Rootkit چیست؟ روت کیت ها چگونه کار می کنند؟ روت کیت ها توضیح داده شده است.

در حالی که می‌توان بدافزار را به‌گونه‌ای پنهان کرد که حتی محصولات آنتی‌ویروس/ضد اسپای‌اف‌افزار سنتی را نیز فریب دهد، اکثر برنامه‌های بدافزار در حال حاضر از روت‌کیت‌ها برای پنهان کردن عمیق در رایانه شخصی ویندوزی(Windows) شما استفاده می‌کنند... و خطرناک‌تر می‌شوند! روت کیت DL3 یکی از پیشرفته ترین روت کیت هایی است که تاکنون در طبیعت دیده شده است. روت کیت پایدار بود و می توانست سیستم عامل های 32 بیتی ویندوز(Windows) را آلوده کند . اگرچه برای نصب عفونت در سیستم به حقوق مدیر نیاز بود. اما TDL3 اکنون به روز شده است و اکنون می تواند حتی نسخه های 64 بیتی ویندوز(even 64-bit versions  Windows) را آلوده کند !

Rootkit چیست؟

ویروس

ویروس Rootkit یک نوع مخفی از بدافزار  است که برای پنهان کردن وجود برخی فرآیندها یا برنامه‌ها در رایانه شما از روش‌های تشخیص معمولی طراحی شده است تا به آن یا فرآیند مخرب دیگری اجازه دسترسی ممتاز به رایانه شما را بدهد.

روت‌کیت‌ها برای ویندوز(Rootkits for Windows) معمولاً برای مخفی کردن نرم‌افزارهای مخرب از مثلاً یک برنامه آنتی ویروس استفاده می‌شوند. این برای اهداف مخرب توسط ویروس ها، کرم ها، درهای پشتی و نرم افزارهای جاسوسی استفاده می شود. یک ویروس همراه با یک روت کیت چیزی را تولید می کند که به عنوان ویروس مخفی کامل شناخته می شود. روت‌کیت‌ها در زمینه جاسوس‌افزار رایج‌تر هستند، و در حال حاضر نیز توسط نویسندگان ویروس‌ها نیز بیشتر مورد استفاده قرار می‌گیرند.

آنها اکنون یک نوع نوظهور از Super Spyware هستند که به طور موثر پنهان می شوند و به طور مستقیم بر هسته سیستم عامل تأثیر می گذارند. از آنها برای مخفی کردن وجود اشیاء مخرب مانند تروجان ها یا کی لاگرها در رایانه شما استفاده می شود. اگر تهدیدی از فناوری روت کیت برای پنهان کردن استفاده کند، پیدا کردن بدافزار در رایانه شخصی شما بسیار سخت است.

روت کیت ها به خودی خود خطرناک نیستند. تنها هدف آنها پنهان کردن نرم افزار و ردپای باقی مانده در سیستم عامل است. خواه این نرم افزار معمولی باشد یا برنامه های بدافزار.

اساساً سه نوع مختلف Rootkit وجود دارد. نوع اول، « کرنل روت‌کیت(Kernel Rootkits) » معمولاً کد خود را به بخش‌هایی از هسته سیستم عامل اضافه می‌کند، در حالی که نوع دوم، « روت‌کیت‌های حالت کاربر(User-mode Rootkits) » به‌ویژه ویندوز(Windows) را هدف قرار می‌دهند تا در هنگام راه‌اندازی سیستم به طور معمول راه‌اندازی شوند. یا توسط یک قطره چکان به سیستم تزریق می شود. نوع سوم MBR Rootkits یا Bootkits(MBR Rootkits or Bootkits) هستند.

هنگامی که متوجه می‌شوید که آنتی ویروس(AntiVirus) و آنتی‌جاسوس‌افزار(AntiSpyware) شما با مشکل مواجه است، ممکن است لازم باشد از یک ابزار Anti-Rootkit خوب(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) کمک بگیرید . RootkitRevealer از Microsoft Sysinternals یک ابزار پیشرفته شناسایی روت کیت است. خروجی آن اختلافات API رجیستری(Registry) و فایل سیستم را فهرست می کند که ممکن است نشان دهنده وجود روت کیت حالت کاربر یا حالت هسته باشد.

گزارش تهدید مرکز حفاظت بدافزار مایکروسافت(Microsoft Malware Protection Center Threat Report) در  روت کیت ها(Rootkits)

مرکز حفاظت از بدافزار مایکروسافت (Microsoft Malware Protection Center)گزارش تهدید(Threat Report) خود را در Rootkits برای دانلود در دسترس قرار داده است. این گزارش یکی از مخرب‌ترین انواع بدافزارهایی را که امروزه سازمان‌ها و افراد را تهدید می‌کند، یعنی rootkit بررسی می‌کند. این گزارش نحوه استفاده مهاجمان از روت‌کیت‌ها و نحوه عملکرد روت‌کیت‌ها در رایانه‌های آسیب‌دیده را بررسی می‌کند. در اینجا خلاصه ای از گزارش آمده است، که با Rootkit(Rootkits) ها شروع می شود - برای مبتدی.

Rootkit مجموعه ای از ابزارهایی است که یک مهاجم یا یک سازنده بدافزار برای به دست آوردن کنترل بر هر سیستم در معرض / ناامن استفاده می کند که در غیر این صورت معمولاً برای یک مدیر سیستم محفوظ است. در سال‌های اخیر عبارت «ROOTKIT» یا «ROOTKIT FUNCTIONALITY» با بدافزار جایگزین شده است -(MALWARE –) برنامه‌ای که برای ایجاد اثرات نامطلوب بر روی یک رایانه سالم طراحی شده است. عملکرد اصلی بدافزار این است که داده‌های با ارزش و سایر منابع را از رایانه کاربر به طور مخفیانه خارج می‌کند و در اختیار مهاجم قرار می‌دهد و در نتیجه به او کنترل کامل بر رایانه آسیب‌دیده را می‌دهد. علاوه بر این، شناسایی و حذف آنها دشوار است و در صورت عدم توجه می توانند برای مدت طولانی، احتمالاً سالها، پنهان بمانند.

بنابراین، به طور طبیعی، علائم یک کامپیوتر در معرض خطر باید پوشانده شود و قبل از اینکه نتیجه کشنده باشد، در نظر گرفته شود. به ویژه، باید تدابیر امنیتی شدیدتری برای کشف این حمله اتخاذ شود. اما، همانطور که گفته شد، پس از نصب این روت‌کیت‌ها/بدافزارها، قابلیت‌های مخفیانه آن حذف آن و اجزای آن را که ممکن است دانلود کند دشوار می‌کند. به همین دلیل، مایکروسافت(Microsoft) گزارشی در مورد ROOTKITS ایجاد کرده است.

گزارش 16 صفحه ای نحوه استفاده مهاجم از روت کیت ها و نحوه عملکرد این روت کیت ها در رایانه های آسیب دیده را توضیح می دهد.

تنها هدف این گزارش شناسایی و بررسی دقیق بدافزارهای قوی است که بسیاری از سازمان ها، به ویژه کاربران رایانه را تهدید می کند. همچنین به برخی از خانواده‌های رایج بدافزار اشاره می‌کند و روشی را که مهاجمان برای نصب این روت‌کیت‌ها برای اهداف خودخواهانه‌شان بر روی سیستم‌های سالم استفاده می‌کنند، آشکار می‌کند. در ادامه گزارش، کارشناسانی را خواهید دید که توصیه هایی برای کمک به کاربران برای کاهش تهدیدات روت کیت ها ارائه می کنند.

انواع روت کیت ها

مکان های زیادی وجود دارد که بدافزار می تواند خود را در یک سیستم عامل نصب کند. بنابراین، عمدتاً نوع روت کیت با توجه به مکان آن تعیین می شود که در آن جابجایی مسیر اجرا را انجام می دهد. این شامل:

  1. روت کیت های حالت کاربر
  2. روت کیت های حالت هسته
  3. MBR Rootkits/Bootkits

تأثیر احتمالی به خطر افتادن روت کیت در حالت هسته از طریق یک عکس از صفحه زیر نشان داده شده است.

نوع سوم، ویرایش Master Boot Record برای به دست آوردن کنترل سیستم و شروع فرآیند بارگیری اولین نقطه ممکن در دنباله بوت 3. این فایل ها، تغییرات رجیستری، شواهدی از اتصالات شبکه و همچنین سایر شاخص های احتمالی که می تواند حضور آن را نشان دهد پنهان می کند.

خانواده‌های بدافزار(Malware) قابل توجهی که از قابلیت Rootkit استفاده می‌کنند(Rootkit)

  • Win32/Sinowal 13 – خانواده چند جزئی از بدافزارها که سعی در سرقت داده های حساس مانند نام کاربری و رمز عبور سیستم های مختلف دارد. این شامل تلاش برای سرقت جزئیات احراز هویت برای انواع حساب‌های FTP ، HTTP ، و ایمیل، و همچنین اعتبار مورد استفاده برای بانکداری آنلاین و سایر تراکنش‌های مالی است.
  • Win32/Cutwail 15 – تروجانی(Trojan) که فایل های دلخواه را دانلود و اجرا می کند. فایل های دانلود شده ممکن است از دیسک اجرا شوند یا مستقیماً به فرآیندهای دیگر تزریق شوند. در حالی که عملکرد فایل های دانلود شده متغیر است، Cutwail معمولا سایر مؤلفه هایی را که اسپم ارسال می کنند دانلود می کند. از یک روت کیت حالت هسته استفاده می کند و چندین درایور دستگاه را نصب می کند تا اجزای خود را از کاربران آسیب دیده پنهان کند.
  • Win32/Rustock  – خانواده چند جزئی از تروجان‌های(Trojans) درپشتی مجهز به روت‌کیت که در ابتدا برای کمک به توزیع ایمیل‌های «هرزنامه» از طریق یک بات‌نت(botnet) توسعه یافتند . بات نت یک شبکه بزرگ کامپیوتری تحت کنترل مهاجم است.

محافظت در برابر روت کیت ها

جلوگیری از نصب روت کیت ها موثرترین روش برای جلوگیری از عفونت توسط روت کیت ها است. برای این کار، سرمایه گذاری روی فناوری های محافظتی مانند محصولات ضد ویروس و فایروال ضروری است. چنین محصولاتی باید با استفاده از تشخیص مبتنی بر امضای سنتی، تشخیص اکتشافی، قابلیت امضای پویا و پاسخگو و نظارت بر رفتار، رویکردی جامع برای حفاظت داشته باشند.

همه این مجموعه های امضا باید با استفاده از مکانیزم به روز رسانی خودکار به روز نگه داشته شوند. راه حل های آنتی ویروس مایکروسافت(Microsoft) شامل تعدادی فناوری است که به طور خاص برای کاهش روت کیت ها طراحی شده اند، از جمله نظارت بر رفتار هسته زنده که تلاش ها برای اصلاح هسته سیستم آسیب دیده را شناسایی و گزارش می دهد، و تجزیه مستقیم سیستم فایل که شناسایی و حذف درایورهای پنهان را تسهیل می کند.

اگر سیستمی به خطر بیفتد، یک ابزار اضافی که به شما امکان می دهد در یک محیط خوب یا مورد اعتماد راه اندازی شوید، ممکن است مفید باشد زیرا ممکن است اقدامات اصلاحی مناسب را پیشنهاد کند.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

در چنین شرایطی،

  1. ابزار Sweeper سیستم مستقل(Standalone System Sweeper) (بخشی از مجموعه ابزار تشخیص(Diagnostics) و بازیابی (Recovery Toolset)مایکروسافت(Microsoft) ( DART )
  2. Windows Defender Offline ممکن است مفید باشد.

برای اطلاعات بیشتر می توانید گزارش PDF را از مرکز دانلود مایکروسافت دانلود کنید.(Microsoft Download Center.)



زاب رجایی

About the author

من یک مهندس نرم افزار با بیش از 10 سال سابقه در زمینه مهندسی ویندوز هستم. من در توسعه برنامه‌های مبتنی بر ویندوز، و همچنین سخت‌افزار و درایورهای صوتی برای نسل بعدی سیستم‌عامل ویندوز مایکروسافت، ویندوز 11، تخصص دارم. تجربه من در ساخت برنامه‌های ویندوز، من را برای هر شرکتی که به دنبال توسعه محصولات فناوری نوآورانه است، دارایی ارزشمندی می‌کند.


Related posts