روت کیت ها
در این مقاله به توضیح روت کیت،یکی از مخرب ترین بد افزارهای موجود پرداخیتم
روت کیت چیست؟
تنها یک بدافزار نیست بلکه مجموعه ای از نرم افزارهای مخرب است که از طریق نقص امنیتی وارد رایانه می شود و به مهاجمین اجازه دسترسی سیستم از راه دور را می دهد. ویژگی اصلی روت کیت ها این است که می توانند خود و سایر نرم افزارهای مخرب را از اسکن ویروس و نرم افزارهای امنیتی پنهان کنند تا کاربر متوجه وجود آنها نشود .
روت کیت ها چگونه کار می کنند؟
اگرچه انواع مختلفی دارند ، اما عملکرد کلی آنها همیشه یکسان است. روش نفوذ در سیستم نیز همیشه از همان الگو پیروی می کند.
مرحله 1: عفونت سیستم
در بیشتر موارد ، ابتلا به عفونت این نوع بد افزار نوعی مهندسی اجتماعی است: هکرها از ضعیف ترین قسمت سیستم های امنیتی بهره برداری می کنند:با نفوذ یا فریب عمدی افراد ، هکرها می توانند رمز عبور را بدست آورند و وارد سیستم شوند.آنها وارد رایانه می شوند و روت کیت را نصب می کنند.
با این حال ، امکان ابتلا به عفونت از راه های دیگر وجود دارد ، به عنوان مثال با بارگیری یک فایل از یک وب سایت آلوده ، با بارگیری نرم افزار از یک منبع ناامن ، یا با کلیک بر روی یک پیوند یا پیوست ایمیل.
یا مثلن وقتی یک هکر یک حافظه USB دارای روت کیت را در یک مکان عمومی جا می گذارد. کسانی که آن را پیدا می کنند می توانند غیر مسئولانه و از روی کنجکاوی آن را به رایانه خود متصل کنند: نفوذ موفقیت آمیز بود.
مرحله 2:روت کیت پس از ورود به سیستم
پس از ورود به سیستم ، حضور خود را مخفی می کند. برای این منظور ، شروع به دستکاری کلیه فرایندهایی می کند که از طریق آنها برنامه ها و عملکردهای سیستم داده ها را با یکدیگر متبادل می کنند. به این ترتیب ، یک برنامه آنتی ویروس فقط اطلاعات جعلی را هنگام اسکن دریافت می کند که در آن هیچ گونه اتفاق مشکوکی وجود ندارد. به همین دلیل ، حتی نرم افزار آنتی ویروس حرفه ای نیز غالباً قادر به شناسایی این نوع بدافزار نیست.
مرحله 3:روت کیت و نصب درب پشتی
پس از آن ، به اصطلاح “backdoor” ، یعنی یک درب عقب در سیستم نصب می کند ، که هکر می تواند با استفاده از آن از طریق رمز عبور از راه دور به کامپیوتر دسترسی پیدا کند.وظیفه پنهان کردن هرگونه روند ورود به سیستم و هرگونه فعالیت مشکوک را دارد.
چه چیزی روت کیت ها را از بدافزارهای دیگر متمایز می کند؟
به روت کیت ها به دلایل واضحی “ویروس پنهان” گفته می شود ، گرچه بنا به تعریف نمی توان آنها را به عنوان ویروس دسته بندی کرد
ویروس : ویروس توسط یک فایل یا توسط یک برنامه اجرایی حمل می شود. اگرچه به خودی خود تولید مثل می کند ، اما به طور کلی نمی تواند به تنهایی گسترش یابد و فقط با مداخله انسان یا برنامه های دیگر میتواند گسترش پیدا کند.
Worm : این اصطلاح به زیر مجموعه خاصی از ویروسهای رایانه ای گفته می شود که می توانند خود را از طریق توابع انتقال داده یک سیستم گسترش دهند.
تروجان: یک ویروس نیست ، بلکه یک بدافزار است که یک برنامه مخرب است که به عنوان یک برنامه مفید پنهان شده است.
از روت کیت به عنوان زیرگونه تروجان نیز یاد می شود. بسیاری از تروجان ها دارای ویژگی های روت کیت هستند. تفاوت اصلی این است که روت کیت ها در واقع در سیستم پنهان می شوند و معمولاً به مهاجم کمک می کنند تا کمترل سیستم را بدست بگیرد.
چه نوع روت کیت هایی وجود دارد؟
روت کیت ها عمدتا در نحوه پوشاندن فرآیندهای بدافزار و فعالیت های هکر متفاوت هستند. بیشترین کاربرد آن ها حالت هسته و حالت کاربر است.
روت کیت در حالت هسته
این نوع در هسته یک سیستم عامل قرار می گیرند و امکان دسترسی عمیق به همه اجزای سخت افزاری و هرگونه تغییر در تنظیمات سیستم را فراهم می کند. به عبارت دیگر ، اگر یک مهاجم موفق به قرار دادن چنین روت کیتی شود ، کنترل کامل بر کل سیستم را بدست می آورد.
کد خود را جایگزین قسمت هایی از هسته می کنند. در سیستم عامل های مشابه یونیکس ، این کار بیشتر از طریق پسوند هسته انجام می شود.با این حال ، در سیستم های ویندوز ، هسته به طور مستقیم دستکاری می شود و با درایورهای جدید سیستم درگیر می شود.شناسایی و حذف این نوع دشوار است.در عین حال ، به دلیل پیچیدگی آنها نسبتاً نادر هستند.
به دلیل پیچیده بودن ، روت کیت های حالت هسته در معرض اشکالاتی هستند که در برخی موارد می توانند سیستم آلوده را بی ثبات کنند. گاهی اوقات کاربر می تواند از طریق صفحه های آبی غیرمعمول یا خرابی سیستم متوجه وجود بدافزار در رایانه شود.
روت کیت در حالت کاربر
برخلاف نوع حالت هسته ، این نوع روت کیت فقط در سطح کاربر رایانه عمل می کند ، جایی که همه برنامه های اجرایی در آن قرار دارند. از آنجا که این منطقه دارای کمترین سطح مجوز پردازنده است ، روت کیت حالت کاربر می تواند به مهاجم اجازه دسترسی محدود به رایانه را بدهد. همین امر باعث می شود تا پیچیدگی و استفاده کمتری نسبت به روت کیت های حالت هسته داشته باشند ، خصوصاً در سیستم های ویندوز.
با رهگیری و دستکاری ترافیک داده ها بین سیستم عامل و برنامه های ضد ویروس و امنیتی خود را پنهان می کنند. در این راستا ، از تکنیک های DLL-Injection و API-Hooking استفاده می شود : یک کتابخانه کد ارائه شده ویژه (کتابخانه پیوند پویا ، به اختصار DLL) به تبادل داده متصل است و عملکرد برخی از رابط های برنامه را هدایت می کند (Application Programming Interfaces، API به طور خلاصه) به روت کیت. به این ترتیب ، می تواند ردیابی خود را از لیست فرآیند حذف کند ، مانند Windows Task Manager.
روت کیت های دیگر
علاوه بر این ، دو نوع روت کیت دیگر نیز وجود دارد که نسبتاً بی خطر تلقی می شوند:
Application-rootkit :این نسخه جایگزین برنامه های سیستم با نسخه های اصلاح شده خود می شود و بنابراین تشخیص آن بسیار آسان است.کمتر توسط هکرها مورد استفاده قرار می گیرد.
Memory Rootkits: این روت کیت ها فقط می توانند در حافظه مستقر شوند و بنابراین به محض راه اندازی مجدد از سیستم ناپدید می شوند.
تکامل روت کیت
مانند بسیاری از انواع دیگر بدافزارها ، روت کیت ها نیز به طور مداوم در حال پیشرفت هستند. به عنوان مثال ، به اصطلاح ” bootkits ” ایجاد شده است ، نوعی در حالت هسته که در تعویض راه اندازی رایانه برای غیرفعال کردن مکانیسم های امنیتی سیستم عامل تخصص دارد. تلفن های هوشمند (خصوصاً آنهایی که دارای سیستم عامل اندروید هستند) نیز بخصوص هنگام بارگیری برنامه های ناامن ، بطور فزاینده ای در معرض این بدافزار قرار می گیرند.
چگونه می توان از خود در برابر روت کیت محافظت کرد؟
از آنجا که مخفی شدن از ویژگی های این نوع بد افزا است ، یافتن و حذف آن معمولاً دشوار است. با این حال ، می توان برای دفاع از خود اقداماتی انجام داد:
مراقب پرونده های ناشناخته باشید ، حتی اگر توسط مخاطب معتبری برای شما ارسال شده باشد و قبل از باز کردن این پرونده ها ابتدا با مخاطب خود تماس بگیرید.
همیشه نرم افزار را از منابع معتبر تهیه کنید ، در صورت امکان مستقیماً از سازنده یا از App Store یا Google Play.
به روزرسانی های سیستم را انجام دهید.این به روزرسانی ها اغلب برای حذف و برطرف کردن گاهف هاییست که کشف می شوند و در غیر این صورت هکرها می توانند برای دستیابی به دستگاه شما از آنها استفاده کنند.
با نرم افزار ضد روت کیت نود 32 از خود محافظت کنید
شما در مبارزه با روت کیت ها تنها نیستید.در حال حاضر نود 32 بیش از 100 میلیون کاربر را در برابر انواع بدافزارها ، از جمله روت کیت ها محافظت می کند. با یکی از معتبرترین ابزارهای شناسایی و حذف روت کیت که با آنتی ویروس رایگان نود 32 در دسترس شما قرار دارد ، مسلح شوید .