روتکیتها نزدیک به ۲۰ سال است که وجود دارند و به مهاجمان اجازه میدهند بدون اینکه برای مدت طولانی شناسایی شوند، به دادههای ماشینهای کاربران دسترسی پیدا کرده و از آنها سرقت کنند.
این اصطلاح به طور ساده به زیرمجموعهای از ابزارهای بدافزاری اطلاق میشود که بهطور خاص طراحی شدهاند تا روی رایانههای آلوده پنهان بمانند و مهاجم را قادر میسازد از راه دور رایانه شخصی را کنترل کند. برای کمک به کاربران برای درک اینکه روت کیت چیست و چگونه کار می کند، در این مقاله از ایوسی توضیحی در مورد این نوع بدافزار و اینکه در صورت آلوده شدن کامپیوتر شما چه کاری باید انجام دهید را گردآوری کرده ایم.
مرتبط: بات نت چیست؟
تعریف روت کیت
Rootkit اصطلاحی است که به نوعی بدافزار اطلاق می شود که برای آلوده کردن رایانه هدف طراحی شده است و به مهاجم اجازه می دهد مجموعه ای از ابزارها را نصب کند که به او دسترسی از راه دور دائمی به رایانه می دهد. بدافزار معمولاً در اعماق سیستم عامل پنهان می شود و به گونه ای طراحی می شود که توسط برنامه های ضد بدافزار و سایر ابزارهای امنیتی شناسایی نشود.
روت کیت ممکن است حاوی هر تعداد ابزار مخرب باشد، مانند یک ثبت کننده ضربه زدن به کلید، یک دزد رمز عبور، یک ماژول برای سرقت کارت اعتباری یا اطلاعات بانکی آنلاین، یک ربات برای حملات DDoS یا عملکردی که می تواند نرم افزار امنیتی را غیرفعال کند. روتکیتها معمولاً بهعنوان یک درب پشتی عمل میکنند که به مهاجم این توانایی را میدهد تا هر زمان که تصمیم گرفت از راه دور به دستگاه آلوده متصل شود و اجزای خاصی را حذف یا نصب کند. برخی از نمونههایی از روتکیتهای مبتنی بر ویندوز که امروزه فعال هستند عبارتند ازTDSS ، ZeroAccess ، Alureon و Necurs .
مرتبط: خطرناک ترین کارها در فضای آنلاین (معرفی ۱۰ مورد اصلی)
انواع روت کیت
دو نوع اصلی روت کیت ها روت کیت های حالت کاربر و روت کیت های حالت هسته هستند. روت کیت های حالت کاربر برای اجرا در همان قسمت از سیستم عامل رایانه به عنوان برنامه ها طراحی شده اند. آنها رفتار مخرب خود را با ربودن فرآیندهای برنامه در حال اجرا بر روی دستگاه یا با بازنویسی حافظه ای که یک برنامه استفاده می کند، اجرا می کنند.
این رایج تر از این دو نوع است. روتکیتهای حالت هسته در پایینترین سطح سیستمعامل رایانه شخصی اجرا میشوند و قدرتمندترین مجموعهای از امتیازات را در رایانه به مهاجم میدهند. پس از نصب یک روت کیت در حالت هسته، مهاجم کنترل کامل کامپیوتر در معرض خطر را در اختیار خواهد داشت و میتواند هر اقدامی را که انتخاب میکند روی آن انجام دهد. روت کیت های حالت هسته معمولاً پیچیده تر از روت کیت های حالت کاربر هستند و بنابراین کمتر رایج هستند.
Rootkit اصطلاحی است که به نوعی بدافزار اطلاق می شود که برای آلوده کردن رایانه هدف طراحی شده است و به مهاجم اجازه می دهد مجموعه ای از ابزارها را نصب کند که به او دسترسی از راه دور دائمی به رایانه می دهد.
چند نوع روت کیت کمتر رایج نیز وجود دارد، مانند بوت کیت ها، که برای اصلاح بوت لودر کامپیوتر، نرم افزار سطح پایینی که قبل از بارگیری سیستم عامل اجرا می شود، طراحی شده اند. در سالهای اخیر، دسته جدیدی از روتکیتهای موبایل برای حمله به گوشیهای هوشمند، بهویژه دستگاههای اندرویدی ظهور کردهاند. این روت کیت ها اغلب با یک برنامه مخرب دانلود شده از یک فروشگاه برنامه یا انجمن شخص ثالث مرتبط هستند.
روش عفونت
روتکیتها از طریق روشهای مختلفی نصب میشوند، اما رایجترین ناقل عفونت از طریق استفاده از یک آسیبپذیری در سیستم عامل یا برنامهای است که روی رایانه اجرا میشود. مهاجمان آسیبپذیریهای شناخته شده و ناشناخته را در سیستمعامل و برنامهها هدف قرار میدهند و از کد اکسپلویت برای به دست آوردن موقعیت ممتاز در ماشین هدف استفاده میکنند.
سپس روت کیت را نصب می کنند و اجزایی را تنظیم می کنند که امکان دسترسی از راه دور به رایانه را فراهم می کند. کد سوء استفاده برای یک آسیب پذیری خاص ممکن است در یک وب سایت قانونی که در معرض خطر قرار گرفته است میزبانی شود. ناقل دیگر عفونت از طریق درایوهای USB آلوده است. مهاجمان ممکن است درایوهای USB را با روتکیتهای پنهان در مکانهایی که احتمال دارد قربانیان آنها را پیدا کنند، مانند ساختمانهای اداری، کافیشاپها و مراکز کنفرانس، پنهان کنند.
حذف
در بعضی موارد، تشخیص وجود روت کیت در رایانه می تواند دشوار باشد، زیرا این نوع بدافزار به گونه ای طراحی شده است که مخفی بماند و کار خود را در پس زمینه انجام دهد. ابزارهایی وجود دارند که برای جستجوی انواع شناخته شده و ناشناخته روت کیت ها از طریق روش های مختلف، از جمله استفاده از امضا یا رویکرد رفتاری طراحی شده اند که سعی می کند یک روت کیت را با جستجوی الگوهای رفتاری شناخته شده شناسایی کند.
حذف rootkit یک فرآیند پیچیده است و معمولاً به استفاده از ابزارهای تخصصی نیاز دارد، مانند ابزار TDSSKiller از Kaspersky Lab که میتواند روت کیت TDSS را شناسایی و حذف کند. در برخی موارد، در صورتی که کامپیوتر بیش از حد آسیب دیده باشد، ممکن است لازم باشد که قربانی سیستم عامل را دوباره نصب کند.
مرتبط: ۲۸ ابزار امنیت سایبری که میتوانید در محل کار استفاده کنید (بهعلاوه ویژگیهای کلیدی)