روت کیت چیست (Rootkit) معرفی کامل روت کیت 2022

روت کیت چیست به جرات می توان گفت روت کیت ها یکی از خطرناک ترین بد افزار ها هستند و از ویروس ها و تروجان ها بسیار خطرناک تر هستند ، سیستم کاری انها همانند تروجان ها است این بدافزار ها در کرنل لینوکس مخفی شده و دسترسی Root را به نفوذگر خواهد داد و شناسایی این بدافزار به مقداری سخت می باشد که حتی می توان واژه غیر ممکن را به ان اختصاص داد اما روش هایی برای شناسایی و بالا بردن امنیت در مقابل این بدافزار وجود دارد که در ادامه با ان اشنا می شوید

تفاوت میان بکدور ها و روت کیت چیست ؟

تصور کنید که اسکریپت شل خود را بعد از دسترسی به یک وب سایت آپلود کرده اید و به آن سایت دسترسی دارید و با کمک بکدور می توانید دسترسی خود را کمی بیشتر کنید تا دفعه بعد نیازی به نفوذ مجدد نداشته باشید.

اما نصب بکدور فقط به بخشی که به آن دسترسی دارید دسترسی می‌دهد، اما به خاطر داشته باشید که سایتی که شل را در آن آپلود کرده‌اید روی سروری است که ممکن است بسیاری از سایت‌های دیگر در آن سایت وجود داشته باشد که با استفاده از روش‌هایی مانند سیملینک می‌توانید به سایت‌های دیگر نیز دسترسی داشته باشید. سایت های روی سرور

اما برای نفوذ به سرور باید از روش های مختلفی استفاده کرد و مکانیزم های امنیتی را دور زد و در نهایت با کمک روت کیت های با سطح دسترسی روت، دسترسی خود را دائمی کرد، روت کیت ها بسیار مخفی تر از بکدور هستند. و پیدا کردن آنها بسیار پیچیده خواهد بود.

تفاوت اول بکدور و روت کیت

روت کیت چیست اولین تفاوت بین بکدور و روت کیت در این است که بکدور با دسترسی محدود نصب می شود در حالی که بقیه با دسترسی سطح بالا یعنی root نصب می شوند. یعنی برای نصب آن روی سرور ابتدا باید از سرور دسترسی روت داشته باشید و سپس بتوانید روت کیت را نصب کنید.

مطالب مرتبط

تفاوت دوم بکدور و روت کیت

تفاوت دوم بین دوروش این است که بکدور ها ممکن است یک پورت جداگانه و جدید را باز کنند و به راحتی قابل شناسایی باشند، اما روت کیت ها دستورات و پورت های سیستم را جایگزین می کنند و در هسته پنهان می شوند، به عنوان مثال اگر سرور شما ۵۰۰ پورت سیستم باز داشته باشد.

وقتی بکدور را روی سرور مورد نظر نصب می کنید تعداد پورت ها به ۵۰۱ عدد می رسد اما اگر از روت کیت استفاده کنید و یکی از آنها را روی سرور نصب کنید پورت های باز تغییر نمی کنند و همان ۵۰۰ پورت باز می ماند. این بدان معناست که آنها توانسته اند پورت های باز را جایگزین کنند و شناسایی آنها بسیار دشوار و پیچیده می شود.

روت کیت‌ها چگونه کار می‌کنند؟

روت کیت چیست مکانیسم کار اکثر روت کیت ها پیچیده است. عملکرد روت کیت ها ایجاد و اجرای فرآیندهایی در سیستم عامل قربانی (ویندوز، لینوکس و به ندرت مک) است که نرم افزارهایی مانند Task Manager نمی توانند آنها را شناسایی کنند. سپس در سیستم عامل هایی مانند ویندوز، کلیدهایی را در رجیستری ویندوز ایجاد می کنند که به عنوان یک پل ارتباطی عمل می کند و به روت کیت اجازه می دهد به اینترنت متصل شود. کانال های ارتباطی به گونه ای ایجاد می شوند که ابزارهای شبکه مانند Netstat نمی توانند آنها را مشاهده کنند.

در مرحله بعد، روت کیت ها راه را برای ورود بدافزارها به سیستم عامل با ایجاد درهای پشتی در سیستم های قربانیان هموار می کنند. بدافزارهایی که توسط روت کیت ها وارد سیستم عامل قربانیان می شوند به دو گروه تقسیم می شوند:

1. گروه اول بدافزار های پوششی هستند که به راحتی توسط نرم افزارهای امنیتی شناسایی می شوند. این بدافزار ها با هدف تولید رخنه یا شکاف‌هایی در حافظه اصلی وارد سیستم عامل قربانی می شوند و برای آماده سازی زمینه برای ورود بدافزار های اصلی استفاده می شوند.
2. گروه دوم بدافزار هایی هستند که توسط نرم افزارهای امنیتی شناسایی نمی شوند و با هدف شنود و جمع آوری اطلاعات کاربران وارد سیستم ها می شوند. روت کیت ها بیشتر با زبان برنامه‌نویسی اسمبلی و در نمونه های خاص تر با زبان C ایجاد می شوند، بنابراین کوچکترین اندازه هستند، سریع اجرا می شوند و به راحتی از نرم افزار ضد روت کیت پنهان می شوند. از آنجایی که روت کیت ها برای آلوده کردن هسته سیستم عامل طراحی شده اند، قدرت و عملکرد آنها تقریبا نامحدود است.

وظایف روت کیت چیست ؟

روت کیت چیست وقتی روت کیت روی یک سیستم نصب می شود چه کاری می تواند انجام دهد؟ قدرت روت کیت ها بر دیگر گونه های بدافزار زیاد و تقریبا نامحدود است. هنگامی که یک روت کیت یک سیستم را آلوده می کند، به هکرها اجازه می دهد تا کارهای زیر را انجام دهند:

1. اجرای دستورات از راه دور با مجوز مدیریتی.
2. استخراج و سرقت اطلاعات که شامل رمزهای عبور و نام‌های کاربری می‌شود.
3. تغییر پیکربندی و تنظیمات سیستم‌عامل با هدف دسترسی ساده‌تر هکر به سامانه قربانی.
4. نصب نرم‌افزارهای جعلی به جای نرم‌افزارهای امنیتی نصب شده یا نصب برنامه‌های ناخواسته.
5. خوشبختانه در این زمینه مایکروسافت گام‌های ارزشمندی برداشته و جدیدترین به‌روزرسانی ارایه شده برای ویندوز ۱۰ مانع نصب برنامه‌های ناخواسته می‌شود.
6. نصب بدافزارها، ویروس‌ها یا استخراج‌کنندگان رمزارز.
7. متصل کردن سامانه کامپیوتری به شبکه‌ای از بات‌نت‌ها که قرار است برای اهدافی همچون پیاده‌سازی حمله‌های DDoS استفاده شوند.

چرا شناسایی روت کیت‌ها سخت است؟

روت کیت چیست یکی از مهم ترین دلایلی که شناسایی روت کیت ها را دشوار یا گاهی غیرممکن می کند، تغییر مداوم مکانیسم های حفاظتی این گونه مخرب است. به همین دلیل است که اکثر آنتی ویروس ها قادر به شناسایی روت کیت نیستند یا تنها زمانی می توانند آنها را حذف کنند که اطلاعات کاملی در مورد آنها در دسترس باشد.

به طور کلی، آنتی ویروس ها و بدافزارها با ردیابی رفتار بدافزار، امضای بدافزار یا هر مورد مشکوک دیگری، قرنطینه کردن آن و ارسال یک کپی از فایل مشکوک به آزمایشگاه آنتی ویروس، به سرعت یک فایل یا فرآیند مخرب را به عنوان یک عامل مشکوک شناسایی می کنند. اکثر بدافزارها از این طریق شناسایی می شوند زیرا در سطح لایه کاربر کار می کنند و دقیقاً در جایی که آنتی ویروس متمرکز شده است کار می کند.

اما اکثر روت کیت ها برای ورود به لایه های پایین سیستم عامل نوشته شده اند و از آنجایی که شرکت هایی مانند Microsoft Systems سیستم عامل های منبع بسته دارند و به تولید کنندگان آنتی ویروس اجازه دسترسی به این کدها را نمی دهند، ورود به قسمت های محافظت شده سیستم عامل سخت است. . مکانیسم های حفاظتی ویندوز از دسترسی آنتی ویروس به این بخش ها جلوگیری می کند.

پس چرا روت کیت ها می توانند وارد این بخش شوند؟ زیرا هکرها سعی می کنند از آسیب پذیری های روز صفر یا آسیب پذیری های امنیتی پنهان در قطعات سخت افزاری برای ورود به این قسمت سوء استفاده کنند. به همین دلیل بود که وقتی آسیب‌پذیری‌ها در برخی از پردازنده‌های سیستم عامل اینتل شناسایی شد، این شرکت به سرعت آن‌ها را اصلاح کرد و در نهایت اعلام کرد که برخی از آسیب‌پذیری‌ها قابل رفع نیستند. البته همه روت کیت ها نمی توانند وارد این سطح از هسته شوند، زیرا هزینه بر، زمان بر هستند و به طور ویژه برای حمله به سازمان های بزرگ یا اقدام علیه دولت ها طراحی شده اند.

طبقه‌بندی و انواع روت کیت

روت کیت چیست روت کیت ها برای انجام عملیات های مخرب مختلف طراحی و ساخته شده اند و هر کدام قابلیت های خاص خود را دارند. کارشناسان امنیتی روت کیت ها را به گروه های زیر دسته بندی کرده اند:

روت کیت کرنل: روت کیت هایی که برای دستکاری سیستم و فایل های سیستم عامل حیاتی طراحی شده اند و می توانند کدهای مخرب را در ساختار داده کرنل سیستم عامل وارد کنند. در چنین مواردی، آنتی ویروس ها هرگز رویدادهای مشکوک را شناسایی نمی کنند. متأسفانه، اگر روت کیت‌ کرنل ها باگ شوند، عملکرد سیستم به طور ناخواسته تغییر می کند و در بیشتر موارد مجبور به تعویض سیستم عامل خواهید شد.

روت کیت سخت‌افزاری: این گروه از روت کیت ها مستقیماً سخت افزار MiddleWare را هدف قرار می دهند. به عنوان مثال، یک آسیب پذیری شناسایی شده توسط محقق امنیتی کریستوفر دوماس نشان داد که پردازنده های اینتل به مدت ۱۸ سال به آسیب پذیری آلوده شده بودند که به هکرها اجازه می داد کنترل سیستم CPU را در دست بگیرند، UEFI را پاک کنند و سپس روت کیت را اجرا کنند. میان افزار سیستم (Firmware) را نصب کرد. این آسیب پذیری در پردازنده های Intel x86 شناسایی شد.

روت کیت هایپروایزر:روت کیت‌های ناظر ارشد یا همان Hypervisor  که روت کیت مجازی نیز نامیده می‌شوند، نسخه تکامل یافته روت کیت‌ها هستند که از فناوری‌های نوین برای آلودگی و پنهان‌سازی استفاده می‌کنند. این روت کیت‌ها عمدتا در ارتباط با ایمیج‌ها و مکانیزم‌های داکر و کوبرنتیس فعالیت دارند و قادر هستند کنترل کامل یک ماشین مجازی را به دست گیرند.

روت کیت بارگذاری‌کننده:  روت کیت BootLoader هنگام ورود به سیستم، رکورد اصلی بوت کامپیوتر (MBR) را آلوده می کند که نحوه بارگیری سیستم عامل را تعیین می کند. گاهی اوقات ضبط صدا (VBR) را نیز آلوده می کند. با توجه به اینکه روت کیت فوق در رکورد بوت دیسک قرار دارد، در سیستم فایل سیستم عامل ظاهر نمی شود و شناسایی و حذف آنتی ویروس ها مشکل است. به طور کلی، هرگونه تلاش برای حذف روت کیت بوت لودر باعث از کار افتادن سیستم عامل یا سخت افزار می شود.

روت کیت RAM: روت کیت RAM از مکانیزم مقیم در حافظه استفاده می‌کند و تنها منابع آزاد در دسترس برنامه‌ها را مصرف می‌کند.

روت کیت‌ برنامه کاربردی: ساده‌ترین نوع روت کیت‌ها است که شناسایی آن ساده است، زیرا از رویکرد استتار در قالب فایل‌های سیستمی یا برنامه‌های کاربردی استفاده می‌کند و در نتیجه ضدویروس‌ها قادر به شناسایی و حذف آن هستند.