روت‌کیت (RootKit) چیست؟ یک بدافزار تقریباً غیر قابل شناسایی

در این مقاله درباره اینکه روت کیت چیست و چگونه وارد سیستممان می شود می پردازیم.

روت کیت از بدخیم ترین نوع تروجان است. که تشخیص، شناسایی و حذف آن بسیار دشوار است.

هکرهای مخرب اغلب برای استراق سمع از روت کیت استفاده می کنند. روت کیت ها علاوه بر اطلاعات شخصی، بر روی عملکرد رایانه تان به شدت تاثیر میگذارند.

هنگامی که رویت کیت بر روی کامپیوتر شخصی تان نصب باشد همزمان با روشن کردن سیستم ، روت کیت فعال می شود.

رویت کیت می تواند هر کاری روی کامپیوتر شحصی تان انجام دهد. ترافیک شما را اسکن کنند، هر برنامه ای بدون مجوز گرفتن از شما نصب کند و منابع رایانه ای شما را به سرقت ببرد.

و قادر هستند هر فرایندی را پنهان کنند به همین دلیل هم شناسایی آنها دشوار است.

نحوه گسترش روت کیت ها

روت کیت ها از سه قسمت تشکیل شده اند:

Dropper: بخشی از ویروس که حاوی الودگی خاصی نیست

اما وپیفه اش نصب کد مخرب روی سیستم قربانی می باشد.

Loader: بارگذار

Rootkit: و خود روت کیت

Dropper یک برنامه یا فایل اجرایی ست که روت کیت را نصب می کند که میتواند از طریق پیوست یک ایمیل یا هر هر لینک دیگری روی سیستم شما نصب شود.

البته Dropper صرفا فقط یک برنامه اجرایی نیست و می تواند از طریق یک فایل ورد یا یک pdf باشد که با کلیک روی فایل و باز کردن آن، dropper روی سیستم شما نصب شود.

البته امکان آلوده شدن به روت کیت از طریق منابع معتبر هم وجود دارد.

در سال ۱۳۸۳، شرکت سونی ۲۲ میلیون لوح فشرده را به فروش رساند که روت‌کیت را بر روی رایانه نصب می‌کرد و همه تلاش خود را برای بهبود حفاظت از کپی و ایمنی حقوق دیجیتال در موزیک موجود بر روی دیسک انجام داد.

در سال ۱۳۹۴، شرکت «لنوو» (Lenovo) از روت‌کیت‌ها برای نصب مجدد نرم‌افزار حذف شده بر روی کامپیوترهای فروخته‌شده خود و به‌منظور “‌ارسال اطلاعات قابل شناسایی و غیرشخصی در سیستم به سرورهای شرکت لنوو” استفاده کرد.

این روش های تجاری تهاجمی و غیر اخلاقی هستند و حضور انها جز تهدیدات امنیت سایبری محسوب می شود.

میزان آلودگی به روت‌کیت می‌تواند بسته به عمق و پیچیدگی آن در سیستم اندازه‌گیری شود.

آلودگی در حلقه ۳ نسبتاً سطحی است، زیرا این بخش تنها برنامه‌هایی مانند «آفیس» (Microsoft Office) ، «فتوشاپ» (Photoshop) یا دیگر نرم‌افزارهای مشابه را آلوده می‌کند.

حلقه ۱ و ۲ لایه‌های عمیق‌تری مانند درایورهای کارت گرافیک ویدئویی یا سیستم صوتی شما هستند.

در عین حال، حلقه ۰، سیستم‌عامل پایه را هدف قرار می‌دهد که هر چیز دیگری مانند «بایوس» (BIOS) یا «سیماس» (CMOS) را کنترل می‌کند. از آنجا که این بخش عمیق‌ترین و سخت‌ترین بخش به جهت حذف این ویروس به شمار می‌رود، یک آنتی‌ویروس (که عمدتاً در حلقه ۳ عمل می‌کند)، دسترسی کامل به حلقه ۱ را ندارد.

· روت کیت هسته یا کرنل (kernel)

روت کیت کرنل باعث تغییر در عملکرد سیستم عامل می شود. این روت کیت ها معمولا کد خود را به بخشی از هسته سیستم عامل اضافه میکنند ایجاد روت کیت کار پیچده ای است اما تشخیص آن نسبت به انواع مشابه ساده تر است...

روت کیت های کرنل جز پیشرفته های بدافزار مخر ب هستند. و برای ایجاد آنهابه دانش فنی پیشرفته ای نیاز است به علاوه روت کیت نباید دارای باگ باشد، زیرا در اینصورت به شدت بر عملکرد رایانه تاثیر میگذارد.

· روت کیت سخت افزار

روت کیت سخت افزار بر روی نرم افزاری که بر روی اجزای سخت افزاری اجرا می شوند میرود مثلا آلوده کردن کارتخوان ها و بدست اوردن اطلاعات کارت اعتباری.

· روت کیت مجازی یا هایپروایزر (Hypervizor)

این نوع روت کیت پیشترفته تر و پیچیده تر از سایر روت کیت هاست، این نوع روت کیت خودش بوت و راه اندازی می شود. و حتی کنترل بیشتری نسبت به روت کیت هسته روی سیستم شما دارند، و چون خیلی عمیق روی سیستم پنهان می شوند حدف انها غیرممکن یا بسیار دشوار است.

· روت‌کیت بوت لودِر(Bootloader Rootkit) یا ‌بوت‌کیت‌ (Bootkit)

این نوع روت کیت هم زمان با راه اندازی سیستم عامل بوت می شود و رکورد راه اندازی اصلی (MBR) و راه انداز حجم (VBR) را الوده میکند.

· روت کیت حافظه

روت کیت حافظه خود را در حافظه رم کامپیتور شما پنهان می کنند و باعث کاهش عملکرد حافظه رم شود.

· روت‌کیت‌های کاربردی و یا حالت کاربری (user-mode)

این نوع روت کیت خود را در یک برنامه کاربردی مانند paint,word … پنهان میکند و با یک آنتی ویروس هم از بین میرود.

· خانواده‌های روت‌کیت

اکثر مجرمان سایبری بدافزار مخرب جدیدی را نمی نویسند، بلکه فقط از برنامه های مخرب موجود استفاده می کنند. و بعضی کد های خود را فقط اضافه میکنندبه این مقوله اقتصاد بدافزار می گویند.که متاسفانه سهم بیشتری در بین روت کیت ها دارند.

· روت‌کیت زیرو اکسس(zeroaccess) یا “دسترسی صفر”

این روت‌کیت مسئول ایجاد یک بات‌نت زیرو اکسس است، که منابع رایانه شما را درست به مانند یک معدن برای استخراج بیت‌کوین‌های موردنیازش تبدیل می‌کند و یا شما را به کلیک بر ایمیل‌های تبلیغاتی فریبنده تشویق می‌کند. و حدود 1 الی 2 میلیون کامپیوتر دارای این بات نت هستند.

· روت کیت TDSS / Alureon / TDL

روت کیت TDL TDSS به دنبال شکار اطلاعات شخصی شما مانند داده‌های کارت اعتباری، حساب‌های بانکی آنلاین، گذرواژه‌ها، شماره امنیت اجتماعی و … است.

· روت‌کیت «نکیورس» (Necurs)

روت کیت نکیورس یکی از بزرگترین بات نت های فعال در سراسر جهان است و در حال گسترش هرزنامه های باج افزار لاکی (Locky) و بدافزار مالی (Dridex) است. و از بدافزارهای دیگر محافظت میکند و کامپیوترتان در چنگ بات نت ها گرفتار میکند.

اسکنرهایی برای شناسایی و نابودی روت‌کیت‌ها

برنامه های انتی ویروس زمان زیادی صرف می کنند تا یک روت کیت پیدا کنند و ما در مقاله بعدی به توضیحات اسکنرها برای شناسایی روت کیت ها میپردازیم.

فراست روت کیت چیست؟