تعریف و معنی Rootkit

روت کیت نوعی بدافزار است که برای دادن دسترسی و کنترل سیستم هدف به هکرها و عوامل تهدید طراحی شده است. اگرچه اکثر روت‌کیت‌ها بر روی نرم‌افزار و سیستم‌عامل تأثیر می‌گذارند، برخی نیز می‌توانند سیستم سخت‌افزاری را آلوده کنند. rootkit ها در پنهان کردن حضور خود مهارت دارند، اما در حالی که پنهان می مانند، فعال هستند.

هنگامی که روت کیت ها به کامپیوتر ها دسترسی غیرمجاز پیدا می کنند، مجرمان سایبری را قادر می سازند تا داده های شخصی و اطلاعات مالی را به سرقت ببرند، بدافزار نصب کنند یا از رایانه ها به عنوان بخشی از یک بات نت برای پخش هرزنامه و شرکت در حملات DDoS (منع خدمات توزیع شده) استفاده کنند.

• راه حل امنیتی FortiDDos چیست؟
• امنیت نقطه پایانی چیست؟

نام «rootkit» از سیستم‌عامل‌های یونیکس و لینوکس گرفته شده است، جایی که ادمین ممتازترین حساب «root» نامیده می‌شود. برنامه هایی که اجازه دسترسی غیرمجاز روت یا سطح مدیریت به دستگاه را می دهند به عنوان “کیت” شناخته می شوند.

بیشتر rootkit ‌ها یک backdoor روی سیستم‌های قربانیان باز می‌کنند تا نرم‌افزارهای مخربی از جمله ویروس‌ها، باج‌افزارها، برنامه‌های keylogger یا سایر بدافزارها را از طریق آن وارد کنند و یا از سیستم برای حملات گسترده امنیتی شبکه استفاده می کنند.

rootkit ‌ها اغلب سعی می‌کنند با غیرفعال کردن ضد‌بدافزار و نرم‌افزار آنتی‌ویروس نقطه پایانی، از شناسایی نرم‌افزارهای مخرب جلوگیری کنند.

روت کیت نرم افزاری است که توسط مجرمان سایبری برای به دست آوردن کنترل بر کامپیوتر یا شبکه مورد نظر استفاده می شود. روت‌کیت‌ها گاهی اوقات می‌توانند به‌عنوان یک نرم‌افزار منفرد ظاهر شوند، اما اغلب از مجموعه‌ای از ابزارها تشکیل شده‌اند که به هکرها امکان کنترل در سطح مدیر دستگاه مورد نظر را می‌دهند.

هکرها روت کیت ها را روی دستگاههای هدف به روش های مختلفی نصب می کنند:

• رایج ترین آنها از طریق فیشینگ یا نوع دیگری از حملات مهندسی اجتماعی است. قربانیان ناآگاهانه بدافزاری را دانلود و نصب می‌کنند که در سایر فرآیندهای در حال اجرا بر روی دستگاه‌هایشان پنهان می‌شود و به هکرها کنترل تقریباً تمام جنبه‌های سیستم عامل را می‌دهد.
• راه دیگر از طریق سوء استفاده از یک آسیب پذیری ، یعنی ضعف در نرم افزار یا سیستم عاملی که به روز نشده است  .
• بدافزار همچنین می‌تواند با فایل‌های دیگر، مانند فایل‌های PDF آلوده، رسانه‌های غیرقانونی یا برنامه‌های به‌دست‌آمده از فروشگاه‌های شخص ثالث مشکوک همراه شود.

روت‌کیت‌ها در نزدیکی یا درون هسته سیستم‌عامل اعمال نفوذ می کنند و سیستم عامل به آنها توانایی شروع دستورات به رایانه را می‌دهد. هر چیزی که از یک سیستم عامل استفاده می کند یک هدف بالقوه برای یک روت کیت می باشد که با گسترش اینترنت اشیا، می تواند دستگاههایی مانند یخچال یا ترموستات شما را در برگیرد.

• معرفی فورتی فیش (FortiPHish)
• انواع نرم افزارها و ابزارهای امنیت شبکه 

روت‌کیت‌ها می‌توانند کی لاگرها را پنهان کنند و باعث شوند مجرمان سایبری به راحتی اطلاعات شخصی مانند کارت اعتباری یا جزئیات بانکی آنلاین را سرقت کنند. روت کیت ها می توانند به هکرها اجازه دهند تا از رایانه شما برای راه اندازی حملات DDoS یا ارسال ایمیل های هرزنامه استفاده کنند. آنها حتی می توانند نرم افزارهای امنیتی را غیرفعال یا حذف کنند.

برخی از روت‌کیت‌ها برای مقاصد قانونی استفاده می‌شوند . برای مثال، ارائه پشتیبانی از راه دور فناوری اطلاعات یا کمک به اجرای قانون. با این حال، بیشتر آنها برای اهداف مخرب استفاده می شوند. چیزی که روت‌کیت‌ها را بسیار خطرناک می‌کند، اشکال مختلف بدافزاری است که می‌تواند ارائه کند، که می‌تواند سیستم عامل رایانه را دستکاری کند و دسترسی مدیریت را برای کاربران راه دور فراهم کند.

روت کیت سخت افزار (Hardware or firmware rootkits) :

روت‌کیت‌های سخت‌افزار می‌توانند روی هارد دیسک، روتر یا BIOS سیستم (نرم‌افزار نصب شده روی یک تراشه حافظه کوچک در مادربرد رایانه)، تأثیر بگذارند. آنها به جای هدف قرار دادن سیستم عامل ، سیستم عامل دستگاه شما را برای نصب بدافزاری هدف قرار می دهند که تشخیص آن دشوار است. از آنجایی که آنها بر سخت‌افزار تأثیر می‌گذارند، به هکرها اجازه می‌دهند تا بر فعالیت آنلاین نظارت کنند. اگرچه روت کیت سخت افزاری  نسبت به انواع دیگر کمتر رایج است، تهدیدی جدی برای امنیت آنلاین است.

روت کیت بوت لودر (Bootloader rootkit ) :

بوت لودر وظیفه بارگذاری سیستم عامل بر روی کامپیوتر را بر عهده دارد. روت کیت های بوت لودر به این سیستم حمله می کنند و بوت لودر قانونی رایانه را با یک بوت لودر هک شده جایگزین می کنند.روت کیت های بوت لودر فرآیند boot را دگرگون کرده و پس از آن کنترل سیستم را به دست می آورند و درنتیجه برای حمله به سیستم‌هایی که از رمزگذاری کامل دیسک استفاده می‌کنند قابل استفاده هستند.

روت کیت حافظه (Memory rootkit) :

این روت کیت ها در حافظه دسترسی تصادفی (RAM) رایانه شما پنهان می شوند و از منابع رایانه برای انجام فعالیت های مخرب در پس زمینه استفاده می کنند. روت کیت های حافظه بر عملکرد RAM رایانه تأثیر می گذارد. از آنجایی که روت‌کیت‌های حافظه فقط در رم رایانه قرار می گیرند و کد دائمی تزریق نمی‌کنند، به محض راه‌اندازی مجدد سیستم ناپدید می‌شوند .اگرچه گاهی اوقات برای خلاص شدن از شر آنها به کار بیشتری نیاز است. طول عمر کوتاه آنها به این معنی است که آنها به عنوان یک تهدید قابل توجه تلقی نمی شوند. rootkit ‌های حافظه فقط تا زمانی که RAM سیستم پاک شود (معمولاً پس از restart رایانه) باقی می‌مانند.

روت کیت برنامه (Application rootkit) :

روت کیت های برنامه جایگزین فایل های استاندارد در رایانه  با فایل های روت کیت می شوند و حتی ممکن است نحوه کار برنامه های وب استاندارد را تغییر دهند. این روت کیت ها برنامه هایی مانند Microsoft Office، Notepad یا Paint را آلوده می کنند. هر بار که آن برنامه ها را اجرا می کنید، مهاجمان می توانند به رایانه شما دسترسی پیدا کنند. از آنجایی که برنامه های آلوده هنوز به طور عادی اجرا می شوند، شناسایی روت کیت برای کاربران دشوار است .اما برنامه های آنتی ویروس می توانند آنها را شناسایی کنند زیرا هر دو در لایه برنامه کار می کنند.

 Kernel mode rootkits

روت کیت های کرنل یکی از شدیدترین انواع این تهدید هستند زیرا هسته سیستم عامل شما (یعنی سطح هسته) را هدف قرار می دهند. هکرها از آنها نه تنها برای دسترسی به فایل های موجود در رایانه استفاده می کنند، بلکه با افزودن کد خود، عملکرد سیستم عامل شما را نیز تغییر می دهند.بسیاری از rootkit ‌های مود کرنل از این واقعیت که سیستم‌عامل‌ها به درایورهای دستگاه یا ماژول‌های قابل بارگذاری اجازه می‌دهند با همان سطح از امتیازات سیستم مانند هسته سیستم‌عامل اجرا شوند، سوء استفاده می‌کنند.

روت کیت های مجازی ( Virtual rootkits) :

یک روت کیت مجازی خود را در زیر سیستم عامل کامپیوتر بارگیری می کند. سپس سیستم عامل های مورد نظر را به عنوان یک ماشین مجازی میزبانی می کند که به آن اجازه می دهد تا تماس های سخت افزاری که توسط سیستم عامل اصلی ایجاد می شود را رهگیری کند. این نوع روت کیت نیازی به تغییر هسته برای خراب کردن سیستم عامل ندارد و تشخیص آن بسیار دشوار است. در یک محیط VM، ماشین‌های مجازی که توسط ماشین hypervisor اصلی کنترل می‌شوند، به نظر می‌رسد که به طور عادی کار می کنند، زیرا هیچ گونه افت قابل توجهی در سرویس یا عملکرد ماشین‌های مجازی که به hypervisor متصل هستند را نشان نمی‌دهند.این مساله به روت کیت این امکان را می‌دهد تا اقدام مخرب خود را با شانس شناسایی کمتری انجام دهد، زیرا به نظر می‌رسد همه ماشین‌های مجازی متصل به hypervisor به طور عادی کار می‌کنند.

نمونه های روت کیت :

استاکس نت(Stuxnet) :

یکی از بدنام ترین روت کیت های تاریخ، استاکس نت است، یک کرم کامپیوتری مخرب که در سال 2010 کشف شد و گمان می رود از سال 2005 در حال توسعه بوده باشد. استاکس نت آسیب قابل توجهی به برنامه هسته ای ایران وارد کرد. اگرچه هیچ یک از دو کشور مسئولیت آن را نپذیرفتند، اما به طور گسترده اعتقاد بر این است که این یک سلاح سایبری است که به طور مشترک توسط ایالات متحده و اسرائیل در تلاشی مشترک به نام بازی های المپیک ساخته شده است.

شعله (Flame) :

در سال 2012، کارشناسان امنیت سایبری Flame را کشف کردند، یک روت کیت که عمدتاً برای جاسوسی سایبری در خاورمیانه استفاده می شود. Flame که به نام‌های Flamer، sKyWIper و Skywiper نیز شناخته می‌شود، بر کل سیستم عامل رایانه تأثیر می‌گذارد و به آن توانایی نظارت بر ترافیک، گرفتن اسکرین شات و صدا و ثبت ضربه‌های کلید از دستگاه را می‌دهد. هکرهای ایجاد کننده  Flame هنوز پیدا نشده اند، اما تحقیقات نشان می دهد که آنها از 80 سرور در سه قاره برای دسترسی به رایانه های آلوده استفاده کرده اند.

دسترسی صفر(ZeroAccess ) :

در سال 2011، کارشناسان امنیت سایبری ZeroAccess را کشف کردند، یک روت کیت حالت کرنل که بیش از 2 میلیون رایانه را در سراسر جهان آلوده کرد. این روت کیت به جای تأثیر مستقیم بر عملکرد رایانه آلوده، بدافزار را دانلود و بر روی دستگاه آلوده نصب می کند و آن را به بخشی از یک بات نت جهانی تبدیل می کند که توسط هکرها برای انجام حملات سایبری استفاده می شود. ZeroAccess امروزه در حال استفاده فعال است.

• ZTN چیست ؟