آشنایی با روت‌کیت‌ها، بدافزارهایی که شناسایی آن‌ها به سادگی ممکن نیست
‌روت‌کیت (Rootkit) بدافزاری است که شناسایی آن در بیشتر موارد غیر ممکن است، اما شکست‌ناپذیر نیست و ترفندهایی برای شناسایی و حذف آن وجود دارد. روت‌کیت‌ها یکی از مقاوم‌ترین گونه‌های بدافزاری هستند که شناسایی و حذف آن‌ها به سادگی امکان‌پذیر نیست. هکرها برای انجام کارهای مختلفی همچون شنود، ضبط و جمع‌آوری اطلاعات یک کامپیوتر از روت‌کیت‌ها استفاده می‌کنند. روت‌کیت‌ها ممکن است عملکردی شبیه به کی‌لاگرها داشته باشند و همانند بات‌‌ها و بدافزارهای مشابه توسط کامپیوترهای از راه دور کنترل و هدایت شوند. روت‌کیت‌ها می‌توانند اطلاعات شخصی کاربران یا سازمان‌های بزرگ را جمع‌آوری کنند و روی عملکرد کامپیوترها تاثیر منفی بگذارند.

روت‌کیت چیست؟

روت‌کیت واژه‌ای مرکب متشکل از root و kit است که واژه root به مدیریت سیستم‌عامل (ویندوز یا سایر سامانه‌های عامل) اشاره دارد، در حالی که kit به نرم‌افزار طراحی شده برای کنترل و مدیریت کامپیوتر شخصی (سخت‌افزار و نرم‌افزار) بدون اطلاع کاربر اشاره دارد. زمانی‌که روت‌کیت روی یک کامپیوتر شخصی نصب می‌شود، همزمان با راه‌اندازی کامپیوتر فعال می‌شود و به شکل پنهان و با مجوز سطح مدیر (بالاترین مجوز ممکن در یک سامانه) در حافظه اصلی سیستم قرار می‌گیرد تا هرگونه فعالیت یک کامپیوتر را ضبط و ردیابی کند، ترافیک اینترنت کاربر را پویش کند، هر برنامه‌ای را بدون نیاز به کسب اجازه از کاربر نصب کند، منابع سیستم را بیهوده هدر دهد یا کامپیوتر را به یک شبکه بات‌نت متصل کند. شناسایی روت‌کیت‌ها کار سختی است، زیرا هکرها از پیچیده‌ترین مکانیزم‌ها برای پنهان‌سازی روت‌کیت‌ها استفاده می‌کنند. به‌طور معمول برای حذف روت‌کیت‌ها به یک ضدویروس و پویش‌گیر قدرتمندی که بتواند روت‌کیت را حذف کند نیاز است.

روت‌کیت‌ها چگونه گسترش پیدا می‌کنند؟

روت‌کیت‌ها عملکردی شبیه به نرم‌افزارهای عادی دارند که باید دانلود، نصب و اجرا شوند. روت‌کیت‌ها از سه مولفه اصلی Dropper، Loader و rootkit ساخته می‌شوند. Dropper بخشی از بدافزار است که هیچ کد آلوده‌ و مشکوکی ندارد و تنها کدهای مخرب را از سرورهای راه دور دریافت و روی سامانه قربانی نصب می‌کند. Loader وظیفه بارگذاری کدهای مخرب در حافظه را دارد و rootkit کدها و فعالیت‌های مخرب تعریف شده را اجرا می‌کند. dropper می‌تواند یک فایل یا برنامه اجرایی باشد که روت‌کیت را نصب می‌کند، هرچند همیشه این‌گونه نیست و ممکن است به شکل‌های مختلف ظاهر شود. dropper ممکن است با یک ضمیمه ایمیلی یا دانلود نرم‌افزار از وب‌سایتی ناشناخته به یک سامانه کامپیوتری وارد شود. در حالت دیگر dropper می‌تواند یک فایل PDF یا یک سند ورد باشد که برای نصب و اجرای روت‌کیت ساخته شده و به محض باز کردن به شکل خودکار روت‌کیت را نصب می‌کند. در بیشتر موارد آلودگی توسط یک فایل PDF یا یک فایل ورد آغاز می‌شود که قربانی به راحتی گزینه دانلود را کلیک کرده و فایل را روی کامپیوتر خود باز می‌کند. با این‌حال، در برخی موارد ممکن است آلودگی از طریق منابع قانونی انجام شود. به‌طور مثال، در سال 2016 میلادی شرکت سونی ناخواسته 22 میلیون دیسک فشرده را فروخت که روت‌کیت را روی کامپیوتر قربانیان نصب می‌کرد. روت‌کیتی که قرار بود از حقوق دیجیتال محافظت کند و مانع دانلود غیرقانونی فایل‌ها شود به یک ابزار مخرب در جهت انجام کارهای خرابکارانه تبدیل شد. در سال 2016 میلادی نیز شرکت لنوو از روت‌کیت‌ها با هدف نصب دوباره نرم‌افزار حذف شده این شرکت روی کامپیوترهای فروخته شده استفاده می‌کرد. روت‌کیتی که در مرحله بعد اطلاعات قابل شناسایی و مشخصات کاربران را برای لنوو ارسال می‌کرد. پیاده‌سازی چنین استراتژی‌هایی در محصولات تجاری به عنوان یک رویکرد تهاجمی و غیر اخلاقی در دنیای امنیت شناخته می‌شود که تنها شکاف امنیتی بزرگ در سامانه‌ها به وجود می‌آورد، زیرا هکرها می‌توانند نرم‌افزارها را به سرقت ببرند، کدها را مهندسی معکوس کنند و در جهت مخرب از آن‌ها استفاده کنند. 

مطلب پیشنهادی

داستان زندگی پنهان و خطرناک یک روت‌کیت
تهدیدی که به آرامی ویران می‌کند

روت‌کیت‌ها چه گونه‌هایی دارند؟

میزان آلودگی به روت‌کیت بر مبنای عمق و پیچیدگی یک سامانه و شدت نفوذ روت‌کیت به هسته مرکزی محاسبه می‌شود. شکل 1 این موضوع را نشان می‌دهد. آلودگی در حلقه 3 تقریبا سطحی است، زیرا در این سطح برنامه‌هایی مثل آفیس مایکروسافت، فوتوشاپ یا نرم‌افزارهای مشابه آلوده می‌شوند. حلقه‌های 1 و 2 عمیق‌تر هستند و درایورهای سیستمی به ویژه کارت گرافیکی یا کارت صدا را آلوده می‌کنند. در حلقه صفر، کد مخرب هسته مرکزی سیستم‌عامل، بایوس و CMOS را آلوده می‌کند. بیشتر ضدویروس‌ها بیشتر در حلقه 3 کار می‌کنند و به ندرت ضدویروسی پیدا می‌شود که بتواند حلقه 0 یا 1 را پویش کند. به همین دلیل آلودگی هسته مرکزی به معنای ناپیدا بودن روت‌کیت است.

روت‌کیت هسته مرکزی چیست؟

روت‌کیت‌های سطح کرنل تغییراتی در عملکرد سیستم‌عامل به وجود می‌آورند. این روت‌کیت‌ها کدهای مخرب را درون ساختار داده‌ای هسته سیستم‌عامل تزریق می‌کنند تا ضدویروس‌ها موفق نشوند هیچ‌گونه ناهنجاری را پیدا کنند. ساخت چنین روت‌کیت‌هایی فرآیندی پیچیده است، زیرا به دانش فنی زیادی نیاز دارد و اگر هکری بتواند چنین کاری را انجام دهد به راحتی می‌تواند تغییرات ناپیدایی در یک سیستم به وجود آورد. در این سطح اگر روت‌کیت باگ یا خطای نرم‌افزاری داشته باشد عملکرد عادی سیستم را با مشکل روبرو می‌کند که شناسایی آن‌را ساده می‌کند. برخی از کارشناسان معتقد هستند شناسایی روت‌کیت‌های سطح هسته ساده است، زیرا باگ‌ها سرنخ‌های زیادی در اختیار سازمان‌ها قرار می‌دهند.

مطلب پیشنهادی

هفت چالش امنیتی سال 2020، خطرناک‌تر از گذشته
بدافزارها، باج‌افزارها و بات‌نت‌ها در کمین کسب‌وکارها

روت‌کیت سخت‌افزاری

روت‌کیت‌های سخت‌افزاری به جای سیستم‌عامل به سراغ میان‌افزاری می‌روند که سخت‌افزار از آن استفاده می‌کند. اوایل سال 2005 میلادی یک گروه هکری موفق شد کارت‌‌خوان‌ها را به روت‌کیت سخت‌افزاری آلوده کند. روت‌کیتی که اجازه داد اطلاعات کارت‌های اعتباری مشتریان به راحتی در اختیار هکرها قرار گیرد. روت‌کیت فوق می‌توانست در هارددیسک سامانه قربانیان پنهان شود و هر بایت از اطلاعات نوشته شده روی دیسک را تحریف کند.

روت‌کیت هایپروایزر

روت‌کیت‌های هایپروایزر که گاهی اوقات به‌نام روت‌کیت مجازی شناخته می‌شوند، گونه توسعه یافته‌ای از روت‌کیت‌ها هستند که فناوری‌های روز را برای آلودگی و پنهان‌سازی استفاده می‌کنند. روت‌کیت مجازی ابتدا خود را راه‌اندازی می‌کند، یک ماشین مجازی ایجاد می‌کند و پس از انجام فرآیندهای یاد شده سیستم‌عامل را راه‌اندازی می‌کند. روت‌کیت مجازی کنترل بیشتری روی یک سامانه دارد و در مقایسه با سایر روت‌کیت‌ها خطرناک‌تر است، زیرا امکان حذف آن وجود ندارد.

روت‌کیت بوت‌لودر

روت‌کیت بارکننده‌بوت همزمان با راه‌اندازی سیستم‌عامل اجرا می‌شود و رکورد راه‌انداز اصلی (MBR) که به کامپیوتر اعلام می‌دارد چگونه سیستم‌عامل را بارگذاری کند را آلوده می‌کند. در برخی موارد نیز رکورد را‌ه‌انداز ولوم (VBR) را آلوده می‌کند. روت‌کیت فوق به دلیل این‌که در رکورد راه‌انداز دیسک قرار می‌گیرد در ساختار سیستم فایلی سیستم‌عامل نشان داده نمی‌شود و ضدویروس‌ها و ضدروت‌کیت‌های عادی به سختی می‌توانند آن‌را شناسایی و حذف کنند. اگر روت‌کیت بوت‌لودر رکوردهای بوت را دستکاری یا حذف کند، ممکن است سیستم‌عامل بارگذاری نشود یا سخت‌افزار سیستم دچار مشکل جدی شود.

روت‌کیت حافظه اصلی

روت‌کیت حافظه به شکل مقیم در حافظه اصلی کار می‌کند. روت‌کیت حافظه با مصرف بیش از اندازه منابع سیستمی باعث می‌شود اجرای برنامه‌ها با مشکل همراه شود.

روت‌کیت‌ برنامه کاربردی

روت‌کیت‌های برنامه کاربردی به سادگی قابل تشخیص هستند، زیرا به جای پنهان شدن در فایل‌های سیستمی در یک برنامه کاربردی پنهان می‌شوند. به همین دلیل بیشتر ضدویروس‌ها می‌توانند روت‌کیت‌های حالت کاربردی را شناسایی و حذف کنند.

مطلب پیشنهادی

آموزش رایگان دوره CEH V10: چگونه هکر کلاه سفید شویم

 

چه پویش‌گرهایی برای شناسایی و حذف روت‌کیت‌ها در دسترس قرار دارند؟

ضدویروس‌ها برای شناسایی و حذف روت‌کیت‌ها باید زمان و منابع سیستمی زیادی را صرف کنند تا روت‌کیت‌های پیشرفته را شناسایی و حذف کنند، زیرا ضدویروس‌ها برای انجام چنین کاری طراحی نشده‌اند. به همین دلیل است که پویش‌گرهای روت‌کیت طراحی شده‌اند که وظیفه اصلی آن‌ها شناسایی و حذف این بدافزارها است.

Hitman Pro یک ابزار امنیتی قدرتمند و ایده‌آل

Hitman Pro یکی از بهترین پویش‌گرهای رایج برای شناسایی روت‌کیت‌ها است. پویشگر Hitman Pro می‌تواند روت‌کیت‌های پنهان از دید ضدویروس‌ها را شناسایی و حذف کند. این برنامه یک رابط کاربری ساده و یک فایل نصبی کوچک دارد.

Norton Power Eraser رایگان و توانمند

شرکت نورتون یک پویشگر رایگان شناسایی و حذف روت‌کیت‌ها به‌نام Norton Power Eraser را طراحی کرده است. ویژگی بررسی ترافیک و فعالیت‌های مشکوک این پویشگر فراتر از حالت عادی است. به همین دلیل ممکن است گاهی اوقات هشدارهای کاذب مثبت زیادی را نشان دهد و برنامه‌هایی که مخرب نیستند را مشکوک توصیف کند. Norton Power Eraser رابط کاربری ساده‌ای دارد. برای اطمینان از این موضوع که پویش‌گر در وضعیت پویش روت‌کیت‌ها قرار دارد، پس از نصب به تنظیمات برنامه بروید و تیک گزینه Include Rootkit Scan را فعال کنید.

UnHackMe متخصص در شناسایی روت‌کیت‌ها

UnHackMe یک نرم‌افزار به‌اشتراک‌گذار با ویژگی‌های نظارتی است. به عبارت دقیق‌تر، هر زمان نشانه‌ای دال بر هک کردن یک سامانه و باز کردن کانالی برای تزریق کدهای مخرب به کامپیوتری پیدا کند به شکل آنی هشداری برای کاربر ارسال می‌کند. رابط کاربری این نرم‌افزار برای انجام پویش‌های عادی پیچیدگی خاصی ندارد. البته برای کاربران حرفه‌ای گزینه‌هایی در ارتباط با حذف کلیدها از رجیستری، ارسال نتایج و دریافت گزارش‌ها به شکل متنی، غیرفعال کردن ویژگی اجرای خودکار و ده‌ها قابلیت مفید در نظر گرفته شده است.

GMER یک ابزار دقیق شناسایی و حذف روت‌کیت‌ها

یکی از بهترین‌ گزینه‌های موجود در دنیای مبارزه با روت‌کیت‌ها است. عملکرد این نرم‌افزار به اندازه‌ای دقیق است که به عنوان یکی از مولفه‌های ضدویروس Avast استفاده شده است. عملکرد فوق‌العاده این ضد روت‌کیت باعث شد تا هکرها تصمیم بگیرند یک حمله منع سرویس توزیع شده روی سایت میزبان GMER ترتیب دهند تا کاربران موفق شوند ضدروت‌کیت فوق را دانلود کنند. در نمونه دیگری هکرها برای متوقف کردن عملکرد این محصول امنیتی، بدافزارهایی برای شناسایی GMER طراحی کردند تا مانع اجرای آن شوند. اگر زمانی موفق نشدید ضدروت‌کیت فوق را روی یک سیستم اجرا کنید، کافی است نام آن‌را iexplorer.exe قرار دهید تا روت‌کیت نصب شده روی سیستم فریب بخورد. البته کار کردن با ضدروت‌کیت فوق به دانش فنی زیادی نیاز دارد تا بتوانید برای شناسایی فرآیندهای مخرب از آن استفاده کنید. اگر کاربر عادی هستید بهتر است تنها برای پویش سیستم از محصول فوق استفاده کنید، زیرا ممکن است ناخواسته به سیستم خود آسیب وارد کنید.

مطلب پیشنهادی

هکرها به چند گروه تقسیم می‌شوند و رنگ کلاه هکرها به چه معناست؟

چگونه روت‌کیت‌ها را حذف کنیم؟

شناسایی و حذف روت‌کیت‌ها به سختی انجام می‌شود، زیرا برخی از آن‌ها ویژگی دفاعی دارند و زمانی که متوجه شوند کاربر در حال پاک کردن مولفه‌های مخرب است، فایل‌های سیستم را پاک یا غیر قابل استفاده می‌کنند. نکته مهم دیگری که باید به آن اشاره کرد در ارتباط با نسخه‌های پشتیبان است. روت‌کیت‌ها می‌توانند نسخه‌های پشتیبان را آلوده کنند. اگر احساس می‌کنید سامانه‌ای آلوده به روت‌کیت است، مراحل زیر را دنبال کنید:

  • ابتدا کامپیوتر را در حالت ایمن و با قابلیت اتصال به شبکه راه‌اندازی کنید. برخی از روت‌کیت‌ها مانع نصب محصولات امنیتی می‌شوند یا زمانی که یک بسته امنیتی نصب شد آن‌را حذف می‌کنند. در این حالت باید کامپیوتر آلوده در حالت ایمن با قابلیت اتصال به شبکه (Safe Mode with Networking) راه‌اندازی شود تا دسترسی روت‌کیت به سامانه محدود شود.
  • در مرحله بعد باید از ابزارهای مختلف برای شناسایی روت‌کیت‌ها استفاده شود. روت‌کیت‌ها خانواده بزرگ و متنوعی مثل TDSS، Ailerion، ZeroAcess و... دارند. هیچ پویش‌گر روت‌کیتی نمی‌تواند تمامی گونه‌های مختلف را شناسایی کند، به همین دلیل لازم است از ترکیب اسکنرهای مختلف برای شناسایی تهدیدات بالقوه استفاده کرد. متخصصان خبره از توانایی‌های یک پویش‌گر برای جبران ضعف‌های دیگری استفاده می‌کنند. پیشنهاد می‌کنیم از پویشگر‌های معرفی شده در این مقاله همراه با Kaspersky TDSS Killer و Malwarebytes Antirootkit استفاده کنید. نرم‌افزار ضدروت‌کیت Malwarebytes می‌تواند روت‌کیت‌های مختلف را شناسایی کند. البته پویشگر فوق یک قابلیت کاربردی دیگر دارد که می‌تواند آسیب‌پذیری‌هایی که روت‌کیت به سیستم‌عامل وارد کرده را برطرف کند.
  • پس از شناسایی و حذف روت‌کیت‌ها در مرحله بعد باید ردپاهای برجای مانده را پاک کنید. نرم‌افزار RKill یک محصول امنیتی کارآمد است که هرگونه فرآیند مخرب مربوط به بدافزارها را شناسایی و متوقف می‌کند (شکل 2).

  • پس از اجرای نرم‌افزار فوق سامانه را راه‌اندازی مجدد کنید تا مطمئن شوید روت‌کیت به‌طور کامل از سامانه پاک شده است.

چگونه ‌روت‌کیت‌های آلوده کننده بایوس یا سخت‌افزار را شناسایی و حذف کنیم؟

‌روت‌کیت‌هایی که بایوس یا میان‌افزار سخت‌افزاری را آلوده می‌کنند به سختی پاک می‌شوند و نرم‌افزارهای ضدروت‌کیت استاندارد خیلی راهگشا نیستند. در چنین شرایطی بهترین کاری که می‌توان انجام داد فلش کردن بایوس است. این فرآیند به معنای پاک کردن بایوس و نصب نسخه جدیدی از بایوس است. در بیشتر موارد روت‌کیت‌هایی که بایوس را آلوده می‌کنند به یک مکانیزم دفاعی تجهیز شده‌اند که اجازه نمی‌دهند بایوس را فلش کنید. در این‌گونه موارد بهتر است به سراغ شرکت‌های متخصص بروید، زیرا اگر اشتباهی در فلش کردن بایوس رخ دهد، مادربورد برای همیشه از دست می‌رود.

مطلب پیشنهادی

رکورد تاریخی حملات هکری در سال 2019
سالی پر تلاطم در دنیای امنیت سایبری

چگونه از آلودگی یک سامانه به روت‌کیت جلوگیری کنیم؟

حملات فیشینگ یکی از شایع‌ترین روش‌های آلوده کردن سامانه‌ها به بدافزارهای مخرب است. هکرها با ارسال ایمیل‌های اغواکننده برای کاربران سعی می‌کنند، آن‌ها را تشویق کنند روی پیوندی کلیک کنند یا فایل ضمیمه ایمیل را باز کنند. در مقیاس بزرگ‌تر، حمله Spear phishing attack به شکل گسترده به شرکت‌های بزرگ، مراکز دولتی و سازمان‌های مالی حمله می‌کنند. این حملات پیچیدگی خاصی دارند و توسط هکرهای با سابقه انجام می‌شود. هدف از پیاده‌سازی چنین حملاتی دسترسی غیرمجاز به اطلاعات حساس و طبقه‌بندی شده، سرقت اسرار صنعتی و نظامی است. دومین نکته مهمی که باید به آن دقت کنید، به‌روزرسانی نرم‌افزارها و سیستم‌عامل است. نرم‌افزارها دارای باگ‌هایی هستند که هر لحظه ممکن است توسط هکرها پیدا شوند. این باگ‌ها درب‌های پشتی هستند که طراحان برای انجام کارهای خود روی نرم‌افزار یا سیستم‌عامل قرار داده‌اند. به همین دلیل مهم است که نرم‌افزارها و سیستم‌عامل‌ها به‌روز نگه داشته شود. سومین نکته‌ای که باید به آن دقت کنید نصب یک ضدویروس قدرتمند است. ضدویروس‌ها دوران سختی را سپری می‌کنند، زیرا چند وقتی است بدافزارهای نسل دوم به دنیای سایبری وارد شده‌اند. بدافزارهایی که مجهز به مکانیزم‌های دفاعی هستند و ضمن پنهان نگه داشتن فرآیندهای خود، اجازه نمی‌دهند ضدویروس‌ها وظیفه خود را به درستی انجام دهند. چهارمین نکته‌ای که باید به آن دقت کنید فیلتر کردن ترافیک شبکه است. نرم‌افزارهای فیلترینگ ترافیک، داده‌های ورودی و خروجی به سیستم را بررسی می‌کنند تا مطمئن شوند بدافزار یا کد مخربی به سیستم وارد نشده یا نشتی اطلاعات رخ ندهد. در این حالت اگر ضدویروس به دلیل وجود یک باگ یا فقدان اطلاعات لازم نتواند بدافزاری را شناسایی کند، نرم‌افزارهای فیلترینگ ترافیک به خوبی این شکاف را پر می‌کنند.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟