در این مقاله درباره اینکه روت کیت چیست و چگونه وارد سیستممان می شود می پردازیم.
روت کیت از بدخیم ترین نوع تروجان است. که تشخیص، شناسایی و حذف آن بسیار دشوار است.
هکرهای مخرب اغلب برای استراق سمع از روت کیت استفاده می کنند. روت کیت ها علاوه بر اطلاعات شخصی، بر روی عملکرد رایانه تان به شدت تاثیر میگذارند.
هنگامی که رویت کیت بر روی کامپیوتر شخصی تان نصب باشد همزمان با روشن کردن سیستم ، روت کیت فعال می شود.
رویت کیت می تواند هر کاری روی کامپیوتر شحصی تان انجام دهد. ترافیک شما را اسکن کنند، هر برنامه ای بدون مجوز گرفتن از شما نصب کند و منابع رایانه ای شما را به سرقت ببرد.
و قادر هستند هر فرایندی را پنهان کنند به همین دلیل هم شناسایی آنها دشوار است.
نحوه گسترش روت کیت ها
روت کیت ها از سه قسمت تشکیل شده اند:
Dropper: بخشی از ویروس که حاوی الودگی خاصی نیست
اما وپیفه اش نصب کد مخرب روی سیستم قربانی می باشد.
Loader: بارگذار
Rootkit: و خود روت کیت
Dropper یک برنامه یا فایل اجرایی ست که روت کیت را نصب می کند که میتواند از طریق پیوست یک ایمیل یا هر هر لینک دیگری روی سیستم شما نصب شود.
البته Dropper صرفا فقط یک برنامه اجرایی نیست و می تواند از طریق یک فایل ورد یا یک pdf باشد که با کلیک روی فایل و باز کردن آن، dropper روی سیستم شما نصب شود.
البته امکان آلوده شدن به روت کیت از طریق منابع معتبر هم وجود دارد.
در سال ۱۳۸۳، شرکت سونی ۲۲ میلیون لوح فشرده را به فروش رساند که روتکیت را بر روی رایانه نصب میکرد و همه تلاش خود را برای بهبود حفاظت از کپی و ایمنی حقوق دیجیتال در موزیک موجود بر روی دیسک انجام داد.
در سال ۱۳۹۴، شرکت «لنوو» (Lenovo) از روتکیتها برای نصب مجدد نرمافزار حذف شده بر روی کامپیوترهای فروختهشده خود و بهمنظور “ارسال اطلاعات قابل شناسایی و غیرشخصی در سیستم به سرورهای شرکت لنوو” استفاده کرد.
این روش های تجاری تهاجمی و غیر اخلاقی هستند و حضور انها جز تهدیدات امنیت سایبری محسوب می شود.
میزان آلودگی به روتکیت میتواند بسته به عمق و پیچیدگی آن در سیستم اندازهگیری شود.
آلودگی در حلقه ۳ نسبتاً سطحی است، زیرا این بخش تنها برنامههایی مانند «آفیس» (Microsoft Office) ، «فتوشاپ» (Photoshop) یا دیگر نرمافزارهای مشابه را آلوده میکند.
حلقه ۱ و ۲ لایههای عمیقتری مانند درایورهای کارت گرافیک ویدئویی یا سیستم صوتی شما هستند.
در عین حال، حلقه ۰، سیستمعامل پایه را هدف قرار میدهد که هر چیز دیگری مانند «بایوس» (BIOS) یا «سیماس» (CMOS) را کنترل میکند. از آنجا که این بخش عمیقترین و سختترین بخش به جهت حذف این ویروس به شمار میرود، یک آنتیویروس (که عمدتاً در حلقه ۳ عمل میکند)، دسترسی کامل به حلقه ۱ را ندارد.
روت کیت کرنل باعث تغییر در عملکرد سیستم عامل می شود. این روت کیت ها معمولا کد خود را به بخشی از هسته سیستم عامل اضافه میکنند ایجاد روت کیت کار پیچده ای است اما تشخیص آن نسبت به انواع مشابه ساده تر است...
روت کیت های کرنل جز پیشرفته های بدافزار مخر ب هستند. و برای ایجاد آنهابه دانش فنی پیشرفته ای نیاز است به علاوه روت کیت نباید دارای باگ باشد، زیرا در اینصورت به شدت بر عملکرد رایانه تاثیر میگذارد.
روت کیت سخت افزار بر روی نرم افزاری که بر روی اجزای سخت افزاری اجرا می شوند میرود مثلا آلوده کردن کارتخوان ها و بدست اوردن اطلاعات کارت اعتباری.
این نوع روت کیت پیشترفته تر و پیچیده تر از سایر روت کیت هاست، این نوع روت کیت خودش بوت و راه اندازی می شود. و حتی کنترل بیشتری نسبت به روت کیت هسته روی سیستم شما دارند، و چون خیلی عمیق روی سیستم پنهان می شوند حدف انها غیرممکن یا بسیار دشوار است.
این نوع روت کیت هم زمان با راه اندازی سیستم عامل بوت می شود و رکورد راه اندازی اصلی (MBR) و راه انداز حجم (VBR) را الوده میکند.
روت کیت حافظه خود را در حافظه رم کامپیتور شما پنهان می کنند و باعث کاهش عملکرد حافظه رم شود.
این نوع روت کیت خود را در یک برنامه کاربردی مانند paint,word … پنهان میکند و با یک آنتی ویروس هم از بین میرود.
اکثر مجرمان سایبری بدافزار مخرب جدیدی را نمی نویسند، بلکه فقط از برنامه های مخرب موجود استفاده می کنند. و بعضی کد های خود را فقط اضافه میکنندبه این مقوله اقتصاد بدافزار می گویند.که متاسفانه سهم بیشتری در بین روت کیت ها دارند.
این روتکیت مسئول ایجاد یک باتنت زیرو اکسس است، که منابع رایانه شما را درست به مانند یک معدن برای استخراج بیتکوینهای موردنیازش تبدیل میکند و یا شما را به کلیک بر ایمیلهای تبلیغاتی فریبنده تشویق میکند. و حدود 1 الی 2 میلیون کامپیوتر دارای این بات نت هستند.
روت کیت TDL TDSS به دنبال شکار اطلاعات شخصی شما مانند دادههای کارت اعتباری، حسابهای بانکی آنلاین، گذرواژهها، شماره امنیت اجتماعی و … است.
روت کیت نکیورس یکی از بزرگترین بات نت های فعال در سراسر جهان است و در حال گسترش هرزنامه های باج افزار لاکی (Locky) و بدافزار مالی (Dridex) است. و از بدافزارهای دیگر محافظت میکند و کامپیوترتان در چنگ بات نت ها گرفتار میکند.
برنامه های انتی ویروس زمان زیادی صرف می کنند تا یک روت کیت پیدا کنند و ما در مقاله بعدی به توضیحات اسکنرها برای شناسایی روت کیت ها میپردازیم.