روت کیت چیست (Rootkit) معرفی کامل روت کیت ۲۰۲۲


روت کیت چیست (Rootkit)
فهرست موضوعات مطالب
روت کیت چیست به جرات می توان گفت روت کیت ها یکی از خطرناک ترین بد افزار ها هستند و از ویروس ها و تروجان ها بسیار خطرناک تر هستند ، سیستم کاری انها همانند تروجان ها است این بدافزار ها در کرنل لینوکس مخفی شده و دسترسی Root را به نفوذگر خواهد داد و شناسایی این بدافزار به مقداری سخت می باشد که حتی می توان واژه غیر ممکن را به ان اختصاص داد اما روش هایی برای شناسایی و بالا بردن امنیت در مقابل این بدافزار وجود دارد که در ادامه با ان اشنا می شوید
تفاوت میان بکدور ها و روت کیت چیست ؟
تصور کنید که اسکریپت شل خود را بعد از دسترسی به یک وب سایت آپلود کرده اید و به آن سایت دسترسی دارید و با کمک بکدور می توانید دسترسی خود را کمی بیشتر کنید تا دفعه بعد نیازی به نفوذ مجدد نداشته باشید.
اما نصب بکدور فقط به بخشی که به آن دسترسی دارید دسترسی میدهد، اما به خاطر داشته باشید که سایتی که شل را در آن آپلود کردهاید روی سروری است که ممکن است بسیاری از سایتهای دیگر در آن سایت وجود داشته باشد که با استفاده از روشهایی مانند سیملینک میتوانید به سایتهای دیگر نیز دسترسی داشته باشید. سایت های روی سرور
اما برای نفوذ به سرور باید از روش های مختلفی استفاده کرد و مکانیزم های امنیتی را دور زد و در نهایت با کمک روت کیت های با سطح دسترسی روت، دسترسی خود را دائمی کرد، روت کیت ها بسیار مخفی تر از بکدور هستند. و پیدا کردن آنها بسیار پیچیده خواهد بود.
تفاوت اول بکدور و روت کیت
روت کیت چیست اولین تفاوت بین بکدور و روت کیت در این است که بکدور با دسترسی محدود نصب می شود در حالی که بقیه با دسترسی سطح بالا یعنی root نصب می شوند. یعنی برای نصب آن روی سرور ابتدا باید از سرور دسترسی روت داشته باشید و سپس بتوانید روت کیت را نصب کنید.
مطالب مرتبط
- آموزش گرفتن دسترسی روت در کالی لینوکس
- آموزش نصب کالی لینوکس روی اندروید بدون روت
- آموزش بازگردانی پیج دیسیبل شده اینستاگرام
- باگ بانتی چیست
- شل معکوس چیست
- داکر چیست
- بات نت چیست
- هک وای فای
تفاوت دوم بکدور و روت کیت
تفاوت دوم بین دوروش این است که بکدور ها ممکن است یک پورت جداگانه و جدید را باز کنند و به راحتی قابل شناسایی باشند، اما روت کیت ها دستورات و پورت های سیستم را جایگزین می کنند و در هسته پنهان می شوند، به عنوان مثال اگر سرور شما ۵۰۰ پورت سیستم باز داشته باشد.
وقتی بکدور را روی سرور مورد نظر نصب می کنید تعداد پورت ها به ۵۰۱ عدد می رسد اما اگر از روت کیت استفاده کنید و یکی از آنها را روی سرور نصب کنید پورت های باز تغییر نمی کنند و همان ۵۰۰ پورت باز می ماند. این بدان معناست که آنها توانسته اند پورت های باز را جایگزین کنند و شناسایی آنها بسیار دشوار و پیچیده می شود.
روت کیتها چگونه کار میکنند؟
روت کیت چیست مکانیسم کار اکثر روت کیت ها پیچیده است. عملکرد روت کیت ها ایجاد و اجرای فرآیندهایی در سیستم عامل قربانی (ویندوز، لینوکس و به ندرت مک) است که نرم افزارهایی مانند Task Manager نمی توانند آنها را شناسایی کنند. سپس در سیستم عامل هایی مانند ویندوز، کلیدهایی را در رجیستری ویندوز ایجاد می کنند که به عنوان یک پل ارتباطی عمل می کند و به روت کیت اجازه می دهد به اینترنت متصل شود. کانال های ارتباطی به گونه ای ایجاد می شوند که ابزارهای شبکه مانند Netstat نمی توانند آنها را مشاهده کنند.
در مرحله بعد، روت کیت ها راه را برای ورود بدافزارها به سیستم عامل با ایجاد درهای پشتی در سیستم های قربانیان هموار می کنند. بدافزارهایی که توسط روت کیت ها وارد سیستم عامل قربانیان می شوند به دو گروه تقسیم می شوند:
- گروه اول بدافزار های پوششی هستند که به راحتی توسط نرم افزارهای امنیتی شناسایی می شوند. این بدافزار ها با هدف تولید رخنه یا شکافهایی در حافظه اصلی وارد سیستم عامل قربانی می شوند و برای آماده سازی زمینه برای ورود بدافزار های اصلی استفاده می شوند.
- گروه دوم بدافزار هایی هستند که توسط نرم افزارهای امنیتی شناسایی نمی شوند و با هدف شنود و جمع آوری اطلاعات کاربران وارد سیستم ها می شوند. روت کیت ها بیشتر با زبان برنامهنویسی اسمبلی و در نمونه های خاص تر با زبان C ایجاد می شوند، بنابراین کوچکترین اندازه هستند، سریع اجرا می شوند و به راحتی از نرم افزار ضد روت کیت پنهان می شوند. از آنجایی که روت کیت ها برای آلوده کردن هسته سیستم عامل طراحی شده اند، قدرت و عملکرد آنها تقریبا نامحدود است.
وظایف روت کیت چیست ؟
روت کیت چیست وقتی روت کیت روی یک سیستم نصب می شود چه کاری می تواند انجام دهد؟ قدرت روت کیت ها بر دیگر گونه های بدافزار زیاد و تقریبا نامحدود است. هنگامی که یک روت کیت یک سیستم را آلوده می کند، به هکرها اجازه می دهد تا کارهای زیر را انجام دهند:
- اجرای دستورات از راه دور با مجوز مدیریتی.
- استخراج و سرقت اطلاعات که شامل رمزهای عبور و نامهای کاربری میشود.
- تغییر پیکربندی و تنظیمات سیستمعامل با هدف دسترسی سادهتر هکر به سامانه قربانی.
- نصب نرمافزارهای جعلی به جای نرمافزارهای امنیتی نصب شده یا نصب برنامههای ناخواسته.
- خوشبختانه در این زمینه مایکروسافت گامهای ارزشمندی برداشته و جدیدترین بهروزرسانی ارایه شده برای ویندوز ۱۰ مانع نصب برنامههای ناخواسته میشود.
- نصب بدافزارها، ویروسها یا استخراجکنندگان رمزارز.
- متصل کردن سامانه کامپیوتری به شبکهای از باتنتها که قرار است برای اهدافی همچون پیادهسازی حملههای DDoS استفاده شوند.
چرا شناسایی روت کیتها سخت است؟
روت کیت چیست یکی از مهم ترین دلایلی که شناسایی روت کیت ها را دشوار یا گاهی غیرممکن می کند، تغییر مداوم مکانیسم های حفاظتی این گونه مخرب است. به همین دلیل است که اکثر آنتی ویروس ها قادر به شناسایی روت کیت نیستند یا تنها زمانی می توانند آنها را حذف کنند که اطلاعات کاملی در مورد آنها در دسترس باشد.
به طور کلی، آنتی ویروس ها و بدافزارها با ردیابی رفتار بدافزار، امضای بدافزار یا هر مورد مشکوک دیگری، قرنطینه کردن آن و ارسال یک کپی از فایل مشکوک به آزمایشگاه آنتی ویروس، به سرعت یک فایل یا فرآیند مخرب را به عنوان یک عامل مشکوک شناسایی می کنند. اکثر بدافزارها از این طریق شناسایی می شوند زیرا در سطح لایه کاربر کار می کنند و دقیقاً در جایی که آنتی ویروس متمرکز شده است کار می کند.
اما اکثر روت کیت ها برای ورود به لایه های پایین سیستم عامل نوشته شده اند و از آنجایی که شرکت هایی مانند Microsoft Systems سیستم عامل های منبع بسته دارند و به تولید کنندگان آنتی ویروس اجازه دسترسی به این کدها را نمی دهند، ورود به قسمت های محافظت شده سیستم عامل سخت است. . مکانیسم های حفاظتی ویندوز از دسترسی آنتی ویروس به این بخش ها جلوگیری می کند.
پس چرا روت کیت ها می توانند وارد این بخش شوند؟ زیرا هکرها سعی می کنند از آسیب پذیری های روز صفر یا آسیب پذیری های امنیتی پنهان در قطعات سخت افزاری برای ورود به این قسمت سوء استفاده کنند. به همین دلیل بود که وقتی آسیبپذیریها در برخی از پردازندههای سیستم عامل اینتل شناسایی شد، این شرکت به سرعت آنها را اصلاح کرد و در نهایت اعلام کرد که برخی از آسیبپذیریها قابل رفع نیستند. البته همه روت کیت ها نمی توانند وارد این سطح از هسته شوند، زیرا هزینه بر، زمان بر هستند و به طور ویژه برای حمله به سازمان های بزرگ یا اقدام علیه دولت ها طراحی شده اند.
طبقهبندی و انواع روت کیت
روت کیت چیست روت کیت ها برای انجام عملیات های مخرب مختلف طراحی و ساخته شده اند و هر کدام قابلیت های خاص خود را دارند. کارشناسان امنیتی روت کیت ها را به گروه های زیر دسته بندی کرده اند:
روت کیت کرنل: روت کیت هایی که برای دستکاری سیستم و فایل های سیستم عامل حیاتی طراحی شده اند و می توانند کدهای مخرب را در ساختار داده کرنل سیستم عامل وارد کنند. در چنین مواردی، آنتی ویروس ها هرگز رویدادهای مشکوک را شناسایی نمی کنند. متأسفانه، اگر روت کیت کرنل ها باگ شوند، عملکرد سیستم به طور ناخواسته تغییر می کند و در بیشتر موارد مجبور به تعویض سیستم عامل خواهید شد.
روت کیت سختافزاری: این گروه از روت کیت ها مستقیماً سخت افزار MiddleWare را هدف قرار می دهند. به عنوان مثال، یک آسیب پذیری شناسایی شده توسط محقق امنیتی کریستوفر دوماس نشان داد که پردازنده های اینتل به مدت ۱۸ سال به آسیب پذیری آلوده شده بودند که به هکرها اجازه می داد کنترل سیستم CPU را در دست بگیرند، UEFI را پاک کنند و سپس روت کیت را اجرا کنند. میان افزار سیستم (Firmware) را نصب کرد. این آسیب پذیری در پردازنده های Intel x86 شناسایی شد.
روت کیت هایپروایزر:روت کیتهای ناظر ارشد یا همان Hypervisor که روت کیت مجازی نیز نامیده میشوند، نسخه تکامل یافته روت کیتها هستند که از فناوریهای نوین برای آلودگی و پنهانسازی استفاده میکنند. این روت کیتها عمدتا در ارتباط با ایمیجها و مکانیزمهای داکر و کوبرنتیس فعالیت دارند و قادر هستند کنترل کامل یک ماشین مجازی را به دست گیرند.
روت کیت بارگذاریکننده: روت کیت BootLoader هنگام ورود به سیستم، رکورد اصلی بوت کامپیوتر (MBR) را آلوده می کند که نحوه بارگیری سیستم عامل را تعیین می کند. گاهی اوقات ضبط صدا (VBR) را نیز آلوده می کند. با توجه به اینکه روت کیت فوق در رکورد بوت دیسک قرار دارد، در سیستم فایل سیستم عامل ظاهر نمی شود و شناسایی و حذف آنتی ویروس ها مشکل است. به طور کلی، هرگونه تلاش برای حذف روت کیت بوت لودر باعث از کار افتادن سیستم عامل یا سخت افزار می شود.
روت کیت RAM: روت کیت RAM از مکانیزم مقیم در حافظه استفاده میکند و تنها منابع آزاد در دسترس برنامهها را مصرف میکند.
روت کیت برنامه کاربردی: سادهترین نوع روت کیتها است که شناسایی آن ساده است، زیرا از رویکرد استتار در قالب فایلهای سیستمی یا برنامههای کاربردی استفاده میکند و در نتیجه ضدویروسها قادر به شناسایی و حذف آن هستند.
1 دیدگاه