روت کیت چیست؟ شناسایی و مقابله با روت کیت

2 آبان 1401
9:08 ق.ظ

بدافزار

روت کیت چیست؟

روت کیت نرم‌افزاری است که توسط مجرمان سایبری جهت کنترل سیستم یا شبکه مورد نظر مورد استفاده قرار می‌گیرد. روت کیت ها گاهی اوقات می‌توانند به‌عنوان یک نرم‌افزار منفرد بکار گرفته شوند اما اغلب از مجموعه‌ای از ابزارهایی تشکیل شده‌اند که به هکرها امکان کنترل دستگاه مورد نظر را در سطح سرپرست (Admin) می‌دهند.

معنی روت کیت (Rootkit) چیست؟ روت کیت (Rootkit) از دو کلمه روت و کیت تشکیل شده است، در سیستم عامل های لینوکسی و یونیکسی روت (Root) یک حساب کاربری با بالاترین سطح دسترسی است و کیت به معنای مجموعه ای از ابزارهاست.

روت کیت چگونه کار میکند؟

روت کیت (Rootkit) نوعی بدافزار است که برای دستیابی و کنترل دستگاه مورد نظر توسط هکرها طراحی شده است. اگرچه اکثر روت‌ کیت ها بر روی نرم‌افزار و سیستم‌عامل تأثیر می‌گذارند، برخی نیز می‌توانند سخت‌افزار و ثابت‌افزار (Firmware) کامپیوتر شما را آلوده کنند. روت کیت ها در پنهان کردن حضور خود مهارت دارند، گرچه علی‌رغم پنهان ماندن، همچنان فعال هستند.
پس از دسترسی غیرمجاز روت کیت ها به کامپیوترها، تبهکاران سایبری قادر هستند تا داده‌های شخصی و اطلاعات مالی را به سرقت ببرند، بدافزار نصب کنند یا از رایانه‌ها به عنوان بخشی از یک شبکه مخرب (Botnet) برای پخش هرزنامه (Spam) و شرکت در حملات«ازکاراندازی توزیع‌شده سرویس» (Distributed Denial of Service – به اختصار DDoS) استفاده کنند.
عنوان «روت کیت» از سیستم‌های‌عامل Unix و Linux که ممتازترین حساب کاربری (Admin) در آنها «روت» (Root) نامیده می‌شود، گرفته شده است. برنامه‌هایی که اجازه دسترسی غیرمجاز به روت یا دسترسی Admin را به دستگاه می‌دهند «کیت» (Kit) نامیده می‌شوند.

همچنین بخوانید: انواع آسیب پذیری‌های امنیتی شبکه

هکرها به روش‌های مختلفی روت کیت ها را بر روی دستگاه‌های مورد نظر خود نصب می‌کنند:

رایج‌ترین این روش‌ها فیشینگ (Phishing) یا نوع دیگری از حملات مهندسی اجتماعی است. قربانیان ناآگاهانه بدافزاری را که در سایر پروسه‌های در حال اجرای سیستم قربانی، پنهان شده، دانلود و نصب می‌کنند. این بدافزار بر روی کامپیوتر قربانی پنهان می‌شود و تقریباً برای هکرها قابلیت کنترل تمام جنبه‌های سیستم عامل را فراهم می‌کند.

روش دیگر نصب روت کیت، بهره‌جویی از یک آسیب‌پذیری (یعنی سوءاستفاده از یک ضعف امنیتی در نرم‌افزار یا سیستم‌عاملی که به‌روزرسانی نشده) و نفوذ روت‌کیت به دستگاه قربانی می‌باشد.

بدافزار همچنین می‌تواند در فایل‌های دیگری نظیر فایل‌های PDF آلوده، رسانه‌های جعلی یا برنامه‌های دانلود شده از فروشگاه‌های ثالث مشکوک پنهان شود.

روت کیت ها در نزدیکی یا درون هسته (Kernel) سیستم‌عامل کار می‌کنند که این امر به آن‌ها توانایی شروع اجرای فرامین را در کامپیوتر می‌دهد. هر آنچه که دارای سیستم‌عامل است، هدفی بالقوه برای یک روت‌کیت است؛ با گسترش اینترنت اشیا (Internet of Things – به اختصار IoT)، ممکن است مواردی مانند یخچال یا ترموستات شما را نیز در برگیرد.
روت کیت ها می‌توانند کی‌لاگرها (Keylogger) را نیز پنهان کنند. کی‌لاگرها بدون اطلاع شما، کلیدهای فشرده شده در صفحه کلید را ضبط می‌کنند. این باعث می‌شود مجرمان سایبری به راحتی اطلاعات شخصی شما همچون کارت اعتباری یا جزئیات بانکی حساب‌ها را به صورت آنلاین سرقت کنند. مهاجمان با بکارگیری روت‌کیت‌ها می‌توانند از کامپیوتر شما برای راه‌اندازی حملات DDoS یا ارسال ایمیل‌های هرزنامه استفاده کنند. آنها حتی می‌توانند محصولات امنیتی را در سیستم غیرفعال یا حذف کنند.
برخی از روت کیت ها برای مقاصد و اهداف معتبر و قانونی استفاده می‌شوند برای مثال، ارائه پشتیبانی از راه دور در زمینه فناوری اطلاعات یا کمک به اجرای قوانین و مقررات وضع شده. با این وجود بیشتر آنها برای اهداف مخرب بکار گرفته می‌شوند. چیزی که روت‌کیت‌ها را بسیار خطرناک‌تر می‌کند، اشکال مختلف بدافزارهایی است که می‌توانند بکار بگیرند. این بدافزارها قادر هستند سیستم‌عامل کامپیوتر را دستکاری کنند و برای کاربران راه دور دسترسی ادمین (Admin) را فراهم کنند.

انواع روت کیت ها

1) روت کیت سخت‌افزاری یا ثابت‌افزاری

روت کیت های سخت‌افزاری یا ثابت‌افزاری (Hardware or firmware rootkit) می‌توانند بر روی دیسک‌سخت (Hard drive)، روتر (Router) یا BIOS سیستم شما که نرم‌افزاری بر روی یک تراشه کوچک (Memory chip) است و بر روی برد اصلی (Motherboard) کامپیوتر شما قرار دارد، تأثیر بگذارند. آنها به جای هدف قرار دادن سیستم‌عامل دستگاه شما، سیستم‌عامل را برای نصب بدافزار بکار می‌گیرند که تشخیص آن را بسیار دشوار می‌کند. از آنجایی که آنها بر سخت‌افزار تأثیر می‌گذارند، به هکرها اجازه می‌دهند تا کلیدهای فشرده شده صفحه کلید شما را ثبت کنند و همچنین فعالیت‌های آنلاین را رصد نمایند. اگرچه روت‌کیت سخت‌افزاری یا ثابت‌افزاری نسبت به انواع دیگر کمتر رایج است، تهدیدی جدی برای امنیت در حالت آنلاین به شمار می‌رود.

2) روت کیت بوت لودر

بوت‌لودر (Bootloader) مسئول بارگذاری سیستم‌عامل بر روی کامپیوتر است. روت کیت های بوت‌لودر با حمله به سیستم، بوت‌لودر معتبر کامپیوتر شما را با یک بوت لودر آلوده شده جایگزین می‌کنند. این موجب فعالسازی روت‌کیت حتی قبل از بارگیری کامل سیستم‌عامل کامپیوتر می‌شود.

3) روت کیت حافظه

روت کیت های حافظه (Memory rootkit) در RAM (Random Access Memory) کامپیوتر شما پنهان می‌شوند و از منابع کامپیوتر برای انجام فعالیت‌های مخرب در پس‌زمینه استفاده می‌کنند. از این رو روت‌کیت‌های حافظه بر عملکرد RAM کامپیوتر تأثیر ‌می‌گذارند. از آنجایی که روت‌کیت‌های حافظه فقط در RAM کامپیوتر مستقر می‌شوند و کد مخرب را به صورت دائمی تزریق نمی‌کنند، به محض راه‌اندازی مجدد سیستم ناپدید می‌شوند؛ اگرچه گاهی اوقات برای خلاص شدن از آنها اقدامات بیشتری مورد نیاز است. طول عمر کوتاه روت‌کیت‌های حافظه به این معنی است که آنها به عنوان تهدیدی قابل توجه تلقی نمی‌شوند.

4) روت کیت برنامه

روت کیت های برنامه (Application rootkit) فایل‌های استاندارد کامپیوتر را با فایل‌های روت‌کیت جایگزین نموده و حتی ممکن است نحوه کار برنامه‌های استاندارد را نیز تغییر دهند. این روت‌کیت‌ها نرم‌افزارهایی نظیر Microsoft Office، Notepad یا Paint را آلوده می‌کنند لذا با هر بار اجرای این برنامه‌ها، مهاجمان می‌توانند به کامپیوتر شما دسترسی پیدا کنند. از آنجایی که برنامه‌های آلوده هنوز به طور عادی اجرا می‌شوند، شناسایی روت‌کیت‌ها برای کاربران بسیار دشوار است اما محصولات ضدویروس می‌توانند آنها را شناسایی کنند زیرا هر دو در لایه برنامه (Application layer) کار می‌کنند.

5) روت کیت هسته

روت کیت های هسته (Kernel mode rootkit) یکی از شدیدترین انواع این تهدیدات هستند زیرا هسته سیستم‌عامل (یعنی سطح هسته) را مورد هدف قرار می‌دهند. هکرها از این نوع روت‌کیت‌ها نه تنها برای دسترسی به فایل‌های موجود در کامپیوتر استفاده می‌کنند بلکه با افزودن کد مخرب، کارایی سیستم‌عامل را نیز تحت تاثیر می‌دهند.

6) روت کیت مجازی

روت کیت مجازی (Virtual rootkit) خود را در سطح پایین‌تر سیستم‌عامل کامپیوتر بارگذاری می‌کند. سپس سیستم‌های‌عامل مورد نظر را به عنوان یک ماشین مجازی میزبانی نموده و به آنها اجازه می‌دهد تا کلیه فراخوان‌های سخت‌افزاری از جانب سیستم‌عامل اصلی را رهگیری کند. این نوع روت‌کیت‌ نیازی به تغییر هسته جهت ازکاراندازی سیستم عامل ندارد و تشخیص آن بسیار دشوار است.

معروف ترین حملات روت کیت در دنیا

Stuxnet

یکی از معروفترین روت‌کیت‌های تاریخ، استاکس‌نت (Stuxnet) است، یک کرم کامپیوتری مخرب که در سال 2010 کشف شد و گمان می‌رود که از سال 2005 در حال توسعه بوده است. به طور گسترده اعتقاد بر این است که این روت‌کیت به عنوانی سلاحی سایبری در تلاشی مشترک توسط ایالات متحده و اسرائیل تحت عنوان بازی‌های المپیک ساخته شده است. اگرچه هیچ یک از دو کشور مسئولیت آن را نپذیرفتند.

نمونه‌های دیگر از روت‌کیت‌ها عبارتند از:

Flame

در سال 2012، کارشناسان امنیت سایبری، روت‌کیت فِلِیم (Flame) را که عمدتاً برای جاسوسی سایبری در خاورمیانه بکار گرفته شده بود، شناسایی کردند. Flame که به نام‌های Flamer، sKyWIper و Skywiper نیز شناخته می‌شود، بر کل سیستم‌عامل کامپیوتر تأثیر می‌گذارد و توانایی نظارت بر ترافیک، گرفتن عکس از صفحه نمایش (Screenshot)، ضبط صدا و ثبت کلیدهای فشرده شده صفحه کلید (Keystroke) دستگاه را برای مهاجم امکان‌پذیر می‌نماید. هکرهای سازنده Flame شناسایی نشدند اما تحقیقات نشان می‌دهد که آنها از 80 سرور در سه قاره برای دسترسی به کامپیوترهای هک شده استفاده کرده‌اند.

Necurs

در سال 2012، بات‌نت نکروس (Necurs) به صورت یک روت‌کیت طراحی شد و طبق گزارش‌ها در آن سال در 83 هزار حمله شناسایی و بکار گرفته شد. Necurs که آن را با مجرمان سایبری نخبه در اروپای شرقی مرتبط می‌دانند، به دلیل پیچیدگی فنی و قابلیت تکامل خود، بسیار متمایز است.

ZeroAccess

در سال 2011، کارشناسان امنیت سایبری روت‌کیت زیرو اَکسِس (ZeroAccess) را که یک روت‌کیت هسته است و بیش از 2 میلیون کامپیوتر را در سراسر جهان آلوده کرد، شناسایی کردند. این روت کیت به جای اینکه مستقیماً بر کارایی کامپیوتر هک شده تأثیر گذارد، بدافزار را روی دستگاه آلوده دانلود و نصب می‌کند و آن را به بخشی از یک بات‌نت (شبکه مخرب) جهانی تبدیل می‌کند که توسط هکرها برای انجام حملات سایبری مورد استفاده قرار می‌گیرد. روت‌کیت ZeroAccess همچنان امروزه فعال و توسط مهاجمان در حال استفاده می‌باشد.

TDSS

در سال 2008، روت‌کیت تی‌دی‌اس‌اس (TDSS) برای اولین بار شناسایی شد. این روت‌کیت شبیه به روت‌کیت‌های بوت‌لودر است زیرا در مراحل اولیه راه‌اندازی سیستم‌عامل، اجرا می‌شود لذا شناسایی و پاکسازی آن به چالشی بزرگ تبدیل شده است.

نحوه شناسایی روت کیت ها

تشخیص وجود روت کیت در کامپیوتر بسیار دشوار است زیرا این نوع بدافزار برای مخفی ماندن طراحی شده است. روت کیت ها همچنین می‌توانند راهکارهای امنیتی را غیرفعال کنند که این نیز فرایند تشخیص آنها را سخت‌تر می‌کند. در نتیجه، بدافزار rootkit می‌تواند برای مدت طولانی در کامپیوتر شما به صورت ناشناخته باقی بماند و باعث آسیب قابل توجهی شود.
علائم احتمالی وجود بدافزار rootkit در سیستم عبارتند از:

1) صفحه آبی

حجم زیادی از پیام‌های خطای Windows دارای صفحه‌های آبی با متن سفید می‌باشد – موسوم به «صفحه آبی مرگبار» (Blue Screen of Death – که در این حالت کامپیوتر شما دائماً نیاز به راه‌اندازی مجدد دارد.

2) رفتار غیر معمول مرورگر وب

رفتارهای غیرمعمول می‌تواند شامل افزودن Bookmark ناشناخته یا تغییر مسیر پیوند (Link redirection) باشد.

3) عملکرد کند سیستم

مدت زمان شروع به کار سیسستم شما ممکن است کمی کند باشد و سیستم به کندی کار کند یا حتی گاهی به اصطلاح منجمد (Freeze) شود. همچنین ممکن است به دستگاه‌های ورودی همچون ماوس (Mouse) یا صفحه کلید (Keyboard) هیچ گونه پاسخی ندهد.

4) تغییر تنظیمات Windows بدون اجازه

تنظیماتی نظیر تغییر محافظ صفحه‌نمایش (Screensaver)، پنهان شدن نوار وظیفه (Taskbar) یا نمایش تاریخ و زمان نادرست بدون اینکه فرمان آن توسط کاربر داده شده باشد یا کاربر در تغییر آنها دخیل باشد.

5) درست کار نکردن صفحات وب

صفحات وب یا فعالیت‌های شبکه ممکن است قطع و وصل شود یا به دلیل ترافیک بیش از حد شبکه به درستی کار نکند. بکارگیری محصولات ضدویروس بهترین گزینه برای تشخیص آلودگی و پویش روت کیت است. اگر به آلودگی سیستم توسط بدافزارهای rootkit مشکوک هستید، یکی از راه‌های تشخیص آلودگی، خاموش کردن کامپیوتر و پویش از یک سیستم فاقد هر گونه آلودگی است.

تحلیل رفتاری (Behavioral analysis) روش دیگری برای شناسایی روت کیت است. این بدان معناست که به جای جستجوی روت کیت به دنبال شناسایی رفتارهایی شبیه به روت‌کیت باشید. با این که پویش‌های هدفمند به خوبی کار می‌کنند چنانچه می‌بینید که سیستم به صورت غیرعادی کار می‌کند، تحلیل رفتاری موجب می‌شود قبل از اینکه مورد حمله قرار بگیرید، نسبت به وجود یک روت‎کیت مطلع شوید.

حذف روت کیت

حذف روت کیت پروسه بسیار پیچیده‌ای است و معمولاً به ابزارهای تخصصی نظیر ابزار Kaspersky TDSSKiller نیاز دارد که می‌تواند روت کیت TDSS را شناسایی و سیستم را از آن پاکسازی کند. گاهی اوقات تنها راه برای حذف کامل یک روت‌کیت که به خوبی پنهان شده، تعویض سیستم‌عامل کامپیوتر و نصب دوباره آن است.

نحوه حذف روت کیت از Windows

در Windows، حذف روت کیت معمولاً شامل پویش سیستم است. در صورت وجود آلودگی عمیق، تنها راه حذف روت کیت، نصب مجدد سیستم‌عامل Windows است. بهتر است به جای استفاده از نصب کننده داخلی Windows (Built-in Windows installer)، این کار را از طریق یک رسانه خارجی انجام دهید. برخی روت کیت ها اقدام به آلوده‌سازی BIOS می‌کنند که در این صورت رفع آن نیاز به اصلاح BIOS دارد. اگر بعد از پاکسازی همچنان سیستم به روت‌کیت آلوده باشد، ممکن است نیاز به خرید یک کامپیوتر جدید باشد.

نحوه حذف روت کیت از Mac

در سیستم‌های Mac، همواره سیستم را با نسخه‌های جدید، به‌روز نگه دارید. به‌روزرسانی‌های Mac فقط ویژگی‌های جدیدی را اضافه نمی‌کنند، بلکه بدافزارها از جمله روت کیت ها را نیز حذف می‌کنند. Apple دارای قابلیت‌های امنیتی تعبیه شده‌ای (Built-in security features) جهت محافظت در برابر بدافزارها است. با این حال، هیچ ابزار شناسایی روت‌کیتی به صورت اختصاصی در macOS وجود ندارد. بنابراین اگر به وجود روت‌کیت در دستگاه خود مشکوک هستید، باید macOS را دوباره نصب کنید. با انجام این کار اکثر بدافزارها و روت کیت ها از دستگاه شما حذف می‌شوند. همانطور که در بالا ذکر شد، اگر روت کیت، BIOS را آلوده کرده باشد، به منظور رفع آن نیاز به پاکسازی BIOS دارید و اگر همچنان روت کیت باقی مانده باشد، ممکن است نیاز به خرید یک دستگاه جدید باشد.

پیشگیری از حملات روت کیت

از آنجایی که روت کیت ها می‌توانند خطرناک و شناسایی آن‌ها دشوار باشد، ضروری است که هنگام مرور اینترنت یا دانلود برنامه‌ها مراقب باشید. بسیاری از اقدامات محافظتی زیر مشابه آنچه که برای جلوگیری از ویروس‌ها انجام می‌گیرد، در به حداقل رساندن خطر روت‌کیت‌ها نیز بسیار کمک‌کننده می‌باشند:

1) بکارگیری راهکار جامع امنیت سایبری

همواره در جهت ایمن‌سازی دستگاه‌های خود بکوشید و یک محصول ضدویروس جامع و پیشرفته را بر روی سیستم خود نصب کنید.

2) اعمال به‌روزرسانی به صورت مستمر

به‌روزرسانی مداوم نرم‌افزار برای ایمن ماندن و جلوگیری از آلوده شدن به بدافزار ضروری است. تمامی برنامه‌ها و سیستم‌های عامل خود را به‌روز نگه دارید تا از آن دسته از حملات روت کیت که از ضعف‌های امنیتی سوءاستفاده می‌کنند، جلوگیری شود.

3) هوشیار بودن نسبت به حملات فیشینگ

فیشینگ (Phishing) نوعی حمله مهندسی اجتماعی است که در آن کلاهبرداران از ایمیل به منظور فریب کاربران استفاده نموده تا به اطلاعات مالی آنها دست یابند یا نرم‌افزارهای مخربی نظیر روت کیت ها را دانلود کنند. برای جلوگیری از نفوذ روت کیت ها به کامپیوتر، از باز کردن ایمیل‌های مشکوک خودداری نمایید به خصوص اگر فرستنده ایمیل برای شما ناآشنا باشد. همچنین اگر مطمئن نیستید که لینک معتبر است، از کلیک بر روی آن بپرهیزید.

4) دانلود فایل‌ها تنها از منابع معتبر

هنگام باز کردن فایل‌های پیوست مراقب باشید و از باز کردن پیوست‌های ایمیل افرادی که نمی‌شناسید اکیداً خودداری کنید تا از نصب روت کیت بر روی کامپیوتر شما پیشگیری شود. دانلود نرم‌افزار تنها از سایت‌های معتبر صورت گیرد. هشدارهای مرورگر وب خود در خصوص ناامن بودن سایتی که می‌خواهید از آن بازدید کنید را جدی بگیرید.

5) تحلیل رفتار و هوشیار بودن نسبت به کارایی کامپیوتر

مشکلات رفتاری و اختلال در عملکرد و کارایی سیستم می‌تواند نشان دهنده این باشد که یک روت کیت به سیستم نفوذ کرده است. نسبت به تغییرات غیرمنتظره هوشیار باشید و سعی کنید علت وقوع این گونه رویدادها را بیابید.

روت کیت ها یکی از چالش‌برانگیزترین انواع بدافزارها در شناسایی و پاکسازی هستند. از آنجا که تشخیص آنها دشوار است، پیشگیری از آنها اغلب خود بهترین راهکار حفاظتی است. جهت اطمینان از محافظت مستمر، به یادگیری در خصوص آخرین تهدیدات امنیت سایبری و نحوه مقابله با آنها ادامه دهید.

منبع: کسپرسکی