روت کیت (Rootkit) چیست؟ انواع + نحوه مقابله

با روت کیت (Rootkit) و انواع آن و همچنین نحوه مقابله و جلوگیری از حملات روتکیت ها در اینجا به طور کامل آشنا شوید!

در حالی که اصطلاح Rootkit ممکن است مانند یک قانون حل ریاضی یا حتی یک ابزار باغبانی به نظر برسد، اما هیچ یک از این موارد نیست. یک روت کیت می تواند برای اطلاعات شخصی دستگاه شما بسیار خطرناک باشد و معمولاً به مجرمان سایبری خدمت می کند. در اینجا یک تعریف مختصر rootkit در اصطلاحات محاسباتی آورده شده است: روتکیت ها نوعی بدافزار هستند که می توانند بدون رضایت یا آگاهی شما، کنترل رایانه شما را به عامل تهدید کننده ارائه دهند.

 

• مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]

 

 

روت کیت چیست؟ تعریف Rootkit

اصطلاح rootkit ترکیبی از دو کلمه root و kit است. «Root»، «admin»، «Superuser» یا «System Admin» همگی عبارت‌های قابل جایگزین برای حساب کاربری با وضعیت مدیریت یک سیستم عامل هستند. در همین حال، “کیت” به معنای بسته‌ای از ابزارهای نرم افزاری است. بنابراین، یک روت کیت مجموعه‌ای از ابزارها است که به شخصی بالاترین امتیازات را در یک سیستم می دهد.

روت کیت ها خطرناک هستند زیرا برای پنهان کردن حضور خود در دستگاه شما طراحی شده‌اند. یک عامل تهدید که یک rootkit بر روی دستگاه شما (اغلب از طریق ایمیل فیشینگ) دریافت کرده است، می تواند از راه دور به آن دسترسی داشته باشد و آن را کنترل کند. از آنجایی که روت‌کیت‌ها دسترسی سطح ریشه یا روت را فعال می‌کنند، می‌توان از روت‌کیت‌ها برای انجام کارهایی مانند غیرفعال کردن نرم‌افزار آنتی‌ ویروس، جاسوسی از فعالیت‌های شما، سرقت داده‌های حساس یا اجرای بدافزارهای دیگر در دستگاه استفاده کرد.

 

 

تاریخچه روت کیت ها

مفهوم اصلاح عملکرد سیستم، که روت کیت‌های مدرن بر روی آن رشد کرده‌اند، در سال 1980 ظاهر شد. ویروس‌های پیاده‌سازی شده در آن زمان نه تنها برنامه‌ها را اصلاح می‌کردند، بلکه جداول و حافظه وقفه‌های سیستم را نیز تغییر می‌دادند تا توسط نرم‌افزار آنتی‌ویروس شناسایی نشود.

هنگامی که مدل حافظه مورد استفاده ویندوز تغییر کرد، برنامه‌های کاربری سرزمین از عملکرد سیستم اصلی جدا شدند. نویسندگان ویروس را برای مدتی عقب انداخت. آنها دیگر نمی توانند رفتار سیستم را تغییر دهند. اما به آرامی راه حل ها شروع به ظهور کردند.

در سال 1999 یک NTRootkit ظاهر شد. این اولین rootkit مخرب اختصاص داده شده به ویندوز NT بود. در سال 2009 اولین روتکیت برای Mac OS X به صحنه آمد و در سال 2010 استاکس نت بدنام (دستگاه های هدف قرار دادن PLC) کشف شد.

اولین شرکتی که روت کیت خود را ایجاد و توزیع کرد، Sony Entertainment بود. در سال 2005، آنها یک کمپین مخفی برای گسترش سونی BMG Rootkit راه اندازی کردند. انگیزه آنها محافظت از نشریات دارای حق چاپ با ایجاد وقفه در روند مقابله با آنها بود. هنگامی که سی دی های منتشر شده توسط SONY در رایانه شخصی پخش می شد، یک روتکیت در پس زمینه نصب می شد. از آن لحظه، به تماشای نحوه دسترسی کاربر به سی‌دی‌های سونی و شکست هرگونه تلاش برای کپی کردن ادامه می‌داد. طرح کامل فاش شده است و به شدت بر شهرت شرکت تأثیر گذاشته است.

در سال 2006، یک محقق لهستانی به نام Joanna Rutkowska در کنفرانس Black Hat در مورد نوع جدیدی از روت کیت، سطح هایپروایزر به نام BluePill ارائه کرد.

در سال 2008، یک تروجان سرقت کننده اعتبار به نام Sinoval (معروف به Torpig) از یک ماژول rootkit Mebroot برای پنهان کردن فعالیت های مخرب خود استفاده کرد و نرم افزار آنتی ویروس را دور زد.

در سال 2015، شرکت دیگری به نام لنوو در حال توزیع روت‌کیت‌های نصب‌شده مجدد بر روی دستگاه‌های خود دستگیر شد. نقش آنها دانلود خودکار نرم افزار اختصاصی بدون در نظر گرفتن اراده کاربر بود.

 

 

آیا روت کیت ویروس است؟

برخلاف تصور رایج، روت کیت یک ویروس نیست بلکه یک بدافزار است. مسلماً ممکن است گیج کننده به نظر برسد. ویروس فقط یک نوع بدافزار است و در حالی که ویروس فقط داده ها را خراب می کند، روت کیت بسیار پیشرفته تر است. خوشبختانه، نرم‌افزار آنتی‌ویروس مدرن که از تکنیک‌های امنیتی پیشرفته مانند اکتشافات رفتاری استفاده می‌کند، می‌تواند انواع مختلف بدافزار، از ویروس‌ها و کرم‌ ها گرفته تا باج‌ افزار ها، تروجان‌ها و حتی برخی روت‌کیت‌ها را اصلاح کند.

 

چرا روت کیت ها اینقدر خطرناک هستند؟

 

آنها یواشکی هستند: عفونت‌های Rootkit می‌توانند از طریق بردارهای تهدید فریبنده مانند بارگیری‌های فاسد، ایمیل‌های هرزنامه و کیت‌های بهره‌برداری گسترش یابند. برخی روت‌کیت‌ها حتی به تروجان‌هایی مانند بدافزار Perkiler برای نقض امنیت سیستم متکی هستند.

آنها مخفی هستند: برخلاف سایر انواع بدافزار، یک روتکیت عمیقاً پنهان، علائم زیادی را نشان نخواهد داد. حتی ممکن است نرم افزار امنیتی شما را دور بزند و اصلاح آن را دشوار کند. برخی از روت‌کیت‌ها تنها با فرمت کردن درایو ذخیره‌سازی و نصب مجدد سیستم عامل حذف می‌شوند.

آنها توانایی دارند: تعدادی از کارشناسان rootkit ها را بدافزارهای ارتش سوئیس می نامند زیرا دارای قابلیت های متعدد هستند. برخی از ابزارهای روت‌کیت می‌توانند رمز ورود و داده‌های مالی را بدزدند، پروتکل‌های امنیتی را غیرفعال کنند، کلیدهای لاگ و غیره را غیرفعال کنند. روت‌کیت‌های دیگر می‌توانند به هکر اجازه دهند تا به سیستم دسترسی داشته باشد و بدافزار بیشتری را رها کند. با روت کیت مناسب، یک هکر می تواند یک سیستم را به یک ربات تبدیل کند تا یک بات نت تشکیل دهد تا حملات DDoS (Distributed Denial of Service) علیه وب سایت ها را شروع کند.

 

 

انواع روت کیت ها

 

روت کیت بوت لودر (Bootloader rootkit)

به محض اینکه کامپیوتر را روشن می کنید، بوت لودر آن سیستم عامل را بارگذاری می کند. یک روت کیت بوت لودر به این مکانیسم نفوذ می کند و قبل از اینکه سیستم عامل آماده استفاده شود، رایانه شما را با بدافزار آلوده می کند. روتکیت های بوت لودر به لطف ویژگی های امنیتی مانند Secure boot امروزه کمتر تهدید کننده هستند.

 

روت کیت فیرمور ( Firmware rootkit)

فیرمور نوعی نرم‌افزار است که کنترل ابتدایی روی قطعه سخت‌افزاری که برای آن نوشته شده است را فراهم می‌کند. همه انواع دستگاه ها، از تلفن همراه گرفته تا ماشین لباسشویی، می توانند دارای سیستم عامل باشند. یافتن روت کیت فیرمور چالش برانگیز است زیرا در میان‌افزار پنهان می‌شود، جایی که ابزارهای امنیت سایبری معمولاً به دنبال بدافزار نیستند.

 

روت کیت هسته (Kernel Rootkits)

هسته سیستم عامل شما کمی شبیه سیستم عصبی آن است. این یک لایه حیاتی است که به عملکردهای ضروری کمک می کند. یک روت کیت هسته می تواند فاجعه آمیز باشد زیرا به یک جزء اصلی رایانه شما حمله می کند و به یک عامل تهدید کنترل قابل توجهی بر سیستم می دهد.

 

روت کیت حافظه (Memory rootkit)

روت کیت های حافظه روی رم رایانه شما قرار دارند و می توانند در حین انجام کارهای مخرب سرعت دستگاه شما را کاهش دهند. معمولاً می‌توانید یک روت کیت حافظه را با راه‌اندازی مجدد رایانه‌تان پاک کنید، زیرا یک راه‌اندازی مجدد ساده، حافظه دستگاه شما را از تمام فرآیندها پاک می‌کند.

 

روت کیت برنامه (Application rootkit)

یک روت کیت برنامه ممکن است فایل های معمولی شما را با کد روت کیت تغییر دهد و هر بار که فایل های آلوده را اجرا می کنید به نویسنده روتکیت اجازه دسترسی به دستگاه شما را بدهد. با این حال، شناسایی این نوع بدافزار آسان‌تر است، زیرا فایل‌های حاوی چنین روت‌کیت‌هایی می‌توانند رفتار غیر معمولی داشته باشند. علاوه بر این، ابزارهای امنیتی شما شانس بیشتری برای شناسایی آنها دارند.

 

حملات روت کیت چیست؟

حمله روت کیت حمله‌ای است که در آن یک عامل تهدید از یک روت کیت علیه سیستم شما استفاده می کند. همانطور که در بالا ذکر شد، روتکیت ها می توانند از طریق دانلودهای آلوده مانند برنامه های تلفن همراه پخش شوند. حملات Rootkit هدفمندتر از مهندسی اجتماعی مانند ایمیل های فیشینگ به عنوان بردار حمله استفاده می کنند.

اجرای برخی از حملات روت کیت های پیچیده سخت تر است. به عنوان مثال، یک عامل تهدید ممکن است نیاز به استفاده از یک درایو آلوده برای نصب یک روت کیت بوت لودر روی سیستم عامل شما داشته باشد.

 

روت کیت ها چگونه شناسایی و حذف می شوند؟

شناسایی روتکیتها به دلیل ماهیت مخفیانه آنها آسان نیست. علاوه بر این، برخی روتکیت ها می توانند نرم افزارهای امنیت سایبری را دور بزنند. با این حال، علائمی وجود دارد که روت کیت ممکن است نشان دهد:

1.خرابی سیستم: روت کیتی که بوت لودر، هارد دیسک، بایوس یا برنامه های کاربردی کامپیوتر شما را آلوده می کند ممکن است باعث ایجاد تداخل نرم افزاری خرابی سیستم شود.

2.نقص نرم افزار: آیا متوجه کاهش سرعت، تغییرات مرموز تنظیمات یا نقص در مرورگر وب شده‌اید؟ یک روتکیت می تواند مسئول چنین مسائلی باشد.

3.خرابی آنتی ویروس: اگر آنتی ویروس شما بدون دلیل غیرفعال شود، یک اسکن آنتی روت کیت برای جستجوی بدافزار امتحان کنید. پس از آن، نرم افزار امنیت سایبری خود را دوباره نصب کنید.

 

 

چگونه از آلوده کردن سیستم خود توسط rootkit جلوگیری کنیم؟

مهم است که به طور فعال از دستگاه های خود در برابر انواع بدافزار محافظت کنید، و بدافزار rootkit یک نوع تهدید خاص است. اقداماتی وجود دارد که می توانید برای افزایش امنیت سایت انجام دهید:

 

سیستم‌های خود را اسکن کنید: از یک اسکنر تهدید پیشرفته استفاده کنید تا مرتباً دستگاه‌های خود را از نظر تهدید اسکن کنید. مقاله ما حتی توصیه های عمیق تری در مورد اسکن روت کیت ها به روش های مختلف دارد، اما داشتن اسکن نرم افزارهای مخرب به طور منظم محل خوبی برای شروع است.

 

مراقب تلاش های فیشینگ باشید: مراقب باشید روی چه چیزی کلیک می کنید و دانلود می کنید. حملات فیشینگ ایمیل بسیار پیچیده شده‌اند، و یک تلاش فیشینگ ممکن است تقریباً شبیه به یک ایمیل قانونی از شخصی که به آن اعتماد دارید، مانند بانک یا خرده‌فروش مورد علاقه‌تان، شبیه باشد. همیشه آدرس ایمیل فرستنده را بررسی کنید تا مطمئن شوید که از یک دامنه قانونی است (مثلاً ایمیل PayPal از paypal.com می‌آید)، و اگر نگرانی دارید که ایمیلی ممکن است یک تلاش فیشینگ باشد، می‌توانید آن را برای فرستنده ادعایی ارسال کنید. برای نگاه کردن مراقب لینک هایی که از طریق پیامک از شماره های ناشناس می آیند نیز باشید.

 

نرم‌افزار خود را به‌روزرسانی کنید: به‌روزرسانی‌های نرم‌افزاری گاهی اوقات در زمان‌های نامناسبی می‌آیند، زمانی که در جریان کار دیگری هستید، اما توسعه‌دهندگان نرم‌افزار آنها را به دلایل خوبی ارسال می‌کنند. بسیاری از به‌روزرسانی‌ها شامل رفع‌های امنیتی برای مشکلاتی هستند که توسعه‌دهنده پیدا کرده است، بنابراین نمی‌خواهید منتظر بمانید تا آن‌ها را در جای خود قرار دهید. بهتر است هر زمان که اعلانی برای این کار دریافت کردید، نرم افزار خود را بروز کنید.

 

از آنتی ویروس/ضد بدافزار پیشرفته استفاده کنید: آنتی ویروس و حفاظت ضد بدافزار پیشرفته از تعدادی روش مختلف برای شناسایی و جلوگیری از ورود تهدیدات به دستگاه شما استفاده می کند. این یک گام کلیدی برای محافظت در برابر تهدیدات مختلف و انواع بدافزارها است.

 

 

نتایج احتمالی حمله روت کیت

امروزه، نویسندگان بدافزار به راحتی می توانند روتکیت ها را در دارک وب خریداری کرده و از آنها در حملات خود استفاده کنند. لیست زیر برخی از عواقب احتمالی حمله روت کیت را بررسی می کند.

 

اطلاعات حساس به سرقت رفته

روت‌کیت‌ها هکرها را قادر می‌سازند تا نرم‌افزار مخرب دیگری را نصب کنند که اطلاعات حساسی مانند شماره کارت اعتباری، شماره امنیت اجتماعی و رمز عبور کاربر را بدون شناسایی سرقت می‌کند.

 

عفونت بدافزار

مهاجمان از روت کیت ها برای نصب بدافزار بر روی کامپیوترها و سیستم ها بدون شناسایی استفاده می کنند. روت‌کیت‌ها نرم‌افزار مخرب را از هر ضد بدافزار یا آنتی‌ویروس موجود پنهان می‌کنند و اغلب نرم‌افزار امنیتی را بدون اطلاع کاربر غیرفعال می‌کنند. در نتیجه غیرفعال شدن نرم افزارهای ضد بدافزار و آنتی ویروس، روتکیت ها مهاجمان را قادر می سازد فایل های مضر را روی رایانه های آلوده اجرا کنند.

 

حذف فایل

روت‌کیت‌ها به همه فایل‌ها و دستورات سیستم عامل دسترسی می‌دهند. مهاجمانی که از روت کیت ها استفاده می کنند به راحتی می توانند دایرکتوری های لینوکس یا ویندوز، کلیدهای رجیستری و فایل ها را حذف کنند.

 

استراق سمع

مجرمان سایبری از روت کیت ها برای سوء استفاده از شبکه های ناامن و استراق سمع و رهگیری اطلاعات و ارتباطات شخصی کاربران، مانند ایمیل ها و پیام های رد و بدل شده از طریق چت استفاده می کنند.

 

کنترل از راه دور

هکرها از روتکیت ها برای دسترسی از راه دور و تغییر تنظیمات سیستم استفاده می کنند. سپس هکرها می توانند پورت های باز TCP داخل فایروال ها را تغییر دهند یا اسکریپت های راه اندازی سیستم را تغییر دهند.

 

 

 

انواع حملات روت کیت

مهاجمان می توانند انواع مختلف روت کیت را روی هر سیستمی نصب کنند. در زیر، مروری بر رایج ترین حملات روت کیت را خواهید دید.

 

روت کیت های کاربردی

روت کیت های برنامه، فایل های قانونی را با فایل های روت کیت آلوده در رایانه شما جایگزین می کنند. این روتکیت ها برنامه های استانداردی مانند Microsoft Office، Notepad یا Paint را آلوده می کنند. هر بار که آن برنامه ها را اجرا می کنید، مهاجمان می توانند به رایانه شما دسترسی داشته باشند. برنامه های آنتی ویروس به راحتی می توانند آنها را شناسایی کنند زیرا هر دو در لایه برنامه کار می کنند.

 

روت کیت های هسته

مهاجمان از این روت کیت ها برای تغییر عملکرد یک سیستم عامل با قرار دادن کدهای مخرب در آن استفاده می کنند. این به آنها این فرصت را می دهد که به راحتی اطلاعات شخصی را سرقت کنند.

 

روت کیت های بوت لودر

مکانیزم بوت لودر وظیفه بارگذاری سیستم عامل بر روی کامپیوتر را بر عهده دارد. این روت کیت ها بوت لودر اصلی را با یک بوت لودر آلوده جایگزین می کنند. این بدان معناست که روتکیت های بوت لودر حتی قبل از بارگیری کامل سیستم عامل فعال هستند.

 

روت کیت های سخت افزاری و فیرمور

این نوع روت کیت می تواند به سیستم بایوس کامپیوتر یا هارد دیسک ها و همچنین روترها، تراشه های حافظه و کارت های شبکه دسترسی داشته باشد.

 

روت کیت های مجازی

روت کیت های مجازی از ماشین های مجازی برای کنترل سیستم عامل ها استفاده می کنند. آنها توسط محققان امنیتی در سال 2006 به عنوان اثبات مفهوم توسعه یافتند.

این روتکیت ها قبل از بارگیری سیستم عامل یک ماشین مجازی ایجاد می کنند و سپس به سادگی کنترل کامپیوتر شما را به دست می گیرند. روتکیت های مجازی در سطح بالاتری نسبت به سیستم عامل ها عمل می کنند، که باعث می شود آنها تقریبا غیرقابل شناسایی باشند.

 

 

چگونه از حمله روت کیت جلوگیری کنیم

حملات Rootkit خطرناک و مضر هستند، اما تنها زمانی کامپیوتر شما را آلوده می‌کنند که نرم‌افزار مخربی را که دارای روت‌کیت است راه‌اندازی کنید. نکات زیر مراحل اساسی را که باید برای جلوگیری از عفونت روت کیت دنبال کنید، تشریح می کند.

 

سیستم های خود را اسکن کنید

اسکنرها برنامه های نرم افزاری هستند که هدف آنها تجزیه و تحلیل یک سیستم برای خلاص شدن از شر روت کیت های فعال است.

اسکنرهای Rootkit معمولاً در شناسایی و حذف روتکیت های برنامه موثر هستند. با این حال، آنها در برابر حملات هسته، بوت لودر یا سیستم عامل بی اثر هستند. اسکنرهای سطح هسته تنها زمانی می توانند کدهای مخرب را شناسایی کنند که روت کیت غیرفعال باشد. این بدان معنی است که شما باید تمام فرآیندهای سیستم را متوقف کنید و کامپیوتر را در حالت ایمن بوت کنید تا به طور موثر سیستم را اسکن کنید.

کارشناسان امنیتی ادعا می کنند که با توجه به این محدودیت ها، یک اسکنر نمی تواند امنیت کامل یک سیستم را تضمین کند. بنابراین، بسیاری توصیه می کنند از چندین اسکنر و حذف کننده های rootkit استفاده کنید. برای محافظت کامل از خود در برابر حملات روت کیت در سطح بوت یا سیستم عامل، باید از اطلاعات خود نسخه پشتیبان تهیه کنید، سپس کل سیستم را مجدداً نصب کنید.

 

از تلاش های فیشینگ خودداری کنید

فیشینگ نوعی حمله مهندسی اجتماعی است که در آن هکرها از ایمیل برای فریب کاربران برای کلیک کردن بر روی یک لینک مخرب یا دانلود یک پیوست آلوده استفاده می کنند.

ایمیل تقلبی می تواند هر چیزی باشد، از کلاهبرداری های شاهزاده نیجریه‌ای که درخواست بازپس گیری طلا را دارند تا پیام های جعلی از فیس بوک که از شما درخواست می کنند اعتبار ورود خود را به روز کنید. پیوست های آلوده می توانند اسناد Excel یا Word، یک برنامه اجرایی معمولی یا یک تصویر آلوده باشند.

 

نرم افزار خود را بروز کنید

بسیاری از برنامه‌های نرم‌افزاری حاوی آسیب‌ پذیری‌ ها و باگ‌هایی هستند که به مجرمان سایبری امکان سوءاستفاده از آنها را می‌دهند، به‌ویژه نرم‌افزارهای قدیمی‌تر و قدیمی. معمولاً شرکت‌ها به‌روزرسانی‌های منظمی را برای رفع این باگ‌ها و آسیب‌پذیری‌ها منتشر می‌کنند. اما همه آسیب‌پذیری‌ها علنی نمی‌شوند. و هنگامی که نرم افزار به سن معینی رسید، شرکت ها دیگر از آنها با به روز رسانی پشتیبانی نمی کنند.

به روز رسانی مداوم نرم افزار برای ایمن ماندن و جلوگیری از آلوده کردن هکرها به بدافزار ضروری است. همه برنامه ها و سیستم عامل خود را بروز نگه دارید و می توانید از حملات روت کیت که از آسیب پذیری ها استفاده می کنند جلوگیری کنید.

 

از آنتی ویروس نسل بعدی استفاده کنید

نویسندگان بدافزار همیشه سعی می کنند یک قدم جلوتر از صنعت امنیت سایبری باقی بمانند. برای مقابله با پیشرفت آنها، باید از برنامه های آنتی ویروس استفاده کنید که از تکنیک های امنیتی مدرن مانند تشخیص ناهنجاری مبتنی بر یادگیری ماشین و اکتشافات رفتاری استفاده می کنند. این نوع آنتی ویروس می تواند منشا روت کیت را بر اساس رفتار آن مشخص کند، بدافزار را شناسایی کرده و مانع از آلوده شدن سیستم شما شود.

 

نظارت بر ترافیک شبکه

تکنیک های نظارت بر ترافیک شبکه بسته های شبکه را به منظور شناسایی ترافیک شبکه بالقوه مخرب تجزیه و تحلیل می کند. تجزیه و تحلیل شبکه همچنین می‌تواند تهدیدات را سریع‌تر کاهش دهد و در عین حال بخش‌های شبکه را که مورد حمله قرار می‌گیرند جدا می‌کند تا از گسترش حمله جلوگیری کند.

 

 

 

پیشگیری از روت کیت، پاکسازی را شکست می دهد

روت کیت یکی از سخت ترین انواع بدافزار برای یافتن و حذف است. مهاجمان اغلب از آنها برای کنترل از راه دور رایانه شما، استراق سمع ارتباطات شبکه شما یا اجرای حملات بات نت استفاده می کنند.

این یک نوع بدافزار بد است که می تواند به طور جدی بر عملکرد رایانه شما تأثیر بگذارد و منجر به سرقت اطلاعات شخصی شود. از آنجایی که تشخیص حمله روت کیت دشوار است، پیشگیری اغلب بهترین دفاع است. از نکات ارائه شده در این مقاله به عنوان نقطه شروع استراتژی دفاعی خود استفاده کنید. برای اطمینان از محافظت مستمر، باید آموزش امنیت سایت ببینید. حملات همیشه تغییر می کنند، و مهم است که برای آنها آماده باشید.