روت کیت ها چه هستند؟
روت کیت ها گونه ای از بدافزارها هستند که برای آلوده کردن یک رایانه مورد استفاده قرار می گیرند و به مهاجم اجازه می دهند تا مجموعه ای از ابزارها که به آن ها امکان دسترسی از راه دور را می دهد نصب کنند. این بدافزار عمدتا در اعماق سیستم قربانیان پنهان می شود و به گونه ای طراحی می شود که مقابل راهکارهای امنیتی و برنامه ای ضد تروجان، جان سالم به در برد.
یک روت کیت ممکن است حاوی چندین ابزار مخرب همانند کی لاگر، سرقت برنده پسوردها، ماژولی برای سرقت کارت های اعتباری یا اطلاعات بانکی و البته یک ربات برای انجام حملات DDOS یا غیر فعال کننده عملکردهای نرم افزارهای امنیتی باشد!
روت کیت ها عموما از درب پشتی اقدام به حمله می کنند تا بتوانند هر زمان که مایل بودند از راه دور به هر قسمت خاص از دستگاه آلوده قربانی اتصال برقرار کنند. برخی از نمونه های روت کیت مبتنی بر ویندوز TDSS, ZeroAccess, Alureon and Necurs بودند.
گونه های روت کیت
روت کیت ها به دو دسته تقسیم می شوند که عبارتند از user-mode و kernel-mode. روت کیت های User-mode برای اجرا در قسمت سیستم عامل رایانه به عنوان برنامه های کاربردی طراحی شده اند. آن ها رفتار مخرب خود را با ربودن فرایند برنامه های در حال اجرا بر روی سیستم و یا نوشتن حافظه ای که برنامه از آن استفاده می کند، اجرا می کنند.
این مورد شایع تر از نوع دوم است. اما روت کیت مدل Kernel-mode در پایین ترین سطح سیستم عامل اجرا می شود و مجموعه ای از قدرتمندترین امتیازات به مهاجم داده می شود. پس از نصب یک روت کیت Kernel-mode مهاجم کنترل کاملی از سیستم را به دست می گیرد و می تواند هر اقدامی را که خود انتخاب کند را انجام دهد.
روت کیت های Kernel-mode اغلب پیچیده تر از روت کیت های user-mode هستند و به همین دلیل است که کمتر رایج هستند. شناسایی روت کیت مدل دوم به مراتب سخت تر و حذف آن دشوارتر است.
روت کیت ها گونه های دیگری همانند bootkits دارند که برای تغییر دادن boot loader مورد استفاده قرار می گیرند. بوت کیت ها در پایین ترین سطح قبل از لود شدن سیستم عامل، اجرا می شوند. در چند سال اخیر گونه هایی از روت کیت های تلفن همراه برای حمله به گوشی های هوشمند به ویژه دستگاه های اندرویدی ایجاد شده اند. این روت کیت ها اغلب با یک برنامه مخرب از یک فروشگاه نرم افزاری یا شخص ثالث دانلود شده اند.
شیوه آلودگی
روت کیت ها با روش های مختلفی بر روی سیستم ها نصب می شوند اما شایع ترین آن ها ویروس هایی است که از طریق اکسپلویت یک آسیب پذیری در سیستم عامل یا یک برنامه ی کاربردی در رایانه اجرا می شوند. مجرمان آسیب پذیری های شناخته و ناشناخته را در سیستم عامل و برنامه های کاربردی مورد هدف قرار می دهند و با استفاده از کدهای اکسپلویت تلاش می کنند تا به جایگاه بالاتری در دستگاه قربانی پیدا کنند.
سپس آن ها روت کیت را نصب می کنند و از راه دور به سیستم دسترسی پیدا می کنند. کد اکسپلویت شده برای یک اسیب پذیری خاص می تواند بر روی یک وب سایت قانونی که دچار الودگی شده است، میزبانی کند. آلودگی دیگر توسط روت کیت ها می تواند از طریق درایوهای USB باشد.
ممکن است مجرمان درایوهای USB را با روت کیت هایی که بر روی آن ها نصب شده اند در مکان هایی همانند کافی شاپ ها، جاهای عمومی و مکان های کنفرانس قرار دهند که قربانیان آن ها را بردارند. در برخی موارد ممکن است نصب یک روت کیت وابسته به آسیب پذیری های امنیتی نباشد و ممکن است به عنوان بخشی از یک نرم افزار قانونی یا از طریق USB وارد شود.
حذف روت کیت ها
تشخیص حضور یک روت کیت در سیستم می تواند کاری دشوار باشد زیرا که این بدافزار به منظور پنهان شدن و عدم تشخیص طراحی شده است. اما با این حال راه های زیادی برای جستجوی انواع شناخته و ناشناخته روت کیت ها از طریق روش های مختلفی مثل امضاها یا رویکردهای رفتاری در شناسایی روت کیت ها و یا جستحوی الگوهای شناختی وجود دارد.
حذف روت کیت یک فرآیند پیچیده است و به طور معمول با ابزارهای تخصصی همانند TDSSKiller که متعلق به لابراتوار کسپرسکی است می توان روت کیت های TDSS را شناسایی و حذف نمود. در برخی موارد هنگامی آسیب زیاد ممکن است قربانی مجبور به نصب مجدد سیستم عامل شود.
چگونه می توانیم از گوشی اندرویدی به عنوان مانیتور دوم استفاده کنیم؟
