تعریف و معنی Rootkit
روت کیت نوعی بدافزار است که برای دادن دسترسی و کنترل سیستم هدف به هکرها و عوامل تهدید طراحی شده است. اگرچه اکثر روتکیتها بر روی نرمافزار و سیستمعامل تأثیر میگذارند، برخی نیز میتوانند سیستم سختافزاری را آلوده کنند. rootkit ها در پنهان کردن حضور خود مهارت دارند، اما در حالی که پنهان می مانند، فعال هستند.
هنگامی که روت کیت ها به کامپیوتر ها دسترسی غیرمجاز پیدا می کنند، مجرمان سایبری را قادر می سازند تا داده های شخصی و اطلاعات مالی را به سرقت ببرند، بدافزار نصب کنند یا از رایانه ها به عنوان بخشی از یک بات نت برای پخش هرزنامه و شرکت در حملات DDoS (منع خدمات توزیع شده) استفاده کنند.
نام «rootkit» از سیستمعاملهای یونیکس و لینوکس گرفته شده است، جایی که ادمین ممتازترین حساب «root» نامیده میشود. برنامه هایی که اجازه دسترسی غیرمجاز روت یا سطح مدیریت به دستگاه را می دهند به عنوان “کیت” شناخته می شوند.
بیشتر rootkit ها یک backdoor روی سیستمهای قربانیان باز میکنند تا نرمافزارهای مخربی از جمله ویروسها، باجافزارها، برنامههای keylogger یا سایر بدافزارها را از طریق آن وارد کنند و یا از سیستم برای حملات گسترده امنیتی شبکه استفاده می کنند.
rootkit ها اغلب سعی میکنند با غیرفعال کردن ضدبدافزار و نرمافزار آنتیویروس نقطه پایانی، از شناسایی نرمافزارهای مخرب جلوگیری کنند.
روت کیت چیست؟
روت کیت نرم افزاری است که توسط مجرمان سایبری برای به دست آوردن کنترل بر کامپیوتر یا شبکه مورد نظر استفاده می شود. روتکیتها گاهی اوقات میتوانند بهعنوان یک نرمافزار منفرد ظاهر شوند، اما اغلب از مجموعهای از ابزارها تشکیل شدهاند که به هکرها امکان کنترل در سطح مدیر دستگاه مورد نظر را میدهند.
هکرها روت کیت ها را روی دستگاههای هدف به روش های مختلفی نصب می کنند:
- رایج ترین آنها از طریق فیشینگ یا نوع دیگری از حملات مهندسی اجتماعی است. قربانیان ناآگاهانه بدافزاری را دانلود و نصب میکنند که در سایر فرآیندهای در حال اجرا بر روی دستگاههایشان پنهان میشود و به هکرها کنترل تقریباً تمام جنبههای سیستم عامل را میدهد.
- راه دیگر از طریق سوء استفاده از یک آسیب پذیری ، یعنی ضعف در نرم افزار یا سیستم عاملی که به روز نشده است .
- بدافزار همچنین میتواند با فایلهای دیگر، مانند فایلهای PDF آلوده، رسانههای غیرقانونی یا برنامههای بهدستآمده از فروشگاههای شخص ثالث مشکوک همراه شود.
روتکیتها در نزدیکی یا درون هسته سیستمعامل اعمال نفوذ می کنند و سیستم عامل به آنها توانایی شروع دستورات به رایانه را میدهد. هر چیزی که از یک سیستم عامل استفاده می کند یک هدف بالقوه برای یک روت کیت می باشد که با گسترش اینترنت اشیا، می تواند دستگاههایی مانند یخچال یا ترموستات شما را در برگیرد.
روتکیتها میتوانند کی لاگرها را پنهان کنند و باعث شوند مجرمان سایبری به راحتی اطلاعات شخصی مانند کارت اعتباری یا جزئیات بانکی آنلاین را سرقت کنند. روت کیت ها می توانند به هکرها اجازه دهند تا از رایانه شما برای راه اندازی حملات DDoS یا ارسال ایمیل های هرزنامه استفاده کنند. آنها حتی می توانند نرم افزارهای امنیتی را غیرفعال یا حذف کنند.
برخی از روتکیتها برای مقاصد قانونی استفاده میشوند . برای مثال، ارائه پشتیبانی از راه دور فناوری اطلاعات یا کمک به اجرای قانون. با این حال، بیشتر آنها برای اهداف مخرب استفاده می شوند. چیزی که روتکیتها را بسیار خطرناک میکند، اشکال مختلف بدافزاری است که میتواند ارائه کند، که میتواند سیستم عامل رایانه را دستکاری کند و دسترسی مدیریت را برای کاربران راه دور فراهم کند.
انواع روت کیت ها
روت کیت سخت افزار (Hardware or firmware rootkits) :
روتکیتهای سختافزار میتوانند روی هارد دیسک، روتر یا BIOS سیستم (نرمافزار نصب شده روی یک تراشه حافظه کوچک در مادربرد رایانه)، تأثیر بگذارند. آنها به جای هدف قرار دادن سیستم عامل ، سیستم عامل دستگاه شما را برای نصب بدافزاری هدف قرار می دهند که تشخیص آن دشوار است. از آنجایی که آنها بر سختافزار تأثیر میگذارند، به هکرها اجازه میدهند تا بر فعالیت آنلاین نظارت کنند. اگرچه روت کیت سخت افزاری نسبت به انواع دیگر کمتر رایج است، تهدیدی جدی برای امنیت آنلاین است.
روت کیت بوت لودر (Bootloader rootkit ) :
بوت لودر وظیفه بارگذاری سیستم عامل بر روی کامپیوتر را بر عهده دارد. روت کیت های بوت لودر به این سیستم حمله می کنند و بوت لودر قانونی رایانه را با یک بوت لودر هک شده جایگزین می کنند.روت کیت های بوت لودر فرآیند boot را دگرگون کرده و پس از آن کنترل سیستم را به دست می آورند و درنتیجه برای حمله به سیستمهایی که از رمزگذاری کامل دیسک استفاده میکنند قابل استفاده هستند.
روت کیت حافظه (Memory rootkit) :
این روت کیت ها در حافظه دسترسی تصادفی (RAM) رایانه شما پنهان می شوند و از منابع رایانه برای انجام فعالیت های مخرب در پس زمینه استفاده می کنند. روت کیت های حافظه بر عملکرد RAM رایانه تأثیر می گذارد. از آنجایی که روتکیتهای حافظه فقط در رم رایانه قرار می گیرند و کد دائمی تزریق نمیکنند، به محض راهاندازی مجدد سیستم ناپدید میشوند .اگرچه گاهی اوقات برای خلاص شدن از شر آنها به کار بیشتری نیاز است. طول عمر کوتاه آنها به این معنی است که آنها به عنوان یک تهدید قابل توجه تلقی نمی شوند. rootkit های حافظه فقط تا زمانی که RAM سیستم پاک شود (معمولاً پس از restart رایانه) باقی میمانند.
روت کیت برنامه (Application rootkit) :
روت کیت های برنامه جایگزین فایل های استاندارد در رایانه با فایل های روت کیت می شوند و حتی ممکن است نحوه کار برنامه های وب استاندارد را تغییر دهند. این روت کیت ها برنامه هایی مانند Microsoft Office، Notepad یا Paint را آلوده می کنند. هر بار که آن برنامه ها را اجرا می کنید، مهاجمان می توانند به رایانه شما دسترسی پیدا کنند. از آنجایی که برنامه های آلوده هنوز به طور عادی اجرا می شوند، شناسایی روت کیت برای کاربران دشوار است .اما برنامه های آنتی ویروس می توانند آنها را شناسایی کنند زیرا هر دو در لایه برنامه کار می کنند.
Kernel mode rootkits
روت کیت های کرنل یکی از شدیدترین انواع این تهدید هستند زیرا هسته سیستم عامل شما (یعنی سطح هسته) را هدف قرار می دهند. هکرها از آنها نه تنها برای دسترسی به فایل های موجود در رایانه استفاده می کنند، بلکه با افزودن کد خود، عملکرد سیستم عامل شما را نیز تغییر می دهند.بسیاری از rootkit های مود کرنل از این واقعیت که سیستمعاملها به درایورهای دستگاه یا ماژولهای قابل بارگذاری اجازه میدهند با همان سطح از امتیازات سیستم مانند هسته سیستمعامل اجرا شوند، سوء استفاده میکنند.
روت کیت های مجازی ( Virtual rootkits) :
یک روت کیت مجازی خود را در زیر سیستم عامل کامپیوتر بارگیری می کند. سپس سیستم عامل های مورد نظر را به عنوان یک ماشین مجازی میزبانی می کند که به آن اجازه می دهد تا تماس های سخت افزاری که توسط سیستم عامل اصلی ایجاد می شود را رهگیری کند. این نوع روت کیت نیازی به تغییر هسته برای خراب کردن سیستم عامل ندارد و تشخیص آن بسیار دشوار است. در یک محیط VM، ماشینهای مجازی که توسط ماشین hypervisor اصلی کنترل میشوند، به نظر میرسد که به طور عادی کار می کنند، زیرا هیچ گونه افت قابل توجهی در سرویس یا عملکرد ماشینهای مجازی که به hypervisor متصل هستند را نشان نمیدهند.این مساله به روت کیت این امکان را میدهد تا اقدام مخرب خود را با شانس شناسایی کمتری انجام دهد، زیرا به نظر میرسد همه ماشینهای مجازی متصل به hypervisor به طور عادی کار میکنند.
نمونه های روت کیت :
استاکس نت(Stuxnet) :
یکی از بدنام ترین روت کیت های تاریخ، استاکس نت است، یک کرم کامپیوتری مخرب که در سال 2010 کشف شد و گمان می رود از سال 2005 در حال توسعه بوده باشد. استاکس نت آسیب قابل توجهی به برنامه هسته ای ایران وارد کرد. اگرچه هیچ یک از دو کشور مسئولیت آن را نپذیرفتند، اما به طور گسترده اعتقاد بر این است که این یک سلاح سایبری است که به طور مشترک توسط ایالات متحده و اسرائیل در تلاشی مشترک به نام بازی های المپیک ساخته شده است.
شعله (Flame) :
در سال 2012، کارشناسان امنیت سایبری Flame را کشف کردند، یک روت کیت که عمدتاً برای جاسوسی سایبری در خاورمیانه استفاده می شود. Flame که به نامهای Flamer، sKyWIper و Skywiper نیز شناخته میشود، بر کل سیستم عامل رایانه تأثیر میگذارد و به آن توانایی نظارت بر ترافیک، گرفتن اسکرین شات و صدا و ثبت ضربههای کلید از دستگاه را میدهد. هکرهای ایجاد کننده Flame هنوز پیدا نشده اند، اما تحقیقات نشان می دهد که آنها از 80 سرور در سه قاره برای دسترسی به رایانه های آلوده استفاده کرده اند.
دسترسی صفر(ZeroAccess ) :
در سال 2011، کارشناسان امنیت سایبری ZeroAccess را کشف کردند، یک روت کیت حالت کرنل که بیش از 2 میلیون رایانه را در سراسر جهان آلوده کرد. این روت کیت به جای تأثیر مستقیم بر عملکرد رایانه آلوده، بدافزار را دانلود و بر روی دستگاه آلوده نصب می کند و آن را به بخشی از یک بات نت جهانی تبدیل می کند که توسط هکرها برای انجام حملات سایبری استفاده می شود. ZeroAccess امروزه در حال استفاده فعال است.