روتکیت (Rootkit) چیست؟

روتکیت (Rootkit) یک نوع ویروس نیست! کِرم کامپیوتری و یا حتی تروجان هم نیست! برخلاف نام غلط اندازش، ابزار کشاورزی هم نیست! پس با این حساب، روتکیت دقیقاً چیست و چه کاری انجام می دهد؟ با ما در ادامه‌ مقاله همراه باشید تا با نحوه عملکرد آن ها بیشتر آشنا شده و ببینیم در مقابل این تهدید سایبری، چه اقداماتی می‌توان انجام داد.
16 دقیقه
روتکیت (Rootkit) چیست؟

روتکیت (Rootkit) یک نوع ویروس نیست! کِرم کامپیوتری و یا حتی تروجان هم نیست! برخلاف نام غلط اندازش، ابزار کشاورزی هم نیست! پس با این حساب، روتکیت دقیقاً چیست و چه کاری انجام می دهد؟

با اینکه روتکیت‌ ها شباهت زیادی به بدافزارها دارند، ولی این فایل ‌ها ذاتاً مخرب نیستند. توانایی آن ها در دستکاری سیستم ‌عامل و فراهم کردن دسترسی از راه دور مدیریت، باعث شده تا محبوبیت این ابزار در بین مجرمان سایبری زیاد باشد.

با ما در ادامه‌ مقاله همراه باشید تا با نحوه عملکرد آن ها بیشتر آشنا شده و ببینیم در مقابل این تهدید سایبری، چه اقداماتی می‌توان انجام داد.

تعریف روتکیت

عبارت روتکیت (Rootkit) از دنیای  یونیکس نشأت گرفته است. در یونیکس کلمه‌ root، مانند Administrator در سیستم‌ عامل ویندوز، برای کاربری به کار برده می‌شود که بالاترین سطح دسترسی را دارد. کلمه‌ kit به نرم‌ افزاری اشاره دارد که دسترسی سطح root را فراهم می کند. اگر این دو کلمه را کنار هم بگذاریم به rootkit، یعنی برنامه‌ ای خواهیم رسید که به کاربر با اهداف مجاز یا مخرب، دسترسی سطح مدیر می‌دهد.

با توجه به این که این برنامه قادر است در اساسی‌ ترین سطوح در سیستم تغییر ایجاد کند، می‌تواند خودش را مخفی کند، فایل‌ ها را اجرا نماید و بدون این که صاحب دستگاه از وجودش آگاه شود، هر نوع تغییر دلخواهی را در سیستم انجام دهد.

روتکیت‌ ها در گذشته فقط به دنیای یونیکس و لینوکس محدود بودند، اما در نهایت وارد دنیای سیستم‌ عامل ویندوز هم شدند. اولین نوع ویندوزی، NTRootkit بود که سال ۱۹۹۹ کشف شد و ویندوز NT را هدف قرار داده بود. از آن زمان تاکنون، روتکیت‌ ها به سرعت در محیط ویندوز رشد کرده‌اند و در دنیای دیجیتال امروز بسیار رایج و دردساز هستند.

روتکیت‌ ها چگونه کار می‌کنند؟

روتکیت‌ ها چگونه کار می‌کنند؟
روتکیت‌ ها چگونه کار می‌کنند؟

روتکیت‌ ها به تنهایی قادر به پخش شدن نیستند و برای آلوده کردن کامپیوتر، از تاکتیک‌ های مخفیانه استفاده می کنند. آن‌ها معمولاً خودشان را در نرم‌ افزارهای مخربی که ظاهری معمولی دارند مخفی می‌کنند و کاملا فعال هستند. وقتی مجوز لازم برای نصب شدن بر روی سیستم را می دهید، مخفیانه وارد کامپیوتر شده و تا زمانی که هکر آن ها را فعال کند، بدون فعالیت باقی می‌مانند.

شناسایی و حذف آن ها بسیار سخت است چرا که می‌توانند خودشان را از دید کاربر، مدیران و محصولات امنیتی پنهان کنند. وقتی یک سیستم توسط آن ها آلوده می‌شود، احتمال فعالیت ‌های مخرب در آن بالا می‌رود.

آلودگی به روتکیت‌ ها از روش های مختلفی همچون فیشینگ، دانلود از وبسایت‌های آلوده و اتصال به درایوها و دیسک های آلوده و مشکوک اتفاق می افتد. ذکر این نکته حائز اهمیت است که آن ها همواره به صورت فایل‌های اجرایی نیستند، گاهی اوقات باز کردن یک فایل PDF یا Word هم برای آزاد کردن این برنامه ‌های مخرب کافی است.

به طور کلی چهار نوع روتکیت وجود دارد:

۱.  روتکیت‌ کرنل

روتکیت‌ های کرنل (Kernel) طراحی شده‌اند تا در عملکرد سیستم‌ عامل شما تغییر ایجاد کنند. این نوع معمولاً کدها و گاهی اوقات هم ساختارهای اطلاعاتی خاصی را به بخش‌هایی از هسته‌ سیستم‌ عامل (معروف به کرنل) اضافه می‌کنند.

ساختن نوع کرنل نسبتا پیچیده است، اما اگر به درستی پیاده‌سازی شود، می‌تواند تاثیر قابل توجهی روی عملکرد سیستم شما بگذارد. خبر خوب این است که اکثر روتکیت‌ های کرنل، نسبت به سایر انواع آن ها راحت ‌تر شناسایی می‌شوند.

SmartService نمونه‌ خوبی از یک نوعِ کرنلی است. این روتکیت که در اواسط سال ۲۰۱۷ مورد توجه قرار گرفت، اجازه‌ اجرا شدن آنتی‌ ویروس ها را به کاربر نمی‌ داد و عملاً نقش بادیگارد را برای بدافزارهای موجود در سیستم بازی می‌کرد.

۲.  روتکیت‌ کاربر محور

روتکیت‌ های کاربر محور یا به شکل معمولی در حین بالا آمدن سیستم اجرا می‌شوند و یا توسط یک ابزار دیگر، درون سیستم تزریق می‌گردند. این مدل ‌ها انواع مختلفی دارند و نوع کارکرد آن‌ ها بیشتر به خود سیستم‌ عامل بر می‌گردد.

به طور مثال، روتکیت ‌های ویندوزی بیشتر بر روی دستکاری فایل‌ های DLL این سیستم‌ عامل تمرکز دارند، در حالی که در سسیتم‌ عامل یونیکس، جابجا شدن کامل یک اپلیکیشن با اپلیکیشن دیگر رواج بیشتری دارد.

روتکیت‌ های کاربر محور، امروزه در حوزه‌ بدافزارهای مالی محبوبیت زیادی دارند. یکی از معروف‌ ترین بدافزارهای مالی، Carberp نام دارد که از این نوع استفاده می‌کند و سورس کُد آن چند سال پیش لو رفت. بنابراین خیلی از بدافزارهای مالی رایج، از اجزای این نوع استفاده می‌کنند.

۳.  روتکیت‌ بوت ‌لودر (Bootloader)

روتکیت‌ های بوت‌ لودر یا بوتکیت‌ ها با آلوده کردن بخش Master Boot Record که به کامپیوتر می‌گوید چطور باید سیستم‌ عامل را بارگذاری کند، بلوک‌ های سازنده‌ کامپیوتر را هدف قرار می‌دهند. از کار انداختن این بوتکیت ها مشکل است چون در صورتی که بوت ‌لودر کُد خود را به MBR تزریق کرده باشد، حذف آن به سیستم شما صدمه می‌زند.

سیستم‌ عامل ‌های مدرن مانند ویندوز ۱۰، با معرفی Secure Boot تقریباً به طور کامل در برابر این نوع مصون شده‌ اند. در نتیجه می توان گفت که بوتکیت ‌ها تقریباً منسوخ شده‌ اند. معروف ‌ترین بوتکیت تاریخ، خانواده‌ی Alureon/TDL-4 بود که از سال ۲۰۰۷ تا ۲۰۱۲ رواج داشت. بدافزار Alureon که از طریق بوتکیت خود محافظت می‌شد، تا انتهای سال ۲۰۱۱ که سازندگان آن دستگیر شدند، توانست به دومین بات‌نت فعال تاریخ بدل شود.

۴.  روتکیت‌ حافظه

این روتکیت‌ ها، در حافظه‌ی رَم کامپیوتر شما وجود دارند. برخلاف سایر انواع دیگر که تا سال ‌های سال می‌توانند بدون اطلاع شما در کامپیوتر حضور داشته باشند، روتکیت‌ های حافظه رَم با ریست کردن کامپیوتر از بین می‌روند چرا که محتویات رَم با خاموش شدن آن، پاک می‌شود.

اگرچه روتکیت ‌ها انواع بسیار مختلفی دارند، ولی اکثر آن ‌ها با هدف پاک کردن رَد خودشان (یا نرم‌افزار همراهشان) از سیستم عامل، طراحی می‌شوند. این کار به روش‌های مختلفی قابل انجام است. به طور مثال ویندوز یک قابلیت داخلی دارد که مسئول لیست کردن محتویات فولدرها است. روتکیت‌ ها می‌توانند این عملکرد را دستکاری کنند تا نام فایلی که حاوی آن هاست، هیچ وقت نشان داده نشود و در نتیجه آن فایل از مقابل دید کاربر معمولی پنهان گردد.

با دستکاری سایر API های ویندوزی، نه تنها می‌شود فایل ‌ها و فولدر ‌ها را مخفی کرد، بلکه برنامه‌های فعال، پورت‌های ارتباطی باز شبکه یا کلیدهای رجیستری را هم می‌شود مخفی نمود.

آیا روتکیت ‌ها را باید نوعی بدافزار در نظر گرفت؟

تفاوت روتکیت ها و بدافزار ها
تفاوت روتکیت ها و بدافزار ها

همانطور که پیش تر گفتیم، روتکیت ‌ها عموماً توسط توزیع‌ کنندگان بدافزارها استفاده می‌شوند، اما آیا این کار باعث می‌شود که این برنامه‌ ها ذاتاً مخرب باشند؟

در یک کلام باید گفت: خیر! آن ها ذاتاً خطرناک نیستند. تنها هدف آن ‌ها مخفی کردن نرم‌ افزارها و رَدپای به‌ جا مانده از آن ها در سیستم‌ عامل است. حال این که آن نرم‌ افزار مجاز باشد یا مخرب، موضوع دیگری است.

در طول سال‌ها، مصادیق زیادی از روتکیت ‌های مجاز وجود داشته که مشهورترین آن‌ها سیستم محافظت از کپی شدن سی‌دی‌ ها بود که Sony BMG نام داشت. برنامه‌ ای که در لیست پردازش‌ ها و برنامه های فعال پیدا نبود و امکان حذف کردن آن هم وجود ندشت و خودش را از کاربر مخفی می‌کرد. این نرم‌افزار در ابتدا با این هدف طراحی شده بود که از کپی کردن غیرقانونی موسیقی از روی سی‌دی‌ها جلوگیری کند.

اگرچه انواع مجاز هم وجود دارد، ولی باید گفت مجرمان سایبری بیشترین استفاده را روتکیت ‌ها می‌ کنند. زیرا از آن ها می‌توان برای مخفی کردن پردازش‌ ها، فایل ‌ها و فولدر‌ها استفاده کرد و هکرها هم اغلب از این ابزارها برای مخفی کردن بدافزارهای خود از دید کاربران و دشوارتر ساختن امکان شناسایی و حذف آن‌ ها توسط آنتی ‌ویروس ها استفاده می‌کنند.

استفاده از آن ها به عنوان کی‌لاگر هم رواج زیادی دارد، چون این برنامه می‌تواند بین سیستم‌ عامل و سخت‌ افزار کامپیوتر قرار بگیرد و فشردن تک تک کلیدهای شما را ثبت کند. علاوه بر این، هَکرها از روتکیت ‌ها برای ایجاد بات‌نت‌های گسترده‌ای که میلیون‌ها دستگاه را در معرض خطر قرار داده‌اند هم استفاده کرده‌ اند. بات‌نت‌هایی که عموماً برای استخراج رمزارز، اجرای حملات DDoS و پیاده‌سازی کمپین‌های غیر مجاز در مقیاس وسیع مورد استفاده قرار می‌گیرد.

امسی ‌سافت چگونه با روتکیت ‌ها مبارزه می‌کند؟

آنتی ‌ویروس‌های مبتنی بر امضا، به سختی می‌توانند روتکیت ‌ها را شناسایی کنند. خیلی از روتکیت‌ ها توانایی‌هایی فراتر از مخفی کردن خودشان در برابر اسکنرها و سایر سیستم‌های حفاظتی دارند، بنابراین تحلیل و مقابله با این امضاها توسط آنتی ویروس‌ های مذکور تقریباً غیرممکن است.

خوشبختانه آنتی ویروس امسی ‌سافت از روش متفاوتی استفاده می‌کند. سیستم رفتارشناسی آنتی ویروس امسی‌ سافت، به جای تکیه بر شناسایی امضاها، قادر است فرآیندهای مخربی را که در پی دستیابی به عملکردهای سیستم است شناسایی کند و پیش از آن که تغییری در سیستم ایجاد شود، آن‌ها را متوقف سازد.

این رویکرد خلاقانه در مبارزه با روتکیت‌ ها و بدافزارها، امسی ‌سافت را قادر می‌سازد تا همه‌ی انواع حملات سایبری از جمله تهدیدات کاملاً جدید (Zero-Day) را هم شناسایی و مسدود کند.

روزی خوب و بدون بدافزاری داشته باشید!

برگرفته شده از:

?What is a rootkit

اشتراک گذاری

نظرات

بدون نظر

ارسال نظر

نشانی ایمیل شما منتشر نخواهد شد.