rootkit چیست ؟ روش حذف rootkit

روت کیت چیست ؟ روش حذف این بدافزار

روت کیت برنامه یا مجموعه ای از ابزارهای نرم افزاری است که کنترل و دسترسی به سیستم و کامپیوتر شما را از راه دور به مهاجمان اینترنتی می دهد. با وجود اینکه این نوع نرم افزارها برای استفاده قانونی مانند پشتیبانی کاربران مورد استفاده قرار می گیرد ولی اغلب روت کیت ها ابزاری در اختیار هکرها هستند تا راهی برای ورود بدافزار به سیستم قربانیان خود باز کنند. این بدافزارها می توانند ویروس ، باج افزار ، برنامه های کی لاگر و انواع دیگر برنامه های مخرب باشند که امنیت شبکه را به خطر می اندازند. روت کیت ها اغلب تلاش می کنند تا خود را از آنتی ویروس ها مخفی نگه دارند و توسط آنها شناسایی نشوند.

 

روت کیت می تواند از راه های مختلفی برروی سیستم قربانی نصب شود. این روش ها مانند حملات فیشینگ و روش های مهندسی اجتماعی یا فریب کاربران برای نصب یک روتکیت برروی سیستم آنها می باشند. به محض اینکه روت کیت برروی کامپیوتر قربانی نصب شد کنترل و دسترسی کامل به تقریبا تمام منابع سیستم را در اختیار مهاجمان سایبری و هکرها می دهد. نرم افزارهای قدیمی آنتی ویروس اغلب برای شناسایی این روت کیت ها دچار مشکل می شوند ولی انواع نوین آنتی ویروس ها مانند آنتی ویروس اف سکیور و کسپرسکی توانایی اسکن و حذف روت کیت های مخفی شده در سیستم را دارند.

روت کیت ها چگونه کار می کنند

از آنجایی که روت کیت ها نمی توانند خودشان منتشر شوند نیاز دارند تا از روش های مخفیانه برای آلوده کردن کامپیوترها استفاده کنند. معمولا روت کیت ها توسط نرم افزارهایی که به ظاهر قانونی هستند وارد کامپیوتر شما می شوند. همچنین آنها توسط نرم افزارهای کرک شده که به صورت رایگان در اختیا کاربران قرار می گیرد وارد کامپیوتر آنها می شوند.

زمانی که کاربر ناخواسته برای برنامه روت کیت اجازه صادر می کند، روتکیت خود را به صورت مخفیانه نصب می کند و خود را تا زمانی که هکر به آن نیاز داشته باشد مخفی نگه می دارد. روت کیت ها حاوی بدافزار هستند. برای مثال ممکن است دارای بدافزاری باشند که اطلاعات بانکی یا کلمه های عبور را به سرقت می برد، یا ممکن است حاوی کی لاگر باشد. برخی نیز دارای بدافزارهای از کار انداختن آنتی ویروس یا بات برای حملات DDoS می باشند.

روتکیت ها معمولا از طریق وکتورهای مشابه با بقیه نرم افزارهای مخرب نصب می شوند. این روش ها مانند ایمیل های فیشینگ، فایل های متصل به نرم افزارهای کرک، فایل های PDF، فایل های Word و وب سایت های مخرب و آلوده.

نشانه های آلوده بودن به روت کیت

یکی از اهداف اصلی روت کیت اجتناب از شناخته شدن توسط نرم افزارها و سخت افزارهای امنیتی است. این بدین معنی است که نشانه های خیلی واضحی از آلوده بودن به روت کیت وجود نخواهد داشت.

یکی از نشانه های معمول آلوده بودن به روت کیت متوقف شدن نرم افزار آنتی ویروس است. روت کیت ها می توانند یک نرم افزار ضد بدافزار را متوقف کنند و این نشانه ای از وجود آنها است.

یکی دیگر از علائم آلوده بودن به روت کیت زمانی مشاهده می شود که تنظیمات ویندوز بدون دخالت کاربر تغییر می کنند. بعضی اوقات این تغییرات واضح و عجیب هستند، مانند تغییر بک گراند ویندوز یا ابزار وظایف.

از دیگر علایم وجود روتکیت در سیستم می توان به کاهش سرعت عملکرد CPU یا جستجوگر اینترنت نیز اشاره کرد که هر کدام می توانند گویای وجود روتکیت در کامپیوتر شما باشد.

انواع روت کیت ها

انواع مختلفی از روتکیت ها وجود دارند که برمبنای نوع آلودگی، عملکرد، مقاومت و سیستم هدف تقسیم بندی می شوند.

نوع هسته ای روتکیت برای تغییر عملکرد سیستم عامل طراحی شده است. این مدل معمولا کدهای خودش را برروی هسته سیستم عامل اضافه می کند و به همین دلیل به آن مدل هسته یا هسته ای می گویند. اغلب این نوع روتکیت ها از این قابلیت سیستم عامل که به درایورهای دستگاه ها اجازه دسترسی با اولویت می دهند استفاده می کنند تا به هسته سیستم عامل نفوذ کنند. بنابراین آنها به پکیج های درایورها یا ماژول ها تبدیل می شوند و اینگونه از شناسایی توسط آنتی ویروس ها نیز در امان می مانند.

روت کیت مدل کاربر یا اپلیکیشن یکی دیگر از انواع روتکیت ها است که فعالیتش همانند نرم افزارهای کاربردی دیگر است. برای مثال ممکن است که در “سیستم استارت آپ” اجرا شود یا اینکه توسط یک Dropper در سیستم تزریق شود. روش بستگی به سیستم عامل دارد. برای مثال روتکیت ویندوز معمولا تلاش می کند تا عملکرد Windows Dynamic link Library Files را دستکاری کند، اما در سیستم عامل لینوکس کل یک اپلیکیشن ممکن است که توسط روت کیت جایگزین شود.

نوع دیگر آنها، بوتکیت است که مستر بوت یک درایو سخت یا هرگونه دستگاه ذخیره ساز که به سیستم متصل می شود را آلوده می کند. بوتکیت ها قادرند فرایند بوت را مختل کنند و کنترل سیستم را بعد از انجام بوت در اختیار بگیرند. این نوع روت کیت ها برای حمله به سیستم ها برای رمزنگاری کل دیسک مورد استفاده قرار می گیرند.

روت کیت های Firmware با مخفی شدن در نرم افزارهای دستگاه ها و نصب خود برروی ایمیج های دستگاه هایی مانند کارت های شبکه ، بایوس ها، روترها و دیگر دستگاه های مشابه باعث آلودگی می شوند.

اغلب انواع آلودگی های روت کیت ها می توانند طولانی مدت بروی سیستم باقی بمانند، زیرا آنها خودشان را برروی دستگاه های ذخیره ساز به صورت دائمی نصب می کنند. اما روت کیت های حافظه خود را برروی RAM کامپیوتر فعال می کنند. این نوع روتکیت ها که به آنها روت کیت های Memory گفته می شود تنها تا زمانی که رم کامپیوتر پاک سازی نشده است باقی می مانند و بعد از اینکه کامپیوتر دوباره روشن شود از بین می روند.

شناسایی و حذف روتکیت

همانگونه که قبلا نیز گفتیم روتکیت ها به گونه ای طراحی شده اند که به راحتی شناسایی نمی شوند و به همین دلیل حذف آنها ساده نیست. آنها همیشه تلاش می کنند تا خود را مخفی نگاه دارند تا از نرم افزارهای امنیتی مانند آنتی ویروس ها یا ادمین ها اجتناب کنند. اما زمانی که سیستمی را آلوده کنند ریسک امنیتی آن را به شدت بالا می برند.

نرم افزارهای آنتی ویروس قوی و مدرن که تکنولوژی های پیچیده ای استفاده می کنند قادر به شناسایی روتکیت ها هستند. برای مثال آنتی ویروس اف سکیور می گوید که تمام روت کیت ها را شناسایی می کند و کسپرسکی نیز چنین ادعایی دارد. همچنین نرم افزارهایی مخصوص روتکیت نیز وجود دارد که می توانند برای شناسایی روتکیت ها مورد استفاده قرار گیرند. اما نکته ای وجود دارد حذف روتکیت ها است.

همانگونه که گفته شد، اغلب روت کیت ها در سیستم عامل یا دیسک سخت ادغام می شوند و حذف آنها باعث می شود که به آنها آسیب وارد شود و در انجام وظایف دچار اختلال شوند. با این وجود نرم افزارهای امنیتی که قابلیت ضد روت کیت دارند می توانند آنها را شناسایی کنند و گاهی آنها را حذف کنند. ولی حذف کامل برخی از آنها بسیار دشوار است.

یکی از راه ها پاک کردن سیستم عامل و نصب دوباره آن است که به شما کمک می کند به صورت کامل از دست این بدافزار نجات پیدا کنید. پاک کردن بوتکیت ها نیازمند راه اندازی یک سیستم عامل امن برای دسترسی به ذخیره ساز دستگاه آلوده است.

روت کیت هایی که برروی حافظه هستند با دوباره روشن کردن از بین می روند ولی گاهی نیاز به این دارید تا منشا آن را حذف کنید که ممکن برروی شبکه داخلی شما باشد.

نوشته های مشابه