روتکیت (Rootkit) یک نوع ویروس نیست! کِرم کامپیوتری و یا حتی تروجان هم نیست! برخلاف نام غلط اندازش، ابزار کشاورزی هم نیست! پس با این حساب، روتکیت دقیقاً چیست و چه کاری انجام می دهد؟
با اینکه روتکیت ها شباهت زیادی به بدافزارها دارند، ولی این فایل ها ذاتاً مخرب نیستند. توانایی آن ها در دستکاری سیستم عامل و فراهم کردن دسترسی از راه دور مدیریت، باعث شده تا محبوبیت این ابزار در بین مجرمان سایبری زیاد باشد.
با ما در ادامه مقاله همراه باشید تا با نحوه عملکرد آن ها بیشتر آشنا شده و ببینیم در مقابل این تهدید سایبری، چه اقداماتی میتوان انجام داد.
تعریف روتکیت
عبارت روتکیت (Rootkit) از دنیای یونیکس نشأت گرفته است. در یونیکس کلمه root، مانند Administrator در سیستم عامل ویندوز، برای کاربری به کار برده میشود که بالاترین سطح دسترسی را دارد. کلمه kit به نرم افزاری اشاره دارد که دسترسی سطح root را فراهم می کند. اگر این دو کلمه را کنار هم بگذاریم به rootkit، یعنی برنامه ای خواهیم رسید که به کاربر با اهداف مجاز یا مخرب، دسترسی سطح مدیر میدهد.
با توجه به این که این برنامه قادر است در اساسی ترین سطوح در سیستم تغییر ایجاد کند، میتواند خودش را مخفی کند، فایل ها را اجرا نماید و بدون این که صاحب دستگاه از وجودش آگاه شود، هر نوع تغییر دلخواهی را در سیستم انجام دهد.
روتکیت ها در گذشته فقط به دنیای یونیکس و لینوکس محدود بودند، اما در نهایت وارد دنیای سیستم عامل ویندوز هم شدند. اولین نوع ویندوزی، NTRootkit بود که سال ۱۹۹۹ کشف شد و ویندوز NT را هدف قرار داده بود. از آن زمان تاکنون، روتکیت ها به سرعت در محیط ویندوز رشد کردهاند و در دنیای دیجیتال امروز بسیار رایج و دردساز هستند.
روتکیت ها چگونه کار میکنند؟
روتکیت ها به تنهایی قادر به پخش شدن نیستند و برای آلوده کردن کامپیوتر، از تاکتیک های مخفیانه استفاده می کنند. آنها معمولاً خودشان را در نرم افزارهای مخربی که ظاهری معمولی دارند مخفی میکنند و کاملا فعال هستند. وقتی مجوز لازم برای نصب شدن بر روی سیستم را می دهید، مخفیانه وارد کامپیوتر شده و تا زمانی که هکر آن ها را فعال کند، بدون فعالیت باقی میمانند.
شناسایی و حذف آن ها بسیار سخت است چرا که میتوانند خودشان را از دید کاربر، مدیران و محصولات امنیتی پنهان کنند. وقتی یک سیستم توسط آن ها آلوده میشود، احتمال فعالیت های مخرب در آن بالا میرود.
آلودگی به روتکیت ها از روش های مختلفی همچون فیشینگ، دانلود از وبسایتهای آلوده و اتصال به درایوها و دیسک های آلوده و مشکوک اتفاق می افتد. ذکر این نکته حائز اهمیت است که آن ها همواره به صورت فایلهای اجرایی نیستند، گاهی اوقات باز کردن یک فایل PDF یا Word هم برای آزاد کردن این برنامه های مخرب کافی است.
به طور کلی چهار نوع روتکیت وجود دارد:
۱. روتکیت کرنل
روتکیت های کرنل (Kernel) طراحی شدهاند تا در عملکرد سیستم عامل شما تغییر ایجاد کنند. این نوع معمولاً کدها و گاهی اوقات هم ساختارهای اطلاعاتی خاصی را به بخشهایی از هسته سیستم عامل (معروف به کرنل) اضافه میکنند.
ساختن نوع کرنل نسبتا پیچیده است، اما اگر به درستی پیادهسازی شود، میتواند تاثیر قابل توجهی روی عملکرد سیستم شما بگذارد. خبر خوب این است که اکثر روتکیت های کرنل، نسبت به سایر انواع آن ها راحت تر شناسایی میشوند.
SmartService نمونه خوبی از یک نوعِ کرنلی است. این روتکیت که در اواسط سال ۲۰۱۷ مورد توجه قرار گرفت، اجازه اجرا شدن آنتی ویروس ها را به کاربر نمی داد و عملاً نقش بادیگارد را برای بدافزارهای موجود در سیستم بازی میکرد.
۲. روتکیت کاربر محور
روتکیت های کاربر محور یا به شکل معمولی در حین بالا آمدن سیستم اجرا میشوند و یا توسط یک ابزار دیگر، درون سیستم تزریق میگردند. این مدل ها انواع مختلفی دارند و نوع کارکرد آن ها بیشتر به خود سیستم عامل بر میگردد.
به طور مثال، روتکیت های ویندوزی بیشتر بر روی دستکاری فایل های DLL این سیستم عامل تمرکز دارند، در حالی که در سسیتم عامل یونیکس، جابجا شدن کامل یک اپلیکیشن با اپلیکیشن دیگر رواج بیشتری دارد.
روتکیت های کاربر محور، امروزه در حوزه بدافزارهای مالی محبوبیت زیادی دارند. یکی از معروف ترین بدافزارهای مالی، Carberp نام دارد که از این نوع استفاده میکند و سورس کُد آن چند سال پیش لو رفت. بنابراین خیلی از بدافزارهای مالی رایج، از اجزای این نوع استفاده میکنند.
۳. روتکیت بوت لودر (Bootloader)
روتکیت های بوت لودر یا بوتکیت ها با آلوده کردن بخش Master Boot Record که به کامپیوتر میگوید چطور باید سیستم عامل را بارگذاری کند، بلوک های سازنده کامپیوتر را هدف قرار میدهند. از کار انداختن این بوتکیت ها مشکل است چون در صورتی که بوت لودر کُد خود را به MBR تزریق کرده باشد، حذف آن به سیستم شما صدمه میزند.
سیستم عامل های مدرن مانند ویندوز ۱۰، با معرفی Secure Boot تقریباً به طور کامل در برابر این نوع مصون شده اند. در نتیجه می توان گفت که بوتکیت ها تقریباً منسوخ شده اند. معروف ترین بوتکیت تاریخ، خانوادهی Alureon/TDL-4 بود که از سال ۲۰۰۷ تا ۲۰۱۲ رواج داشت. بدافزار Alureon که از طریق بوتکیت خود محافظت میشد، تا انتهای سال ۲۰۱۱ که سازندگان آن دستگیر شدند، توانست به دومین باتنت فعال تاریخ بدل شود.
۴. روتکیت حافظه
این روتکیت ها، در حافظهی رَم کامپیوتر شما وجود دارند. برخلاف سایر انواع دیگر که تا سال های سال میتوانند بدون اطلاع شما در کامپیوتر حضور داشته باشند، روتکیت های حافظه رَم با ریست کردن کامپیوتر از بین میروند چرا که محتویات رَم با خاموش شدن آن، پاک میشود.
اگرچه روتکیت ها انواع بسیار مختلفی دارند، ولی اکثر آن ها با هدف پاک کردن رَد خودشان (یا نرمافزار همراهشان) از سیستم عامل، طراحی میشوند. این کار به روشهای مختلفی قابل انجام است. به طور مثال ویندوز یک قابلیت داخلی دارد که مسئول لیست کردن محتویات فولدرها است. روتکیت ها میتوانند این عملکرد را دستکاری کنند تا نام فایلی که حاوی آن هاست، هیچ وقت نشان داده نشود و در نتیجه آن فایل از مقابل دید کاربر معمولی پنهان گردد.
با دستکاری سایر API های ویندوزی، نه تنها میشود فایل ها و فولدر ها را مخفی کرد، بلکه برنامههای فعال، پورتهای ارتباطی باز شبکه یا کلیدهای رجیستری را هم میشود مخفی نمود.
آیا روتکیت ها را باید نوعی بدافزار در نظر گرفت؟
همانطور که پیش تر گفتیم، روتکیت ها عموماً توسط توزیع کنندگان بدافزارها استفاده میشوند، اما آیا این کار باعث میشود که این برنامه ها ذاتاً مخرب باشند؟
در یک کلام باید گفت: خیر! آن ها ذاتاً خطرناک نیستند. تنها هدف آن ها مخفی کردن نرم افزارها و رَدپای به جا مانده از آن ها در سیستم عامل است. حال این که آن نرم افزار مجاز باشد یا مخرب، موضوع دیگری است.
در طول سالها، مصادیق زیادی از روتکیت های مجاز وجود داشته که مشهورترین آنها سیستم محافظت از کپی شدن سیدی ها بود که Sony BMG نام داشت. برنامه ای که در لیست پردازش ها و برنامه های فعال پیدا نبود و امکان حذف کردن آن هم وجود ندشت و خودش را از کاربر مخفی میکرد. این نرمافزار در ابتدا با این هدف طراحی شده بود که از کپی کردن غیرقانونی موسیقی از روی سیدیها جلوگیری کند.
اگرچه انواع مجاز هم وجود دارد، ولی باید گفت مجرمان سایبری بیشترین استفاده را روتکیت ها می کنند. زیرا از آن ها میتوان برای مخفی کردن پردازش ها، فایل ها و فولدرها استفاده کرد و هکرها هم اغلب از این ابزارها برای مخفی کردن بدافزارهای خود از دید کاربران و دشوارتر ساختن امکان شناسایی و حذف آن ها توسط آنتی ویروس ها استفاده میکنند.
استفاده از آن ها به عنوان کیلاگر هم رواج زیادی دارد، چون این برنامه میتواند بین سیستم عامل و سخت افزار کامپیوتر قرار بگیرد و فشردن تک تک کلیدهای شما را ثبت کند. علاوه بر این، هَکرها از روتکیت ها برای ایجاد باتنتهای گستردهای که میلیونها دستگاه را در معرض خطر قرار دادهاند هم استفاده کرده اند. باتنتهایی که عموماً برای استخراج رمزارز، اجرای حملات DDoS و پیادهسازی کمپینهای غیر مجاز در مقیاس وسیع مورد استفاده قرار میگیرد.
امسی سافت چگونه با روتکیت ها مبارزه میکند؟
آنتی ویروسهای مبتنی بر امضا، به سختی میتوانند روتکیت ها را شناسایی کنند. خیلی از روتکیت ها تواناییهایی فراتر از مخفی کردن خودشان در برابر اسکنرها و سایر سیستمهای حفاظتی دارند، بنابراین تحلیل و مقابله با این امضاها توسط آنتی ویروس های مذکور تقریباً غیرممکن است.
خوشبختانه آنتی ویروس امسی سافت از روش متفاوتی استفاده میکند. سیستم رفتارشناسی آنتی ویروس امسی سافت، به جای تکیه بر شناسایی امضاها، قادر است فرآیندهای مخربی را که در پی دستیابی به عملکردهای سیستم است شناسایی کند و پیش از آن که تغییری در سیستم ایجاد شود، آنها را متوقف سازد.
این رویکرد خلاقانه در مبارزه با روتکیت ها و بدافزارها، امسی سافت را قادر میسازد تا همهی انواع حملات سایبری از جمله تهدیدات کاملاً جدید (Zero-Day) را هم شناسایی و مسدود کند.
روزی خوب و بدون بدافزاری داشته باشید!
برگرفته شده از:
بدون نظر