پیش بینی ایجاد موجی جدید از روتكیت ها با هدف قراردادن سیستم های 64 بیتی
ایتنا- روتكیتها برنامههای مخربی هستند كه برای پنهان كردن سایر برنامههای مخرب و فعالیت آنها از دید كابران طراحی شدهاند.
به گزارش شركت مكآفی پس از یك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه های rootkit های جدید در سه ماهه اول سال جاری افزایش قابل توجهی داشته است و به آمار سال ۲۰۱۱ نزدیك گردیده است.
به گزارش ایتنا از مرکز ماهر، افزایش ناگهانی روت كیت ها مربوط به روت كیت هایی بوده كه سیستم های ویندوز ۳۲ بیتی را هدف قرارداده بود با این حال، روت كیت های جدید طراحی شده برای سیستم های ۶۴ بیتی به احتمال زیاد به افزایش این نوع از حمله در آینده منجر می شوند.
روتكیتها برنامههای مخربی هستند كه برای پنهان كردن سایر برنامه های مخرب و فعالیت آنها از دید كابران طراحی شده اند. آنها به طور معمول در داخل هسته سیستم عامل با بالاترین حق دسترسی سیستم اجرا می شوند و حذف و تشخیص آنها به سختی برای محصولات امنیتی امكان پذیراست.
محققان مك آفی بر این باورند كه كاهش در تعداد نمونه روت كیت های جدید مشاهده شده در طول ۲۰۱۲ و ۲۰۱۳ را می توان به رشد به روزرسانی روتكیتها به نسخه های ۶۴ بیتی برای مقابله با تدابیر امنیتی از جمله PatchGuard و اجرای امضای دیجیتالی درایورها مرتبط دانست كه موجب افزایش هزینه تولید روتكیت برای سیستم عامل های ۶۴ بیتی میگردد.
با این حال با رشد استفاده از سیستم های ۶۴ بیتی انگیزه جهت سرمایه گذاری بیشتر برای دور زدن ابزارهای دفاعی آنها بیشتر شده است. قابلیت های امنیتی قرارداده شده در سیستم های ۶۴ بیتی برای مهاجمان سازمان یافته تنها حكم سرعت گیر را دارد كه به زودی از آن عبور خواهند نمود.
یكی از تكنیك های سواستفاده از آسیب پذیری های سیستم های ۶۴ بیتی میتواند نصب یك سخت افزار یا نرم افزار با درایور دارای امضای دیجیتال و سپس سعی در دسترسی به كرنل باشد.
یكی از این نوع روتكیت ها Uroburos نام دارد كه یك روتكیت پیچیده است كه در ماه فوریه سال جاری كشف شده كه در حملات جاسوسی اطلاعات با نصب نسخه های قدیمی درایور VirtualBox دارای امضای دیجیتال استفاده شده است. در این نوع حمله پس از سوء استفاده از آسیب پذیری، افزایش سطح دسترسی صورت می گیرد.
یكی دیگر از روش معمول برای حمله به سیستم های ۶۴ بیتی، سرقت گواهینامه های امضای دیجیتال از شركت های معتبر و استفاده از آنها در كد های مخرب جهت عدم شناسایی میباشد. از ژانویه ۲۰۱۲ حداقل در ۲۱ نمونه روتكیت ۶۴ بیتی منحصر به فرد گواهی های به سرقت رفته استفاده شده است.
نرم افزار مخرب W64/Winnti حداقل پنج كلید خصوصی از فروشندگان قانونی به سرقت برده و در نصب روتكیت های خود بر روی سیستم های ۶۴ بیتی از سال ۲۰۱۲ استفاده نموده است. از این پنج كلید حداقل دو كلید ابطال نشده و ممكن است برای اهداف نا مشروع و مخرب درحال استفاده باشد.
طی سال جاری تعداد برنامه های مخرب دارای امضا دیجیتالی به طور كلی رو به افزایش بوده است. در حال حاضر بیش از ۲۵ میلیون نمونه شناخته شده از نرم افزارهای مخرب دیجیتالی امضا شده، كه بیش از ۲.۵ میلیون از این نرم افزارها در سه ماهه اول سال جاری كشف شده اند.
راه دیگر برای دور زدن تدابیر دفاعی سیستم های ۶۴ بیتی توسط روتكیت ها، بهره برداری از آسیب پذیری افزایش سطح دسترسی كشف شده در هسته ویندوز بوده كه تعداد این نقص ها در چند سال گذشته رو به افزایش می باشد.
پژوهشگران در حال توسعه ابزار هدفمند بررسی شرایط رقابتی مانند “Double Fetch” برای پیدا كردن نقص در كد هسته می باشند. به گفته آنها، موج جدیدی از حملات روتكیت ها در برابر سیستم های ۶۴ بیتی با استفاده از تعداد فزاینده ای از آسیب پذیری ها درراه است.
یك كلاس خاص از روتكیت ها به نام bootkits می باشد كه كدهای مخرب را در مستر بوت ركورد سیستم در اولین بخش ۵۱۲ بایت از هارد دیسك كپی میكند كه به طور معمول شامل كد های بوت لودر سیستم عامل میباشد.
اجرای كد MBR قبل از هسته سیستم عامل آغاز می گردد، بنابراین كد های مخرب ذخیره شده می توانند پیش از اجرای هر برنامه امنیتی نصب شده در سیستم عامل اجرا شوند.
در طول سه ماهه اول سال جاری نسبت به سه ماهه اول دو سال گذشته بیش از ۹۰۰.۰۰۰ از انواع نرم افزارهای مخرب جدید را با MBR Payload كشف و شناسایی شده است. از نظر شركت مك آفی تعداد نرم افزار های مخرب آلوده ساز MBR بیش از ۶ میلیون می باشد.
یكی از راهكارهای مقابله با این نوع حملات استفاده از قابلیت بوت امن با جایگزینی UEFI، Unified Extensible Firmware Interface ، با Bios در كامپیوتر های جدید جهت جلوگیری از نصب و راه اندازی Bootkit می باشد.
UEFI كدهای بوت را با یك لیست سفید از كدهای تایید شده و دارای امضای دیجیتال چك می كند و در صورت عدم مغایرت اجازه بوت شدن سیستم عامل را می دهد.
اگر چه در سال گذشته محققان امنیتی آسیبپذیریهای متعدد در پیاده سازی UEFI یافته اند كه می توان از طریق آنها نسبت به غیر فعال كردن بوت امن اقدام نمود.