زیرا در بیشتر موارد شناسایی آنها سخت است و اگر موفق شوند خود را به هسته سیستمعامل یا میانافزار مولفههای زیرساختی نظیر پردازندههای مرکزی یا بایوس برسانند ممکن است برای همیشه روی سامانه باقی بمانند.
روت کیتها گونهای از بدافزارها هستند که برای آلوده کردن یک رایانه مورد استفاده قرار میگیرند و به مهاجم اجازه میدهند تا مجموعهای از ابزارها که به آنها امکان دسترسی از راه دور را میدهد نصب کنند. این بدافزار عمدتا در اعماق سیستم قربانیان پنهان میشود و به گونهای طراحی میشود که مقابل راهکارهای امنیتی و برنامهای ضد تروجان، جان سالم به در برد.
یک روت کیت ممکن است حاوی چندین ابزار مخرب همانند کی لاگر، سرقت برنده پسوردها، ماژولی برای سرقت کارتهای اعتباری یا اطلاعات بانکی و البته یک ربات برای انجام حملات DDOS یا غیر فعال کننده عملکردهای نرم افزارهای امنیتی باشد!
روت کیتها عموما از درب پشتی اقدام به حمله میکنند تا بتوانند هر زمان که مایل بودند از راه دور به هر قسمت خاص از دستگاه آلوده قربانی اتصال برقرار کنند. برخی از نمونههای روت کیت مبتنی بر ویندوز TDSS, ZeroAccess, Alureon and Necurs بودند.
رایانهای که تحت سلطه روتکیت و نهایتاً هکر قرار میگیرد را زامبی (Zombie) مینامند. اگر ضایعهای در شبکه رایانهها پیدا شود، با پیگیری آن به زامبی میرسیم و هکر نمیتواند ردیابی شود.
نحوه عملکرد
مکانیزم کاری بیشتر روت کیتها پیچیده است. عملکرد روت کیتها به این صورت است که پردازههایی را روی سیستمعامل قربانی (ویندوز، لینوکس و به ندرت مک) ایجاد کرده و به اجرا در میآورند که نرمافزارهایی مثلTask Manager قادر به مشاهده آنها نیستند. در ادامه در سیستمعاملهایی مثل ویندوز کلیدهایی در رجیستری ویندوز ایجاد میکنند که نقش پل ارتباطی را دارند و به روت کیت اجازه میدهند به اینترنت متصل شود. کانالهای ارتباطی بهگونهای ایجاد میشوند که ابزارهای شبکه مثل Netstat قادر به مشاهده آنها نیستند.
در مرحله بعد روت کیتها با ایجاد درهای پشتی روی سامانه قربانیان راه را برای ورود بدافزارها به سیستمعامل هموار میکنند. بدافزارهایی که توسط روت کیتها به سیستمعامل قربانیان وارد میشوند به دو گروه تقسیم میشوند:
- گروه اول، بدافزارهای پوششی هستند که توسط نرمافزارهای امنیتی به راحتی شناسایی میشوند. این بدافزارها با هدف ایجاد رخنهها یا به وجود آوردن شکافهایی در حافظه اصلی به سیستمعامل قربانی وارد میشوند و به منظور آمادهسازی زمینه برای ورود بدافزارهای اصلی به کار گرفته میشوند.
- گروه دوم بدافزارهایی هستند که توسط نرمافزارهای امنیتی شناسایی نمیشوند و با هدف استراق سمع و جمعآوری اطلاعات کاربران به سامانهها وارد میشوند. روت کیتها عمدتا با زبان برنامهنویسی اسمبلی و در نمونههای خاصتر با زبان سی ایجاد میشوند، به همین دلیل کمترین اندازه را دارند، سرعت اجرای آنها زیاد است و به راحتی از دید نرم افزارهای ضد روت کیت پنهان میشوند. با توجه به اینکه روت کیتها با هدف آلودهسازی هسته سیستم عامل طراحی میشوند قدرت و عملکرد آنها تقریبا نامحدود است.
وظایف روت کیت چیست؟
روت کیت به هکر کمک میکند تا کار های زیر را انجام دهد:
اجرای دستورات از راه دور با مجوز مدیریتی.
استخراج و سرقت اطلاعات که شامل رمزهای عبور و نامهای کاربری میشود.
تغییر پیکربندی و تنظیمات سیستمعامل با هدف دسترسی سادهتر هکر به سامانه قربانی.
نصب نرمافزارهای جعلی به جای نرمافزارهای امنیتی نصب شده یا نصب برنامههای ناخواسته. خوشبختانه در این زمینه مایکروسافت گامهای ارزشمندی برداشته و جدیدترین بهروزرسانی ارایه شده برای ویندوز ۱۰ مانع نصب برنامههای ناخواسته میشود.
نصب بدافزارها، ویروسها یا استخراجکنندگان رمزارز.
متصل کردن سامانه کامپیوتری به شبکهای از باتنتها که قرار است برای اهدافی همچون پیادهسازی حملههای DDoS استفاده شوند.
چرا شناسایی روت کیت ها مشکل است؟
یکی از مهمترین دلایلی که باعث میشود شناسایی روت کیتها سخت یا گاهی غیر ممکن شود تغییر مستمر مکانیزمهای حفاظتی این گونه مخرب است. به همین دلیل است که بیشتر ضدویروسها قادر به شناسایی روت کیتها نیستند یا تنها هنگامی قادر به حذف آنها هستند که اطلاعات کاملی از آنها در دسترس باشد.
طبقهبندی و انواع روت کیت
روت کیت کرنل: روت کیتهایی که برای دستکاری فایلهای سیستمی و حیاتی سیستمعاملها طراحی میشوند و میتوانند کدهای مخرب را به داخل ساختار دادهای کرنل سیستمعامل وارد کنند. در چنین شرایطی ضدویروسها هیچگاه متوجه اتفاقات مشکوک نمیشوند. متاسفانه اگر روت کیتهای کرنل دچار باگی شوند، عملکرد سیستم ناخواسته دستخوش تغییر میشود و در بیشتر موارد مجبور به تعویض سیستمعامل هستید.
روت کیت RAM: روت کیت RAM از مکانیزم مقیم در حافظه استفاده میکند و تنها منابع آزاد در دسترس برنامهها را مصرف میکند.
روت کیت هایپروایزر: روت کیتهای ناظر ارشد یا همان Hypervisor که روت کیت مجازی نیز نامیده میشوند، نسخه تکامل یافته روت کیتها هستند که از فناوریهای نوین برای آلودگی و پنهانسازی استفاده میکنند. این روت کیتها عمدتا در ارتباط مکانیزمهای داکر و کوبرنتیس فعالیت دارند و قادر هستند کنترل کامل یک ماشین مجازی را به دست گیرند.
روت کیت بارگذاریکننده: روت کیت BootLoader هنگامی که به سیستمی وارد میشود رکورد راهانداز اصلی (MBR) کامپیوتر که نحوه بارگذاری سیستمعامل را مشخص میکند آلوده میکند. گاهی اوقات رکورد راهانداز ولوم (VBR) را نیز آلوده میکند. با توجه به اینکه روت کیت فوق در رکورد راهانداز دیسک قرار میگیرد در ساختار سیستم فایلی سیستمعامل ظاهر نمیشود و ضدویروسها به سختی قادر به شناسایی و حذف آن هستند. در حالت کلی، هرگونه تلاش برای حذف روت کیت بوتلودر باعث از کار افتادگی سیستمعامل یا سختافزار میشود.
روت کیت برنامه کاربردی: سادهترین نوع روت کیتها است که شناسایی آن ساده است، زیرا از رویکرد استتار در قالب فایلهای سیستمی یا برنامههای کاربردی استفاده میکند و در نتیجه ضدویروسها قادر به شناسایی و حذف آن هستند.
روت کیت سختافزاری: این گروه از روت کیتها بهطور مستقیم MiddleWare سختافزارها را نشانه میروند.
راهکار محافظت در برابر روت کیت
اگر احساس میکنید سامانهای آلوده به روت کیت است، مراحل زیر را دنبال کنید:
۱. کامپیوتر باید در حالت ایمن و با قابلیت اتصال به شبکه بوت شود. برخی از روت کیتها اجازه نصب محصولات امنیتی را نمیدهند یا هنگامی که بسته امنیتی نصب شود، آنرا پاک میکنند. بنابراین باید کامپیوتر در حالت مطمئن و با قابلیت اتصال به شبکه (Safe Mode with Networking) راهاندازی شود تا دسترسی روت کیت به سامانه به حداقل برسد.
۲. در مرحله بعد باید از ابزارهای شناسایی روت کیتها استفاده کنید. روت کیتها خانواده بزرگی دارند به همین دلیل یک پویشگر روت کیت واحد نمیتواند گونههای مختلف را شناسایی کند. به همین دلیل باید ترکیبی از اسکنرهای مختلف اجرا کنید. کارشناسان امنیتی دو ابزار Kaspersky TDSS Killer و Malwarebytes Antirootkit را پیشنهاد میکنند. ضدروت کیت Malwarebytes قابلیت شناسایی بیشتر روت کیتها را دارد. روت کیت Malwarebytes میتواند آسیبهای وارده از جانب روت کیت به سیستمعامل را نیز شناسایی و برطرف کند که در نوع خود جالب است.
۳. پس از شناسایی و حذف روت کیتها باید اثرات را پاک کنید. RKill یک ابزار قدرتمند در این زمینه است که هرگونه فرآیند مرتبط با فعالیتهای مخرب را شناسایی و متوقف میکند.
ابزارهای شناسایی روت کیتهای عادی
این ابزار محدود و برای همه روت کیت ها کاربرد ندارد.
Hitman Pro: از اسکنرهایی است که برای شناسایی روت کیتها استفاده میشود. Hitman Pro میتواند روت کیتهای پنهان از دید ضدویروسها را شناسایی و حذف کند.
Norton Power Eraser: یک اسکنر رایگان است که برای شناسایی و حذف روت کیتها طراحی شده است. ابزار فوق قابلیت بررسی ترافیک و فعالیتهای مشکوک را دارد که هم تراز با ابزارهای نظارت بر شبکهها است. به همین دلیل در زمان اجرا ممکن است هشدارهای کاذب مثبت زیادی را مشاهده کنید. در زمان نصب ابزار فوق دقت کنید که تیک گزینه Include Rootkit Scan را فعال کنید.
UnHackMe: نرمافزار فوق هر زمان نشانهای مبنی بر هک یک سامانه و باز شدن کانالی برای تزریق کدهای مخرب به سامانهای را شناسایی کند هشدارهای لحظهای به کاربر نشان میدهد. علاوه براین قابلیتهایی برای حذف کلیدها از رجیستری، فایلهای آلوده موقت و دریافت گزارشها ارایه میکند.
GMER: یکی دیگر از گزینههای قدرتمند در این زمینه است. عملکرد GMER به اندازهای مطلوب است که به موتور ضدویروس Avast نیز افزوده شده است. لازم به توضیح است که کار با ضدروت کیت فوق نیازمند دانش فنی است تا بتوانید پردازههای مخرب را شناسایی کنید. توصیه میشود کاربران عادی تنها برای پویش عادی سیستم از این محصول استفاده کنند، زیرا ممکن است فایلهای سیستمی را به اشتباه توسط این نرمافزار پاک کنید.
پست های توصیه شده
کلان داده
14 مهر, 1402
تحول دیجیتال
14 مهر, 1402
تجزیه و تحلیل داده ها
14 مهر, 1402