Rootkit چیست

روت کیت خطرناک‌ترین گونه بدافزاری است. روت کیت‌ها همانند سایر گونه‌های بدافزاری، برنامه‌های کامپیوتری هستند که قدرت بالایی در اختفا دارند و قادر هستند در فایل‌ها، تنظیمات رجیستری یا پردازه‌ها پنهان شوند و به سرقت اطلاعات کاربران بپردازند. به‌طور کلی، روت کیت‌ها با هدف دسترسی از راه دور، کنترل سامانه‌های کامپیوتری یا شبکه‌های کامپیوتری و استخراج اطلاعات استفاده می‌شوند. بارزترین نشانه وجود روت کیت در یک سامانه کند شدن سرعت آن است که نشان می‌دهد عامل مخربی در پس‌زمینه مشغول فعالیت است.

روت کیت‌ها چگونه کار می‌کنند؟

مکانیزم کاری بیشتر روت کیت‌ها پیچیده است. عملکرد روت کیت‌ها به این صورت است که پردازه‌هایی را روی سیستم‌عامل قربانی (ویندوز، لینوکس و به ندرت مک) ایجاد کرده و به اجرا در می‌آورند که ابزارهایی مانند Task Manager  قادر به مشاهده آن‌ها نیستند. در سیستم‌عامل‌هایی مثل ویندوز کلیدهایی در رجیستری ویندوز ایجاد می‌کنند که نقش پل ارتباطی را دارند و به روت کیت اجازه می‌دهند به اینترنت متصل شود. کانال‌های ارتباطی به‌گونه‌ای ایجاد می‌شوند که ابزارهای شبکه مثل Netstat قادر به مشاهده آن‌ها نیستند.

در مرحله بعد روت کیت‌ها با ایجاد Backdoor روی سیستم قربانیان راه را برای ورود بدافزارها به سیستم‌عامل هموار می‌کنند.

وظایف روت کیت چیست؟

قدرت Rootkitها نسبت به سایر گونه‌های بدافزاری زیاد و تقریبا نامحدود است.

هنگامی که یک روت کیت سامانه‌ای را آلوده کند به هکرها اجازه انجام کارهای زیر را می‌دهد:

• اجرای دستورات از راه دور با مجوز Admin
• استخراج و سرقت اطلاعات که شامل رمزهای عبور و نام‌های کاربری می‌شود.
• تغییر پیکربندی و تنظیمات سیستم‌عامل با هدف دسترسی ساده‌تر هکر به سیستم قربانی.
• نصب نرم‌افزارهای جعلی به جای نرم‌افزارهای امنیتی نصب شده یا نصب برنامه‌های ناخواسته روی سیستم قربانی. در این زمینه مایکروسافت گام‌های ارزشمندی برداشته و جدیدترین به‌روزرسانی ارائه شده برای ویندوز 10 و 11 مانع نصب برنامه‌های ناخواسته می‌شود.
• نصب بدافزارها، ویروس‌ها یا استخراج‌کنندگان رمزارز.
• متصل کردن سیستم کامپیوتری به شبکه‌ای از بات‌نت‌ها که قرار است برای اهدافی همچون پیاده‌سازی حمله‌های DDoS استفاده شوند.

روت کیت‌ها چگونه یک سامانه را قربانی می‌کنند؟

تمامی روت کیت‌هایی که تاکنون شناسایی شده‌اند بر روی دستکاری نتایج و مهندسی معکوس، متدها و توابعی که برنامه‌های کاربردی و سیستمی از آن‌ها استفاده می‌کنند متمرکز هستند.

Task Manager یک برنامه شناخته شده برای کاربران ویندوز است. کاری که این برنامه سیستمی انجام می‌دهد نشان دادن فهرستی از فرآیندهای در حال اجرا در حافظه، تراکنش‌های در حال اجرا روی هارددیسک، کانال‌های ارتباطی و برنامه‌هایی که اقدام به تبادل اطلاعات می‌کنند و میزان مصرف منابع سیستمی است.

این برنامه برای انجام این فعالیت‌ها از توابع معروفی مثل EnumProcesses استفاده می‌کند که قادر هستند فهرستی از شناسه‌های مربوط به پردازه‌ها را نشان دهد. تابع فوق اطلاعات موردنیاز را از ساختار داده‌ای کرنل ویندوز استخراج می‌کند. هنگامی که یک rootkit به سامانه‌ای وارد می‌شوند عملکرد تابع فوق را مختل می‌کند یا اطلاعاتی که تابع فوق ارایه می‌کند را به شکلی دستکاری می‌کند تا فهرست پردازه‌ها به شکل فیلتر شده توسط Task Manager یا سایر ابزارها نشان داده شود.

این مکانیزم به روت کیت اجازه می‌دهد از دید ابزارهای نظارتی پنهان شود. مشابه همین تکنیک برای فریب سامانه‌های تشخیص و پیشگیری از نفوذ و ضدویروس‌ها نیز استفاده می‌شود.

نکته: ‌روت کیت‌هایی که UEFI و BIOS یا MiddleWare سخت‌افزارها را آلوده می‌کنند به سختی پاک می‌شوند و ضدروت کیت‌های عادی در این زمینه چندان مفید نیستند. در این حالت باید بایوس سیستم را فلش کرده و نسخه جدیدی نصب کرد. البته دقت کنید، گاهی اوقات روت کیت‌ها به اندازه ای پیچیده و پیشرفته هستند که مانع فلش بایوس می‌شوند.

تروجان دسترسی از راه دور (Remote Access Trojan)

RAT به معنی دسترسی ریموت تروجان یا ابزار مدیریت از راه دور می باشد . این نوع ابزار یکی از خطرناک ترین برنامه های ویروس ساز می باشد . هکر با استفاده از RAT می تواند کنترل کامل کامپیوتر شما را در اختیار بگیرد و در کل هر کاری می تواند با کامپیوتر شما انجام دهد . با استفاده از RAT هکر می تواند یک کیلاگر یا دیگر برنامه های مخرب را بر روی سیستم شما نصب کند و به صورت ریموت و از راه دور اختیار سیستم شما را در اختیار بگیرد و فایل های سیستم شما را آلوده کند .