روتکیت چیست؟
روتکیت واژهای مرکب متشکل از root و kit است که واژه root به مدیریت سیستمعامل (ویندوز یا سایر سامانههای عامل) اشاره دارد، در حالی که kit به نرمافزار طراحی شده برای کنترل و مدیریت کامپیوتر شخصی (سختافزار و نرمافزار) بدون اطلاع کاربر اشاره دارد. زمانیکه روتکیت روی یک کامپیوتر شخصی نصب میشود، همزمان با راهاندازی کامپیوتر فعال میشود و به شکل پنهان و با مجوز سطح مدیر (بالاترین مجوز ممکن در یک سامانه) در حافظه اصلی سیستم قرار میگیرد تا هرگونه فعالیت یک کامپیوتر را ضبط و ردیابی کند، ترافیک اینترنت کاربر را پویش کند، هر برنامهای را بدون نیاز به کسب اجازه از کاربر نصب کند، منابع سیستم را بیهوده هدر دهد یا کامپیوتر را به یک شبکه باتنت متصل کند. شناسایی روتکیتها کار سختی است، زیرا هکرها از پیچیدهترین مکانیزمها برای پنهانسازی روتکیتها استفاده میکنند. بهطور معمول برای حذف روتکیتها به یک ضدویروس و پویشگیر قدرتمندی که بتواند روتکیت را حذف کند نیاز است.
روتکیتها چگونه گسترش پیدا میکنند؟
روتکیتها عملکردی شبیه به نرمافزارهای عادی دارند که باید دانلود، نصب و اجرا شوند. روتکیتها از سه مولفه اصلی Dropper، Loader و rootkit ساخته میشوند. Dropper بخشی از بدافزار است که هیچ کد آلوده و مشکوکی ندارد و تنها کدهای مخرب را از سرورهای راه دور دریافت و روی سامانه قربانی نصب میکند. Loader وظیفه بارگذاری کدهای مخرب در حافظه را دارد و rootkit کدها و فعالیتهای مخرب تعریف شده را اجرا میکند. dropper میتواند یک فایل یا برنامه اجرایی باشد که روتکیت را نصب میکند، هرچند همیشه اینگونه نیست و ممکن است به شکلهای مختلف ظاهر شود. dropper ممکن است با یک ضمیمه ایمیلی یا دانلود نرمافزار از وبسایتی ناشناخته به یک سامانه کامپیوتری وارد شود. در حالت دیگر dropper میتواند یک فایل PDF یا یک سند ورد باشد که برای نصب و اجرای روتکیت ساخته شده و به محض باز کردن به شکل خودکار روتکیت را نصب میکند. در بیشتر موارد آلودگی توسط یک فایل PDF یا یک فایل ورد آغاز میشود که قربانی به راحتی گزینه دانلود را کلیک کرده و فایل را روی کامپیوتر خود باز میکند. با اینحال، در برخی موارد ممکن است آلودگی از طریق منابع قانونی انجام شود. بهطور مثال، در سال 2016 میلادی شرکت سونی ناخواسته 22 میلیون دیسک فشرده را فروخت که روتکیت را روی کامپیوتر قربانیان نصب میکرد. روتکیتی که قرار بود از حقوق دیجیتال محافظت کند و مانع دانلود غیرقانونی فایلها شود به یک ابزار مخرب در جهت انجام کارهای خرابکارانه تبدیل شد. در سال 2016 میلادی نیز شرکت لنوو از روتکیتها با هدف نصب دوباره نرمافزار حذف شده این شرکت روی کامپیوترهای فروخته شده استفاده میکرد. روتکیتی که در مرحله بعد اطلاعات قابل شناسایی و مشخصات کاربران را برای لنوو ارسال میکرد. پیادهسازی چنین استراتژیهایی در محصولات تجاری به عنوان یک رویکرد تهاجمی و غیر اخلاقی در دنیای امنیت شناخته میشود که تنها شکاف امنیتی بزرگ در سامانهها به وجود میآورد، زیرا هکرها میتوانند نرمافزارها را به سرقت ببرند، کدها را مهندسی معکوس کنند و در جهت مخرب از آنها استفاده کنند.
روتکیتها چه گونههایی دارند؟
میزان آلودگی به روتکیت بر مبنای عمق و پیچیدگی یک سامانه و شدت نفوذ روتکیت به هسته مرکزی محاسبه میشود. شکل 1 این موضوع را نشان میدهد. آلودگی در حلقه 3 تقریبا سطحی است، زیرا در این سطح برنامههایی مثل آفیس مایکروسافت، فوتوشاپ یا نرمافزارهای مشابه آلوده میشوند. حلقههای 1 و 2 عمیقتر هستند و درایورهای سیستمی به ویژه کارت گرافیکی یا کارت صدا را آلوده میکنند. در حلقه صفر، کد مخرب هسته مرکزی سیستمعامل، بایوس و CMOS را آلوده میکند. بیشتر ضدویروسها بیشتر در حلقه 3 کار میکنند و به ندرت ضدویروسی پیدا میشود که بتواند حلقه 0 یا 1 را پویش کند. به همین دلیل آلودگی هسته مرکزی به معنای ناپیدا بودن روتکیت است.
روتکیت هسته مرکزی چیست؟
روتکیتهای سطح کرنل تغییراتی در عملکرد سیستمعامل به وجود میآورند. این روتکیتها کدهای مخرب را درون ساختار دادهای هسته سیستمعامل تزریق میکنند تا ضدویروسها موفق نشوند هیچگونه ناهنجاری را پیدا کنند. ساخت چنین روتکیتهایی فرآیندی پیچیده است، زیرا به دانش فنی زیادی نیاز دارد و اگر هکری بتواند چنین کاری را انجام دهد به راحتی میتواند تغییرات ناپیدایی در یک سیستم به وجود آورد. در این سطح اگر روتکیت باگ یا خطای نرمافزاری داشته باشد عملکرد عادی سیستم را با مشکل روبرو میکند که شناسایی آنرا ساده میکند. برخی از کارشناسان معتقد هستند شناسایی روتکیتهای سطح هسته ساده است، زیرا باگها سرنخهای زیادی در اختیار سازمانها قرار میدهند.
مطلب پیشنهادی
روتکیت سختافزاری
روتکیتهای سختافزاری به جای سیستمعامل به سراغ میانافزاری میروند که سختافزار از آن استفاده میکند. اوایل سال 2005 میلادی یک گروه هکری موفق شد کارتخوانها را به روتکیت سختافزاری آلوده کند. روتکیتی که اجازه داد اطلاعات کارتهای اعتباری مشتریان به راحتی در اختیار هکرها قرار گیرد. روتکیت فوق میتوانست در هارددیسک سامانه قربانیان پنهان شود و هر بایت از اطلاعات نوشته شده روی دیسک را تحریف کند.
روتکیت هایپروایزر
روتکیتهای هایپروایزر که گاهی اوقات بهنام روتکیت مجازی شناخته میشوند، گونه توسعه یافتهای از روتکیتها هستند که فناوریهای روز را برای آلودگی و پنهانسازی استفاده میکنند. روتکیت مجازی ابتدا خود را راهاندازی میکند، یک ماشین مجازی ایجاد میکند و پس از انجام فرآیندهای یاد شده سیستمعامل را راهاندازی میکند. روتکیت مجازی کنترل بیشتری روی یک سامانه دارد و در مقایسه با سایر روتکیتها خطرناکتر است، زیرا امکان حذف آن وجود ندارد.
روتکیت بوتلودر
روتکیت بارکنندهبوت همزمان با راهاندازی سیستمعامل اجرا میشود و رکورد راهانداز اصلی (MBR) که به کامپیوتر اعلام میدارد چگونه سیستمعامل را بارگذاری کند را آلوده میکند. در برخی موارد نیز رکورد راهانداز ولوم (VBR) را آلوده میکند. روتکیت فوق به دلیل اینکه در رکورد راهانداز دیسک قرار میگیرد در ساختار سیستم فایلی سیستمعامل نشان داده نمیشود و ضدویروسها و ضدروتکیتهای عادی به سختی میتوانند آنرا شناسایی و حذف کنند. اگر روتکیت بوتلودر رکوردهای بوت را دستکاری یا حذف کند، ممکن است سیستمعامل بارگذاری نشود یا سختافزار سیستم دچار مشکل جدی شود.
روتکیت حافظه اصلی
روتکیت حافظه به شکل مقیم در حافظه اصلی کار میکند. روتکیت حافظه با مصرف بیش از اندازه منابع سیستمی باعث میشود اجرای برنامهها با مشکل همراه شود.
روتکیت برنامه کاربردی
روتکیتهای برنامه کاربردی به سادگی قابل تشخیص هستند، زیرا به جای پنهان شدن در فایلهای سیستمی در یک برنامه کاربردی پنهان میشوند. به همین دلیل بیشتر ضدویروسها میتوانند روتکیتهای حالت کاربردی را شناسایی و حذف کنند.
چه پویشگرهایی برای شناسایی و حذف روتکیتها در دسترس قرار دارند؟
ضدویروسها برای شناسایی و حذف روتکیتها باید زمان و منابع سیستمی زیادی را صرف کنند تا روتکیتهای پیشرفته را شناسایی و حذف کنند، زیرا ضدویروسها برای انجام چنین کاری طراحی نشدهاند. به همین دلیل است که پویشگرهای روتکیت طراحی شدهاند که وظیفه اصلی آنها شناسایی و حذف این بدافزارها است.
Hitman Pro یک ابزار امنیتی قدرتمند و ایدهآل
Hitman Pro یکی از بهترین پویشگرهای رایج برای شناسایی روتکیتها است. پویشگر Hitman Pro میتواند روتکیتهای پنهان از دید ضدویروسها را شناسایی و حذف کند. این برنامه یک رابط کاربری ساده و یک فایل نصبی کوچک دارد.
Norton Power Eraser رایگان و توانمند
شرکت نورتون یک پویشگر رایگان شناسایی و حذف روتکیتها بهنام Norton Power Eraser را طراحی کرده است. ویژگی بررسی ترافیک و فعالیتهای مشکوک این پویشگر فراتر از حالت عادی است. به همین دلیل ممکن است گاهی اوقات هشدارهای کاذب مثبت زیادی را نشان دهد و برنامههایی که مخرب نیستند را مشکوک توصیف کند. Norton Power Eraser رابط کاربری سادهای دارد. برای اطمینان از این موضوع که پویشگر در وضعیت پویش روتکیتها قرار دارد، پس از نصب به تنظیمات برنامه بروید و تیک گزینه Include Rootkit Scan را فعال کنید.
UnHackMe متخصص در شناسایی روتکیتها
UnHackMe یک نرمافزار بهاشتراکگذار با ویژگیهای نظارتی است. به عبارت دقیقتر، هر زمان نشانهای دال بر هک کردن یک سامانه و باز کردن کانالی برای تزریق کدهای مخرب به کامپیوتری پیدا کند به شکل آنی هشداری برای کاربر ارسال میکند. رابط کاربری این نرمافزار برای انجام پویشهای عادی پیچیدگی خاصی ندارد. البته برای کاربران حرفهای گزینههایی در ارتباط با حذف کلیدها از رجیستری، ارسال نتایج و دریافت گزارشها به شکل متنی، غیرفعال کردن ویژگی اجرای خودکار و دهها قابلیت مفید در نظر گرفته شده است.
GMER یک ابزار دقیق شناسایی و حذف روتکیتها
یکی از بهترین گزینههای موجود در دنیای مبارزه با روتکیتها است. عملکرد این نرمافزار به اندازهای دقیق است که به عنوان یکی از مولفههای ضدویروس Avast استفاده شده است. عملکرد فوقالعاده این ضد روتکیت باعث شد تا هکرها تصمیم بگیرند یک حمله منع سرویس توزیع شده روی سایت میزبان GMER ترتیب دهند تا کاربران موفق شوند ضدروتکیت فوق را دانلود کنند. در نمونه دیگری هکرها برای متوقف کردن عملکرد این محصول امنیتی، بدافزارهایی برای شناسایی GMER طراحی کردند تا مانع اجرای آن شوند. اگر زمانی موفق نشدید ضدروتکیت فوق را روی یک سیستم اجرا کنید، کافی است نام آنرا iexplorer.exe قرار دهید تا روتکیت نصب شده روی سیستم فریب بخورد. البته کار کردن با ضدروتکیت فوق به دانش فنی زیادی نیاز دارد تا بتوانید برای شناسایی فرآیندهای مخرب از آن استفاده کنید. اگر کاربر عادی هستید بهتر است تنها برای پویش سیستم از محصول فوق استفاده کنید، زیرا ممکن است ناخواسته به سیستم خود آسیب وارد کنید.
مطلب پیشنهادی
چگونه روتکیتها را حذف کنیم؟
شناسایی و حذف روتکیتها به سختی انجام میشود، زیرا برخی از آنها ویژگی دفاعی دارند و زمانی که متوجه شوند کاربر در حال پاک کردن مولفههای مخرب است، فایلهای سیستم را پاک یا غیر قابل استفاده میکنند. نکته مهم دیگری که باید به آن اشاره کرد در ارتباط با نسخههای پشتیبان است. روتکیتها میتوانند نسخههای پشتیبان را آلوده کنند. اگر احساس میکنید سامانهای آلوده به روتکیت است، مراحل زیر را دنبال کنید:
- ابتدا کامپیوتر را در حالت ایمن و با قابلیت اتصال به شبکه راهاندازی کنید. برخی از روتکیتها مانع نصب محصولات امنیتی میشوند یا زمانی که یک بسته امنیتی نصب شد آنرا حذف میکنند. در این حالت باید کامپیوتر آلوده در حالت ایمن با قابلیت اتصال به شبکه (Safe Mode with Networking) راهاندازی شود تا دسترسی روتکیت به سامانه محدود شود.
- در مرحله بعد باید از ابزارهای مختلف برای شناسایی روتکیتها استفاده شود. روتکیتها خانواده بزرگ و متنوعی مثل TDSS، Ailerion، ZeroAcess و... دارند. هیچ پویشگر روتکیتی نمیتواند تمامی گونههای مختلف را شناسایی کند، به همین دلیل لازم است از ترکیب اسکنرهای مختلف برای شناسایی تهدیدات بالقوه استفاده کرد. متخصصان خبره از تواناییهای یک پویشگر برای جبران ضعفهای دیگری استفاده میکنند. پیشنهاد میکنیم از پویشگرهای معرفی شده در این مقاله همراه با Kaspersky TDSS Killer و Malwarebytes Antirootkit استفاده کنید. نرمافزار ضدروتکیت Malwarebytes میتواند روتکیتهای مختلف را شناسایی کند. البته پویشگر فوق یک قابلیت کاربردی دیگر دارد که میتواند آسیبپذیریهایی که روتکیت به سیستمعامل وارد کرده را برطرف کند.
- پس از شناسایی و حذف روتکیتها در مرحله بعد باید ردپاهای برجای مانده را پاک کنید. نرمافزار RKill یک محصول امنیتی کارآمد است که هرگونه فرآیند مخرب مربوط به بدافزارها را شناسایی و متوقف میکند (شکل 2).
- پس از اجرای نرمافزار فوق سامانه را راهاندازی مجدد کنید تا مطمئن شوید روتکیت بهطور کامل از سامانه پاک شده است.
چگونه روتکیتهای آلوده کننده بایوس یا سختافزار را شناسایی و حذف کنیم؟
روتکیتهایی که بایوس یا میانافزار سختافزاری را آلوده میکنند به سختی پاک میشوند و نرمافزارهای ضدروتکیت استاندارد خیلی راهگشا نیستند. در چنین شرایطی بهترین کاری که میتوان انجام داد فلش کردن بایوس است. این فرآیند به معنای پاک کردن بایوس و نصب نسخه جدیدی از بایوس است. در بیشتر موارد روتکیتهایی که بایوس را آلوده میکنند به یک مکانیزم دفاعی تجهیز شدهاند که اجازه نمیدهند بایوس را فلش کنید. در اینگونه موارد بهتر است به سراغ شرکتهای متخصص بروید، زیرا اگر اشتباهی در فلش کردن بایوس رخ دهد، مادربورد برای همیشه از دست میرود.
چگونه از آلودگی یک سامانه به روتکیت جلوگیری کنیم؟
حملات فیشینگ یکی از شایعترین روشهای آلوده کردن سامانهها به بدافزارهای مخرب است. هکرها با ارسال ایمیلهای اغواکننده برای کاربران سعی میکنند، آنها را تشویق کنند روی پیوندی کلیک کنند یا فایل ضمیمه ایمیل را باز کنند. در مقیاس بزرگتر، حمله Spear phishing attack به شکل گسترده به شرکتهای بزرگ، مراکز دولتی و سازمانهای مالی حمله میکنند. این حملات پیچیدگی خاصی دارند و توسط هکرهای با سابقه انجام میشود. هدف از پیادهسازی چنین حملاتی دسترسی غیرمجاز به اطلاعات حساس و طبقهبندی شده، سرقت اسرار صنعتی و نظامی است. دومین نکته مهمی که باید به آن دقت کنید، بهروزرسانی نرمافزارها و سیستمعامل است. نرمافزارها دارای باگهایی هستند که هر لحظه ممکن است توسط هکرها پیدا شوند. این باگها دربهای پشتی هستند که طراحان برای انجام کارهای خود روی نرمافزار یا سیستمعامل قرار دادهاند. به همین دلیل مهم است که نرمافزارها و سیستمعاملها بهروز نگه داشته شود. سومین نکتهای که باید به آن دقت کنید نصب یک ضدویروس قدرتمند است. ضدویروسها دوران سختی را سپری میکنند، زیرا چند وقتی است بدافزارهای نسل دوم به دنیای سایبری وارد شدهاند. بدافزارهایی که مجهز به مکانیزمهای دفاعی هستند و ضمن پنهان نگه داشتن فرآیندهای خود، اجازه نمیدهند ضدویروسها وظیفه خود را به درستی انجام دهند. چهارمین نکتهای که باید به آن دقت کنید فیلتر کردن ترافیک شبکه است. نرمافزارهای فیلترینگ ترافیک، دادههای ورودی و خروجی به سیستم را بررسی میکنند تا مطمئن شوند بدافزار یا کد مخربی به سیستم وارد نشده یا نشتی اطلاعات رخ ندهد. در این حالت اگر ضدویروس به دلیل وجود یک باگ یا فقدان اطلاعات لازم نتواند بدافزاری را شناسایی کند، نرمافزارهای فیلترینگ ترافیک به خوبی این شکاف را پر میکنند.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟