ايتنا - چگونه می‌توان روت‌کیت‌ها را حذف کرد؟

نزدیک به بیست سال است که روت کیت‌ها، این گونه‌های مخرب ایجاد شده اند و به مجرمان اجازه دسترسی و سرقت داده های قربانیان را می دهند.. به طور کلی روت کیت‌ها ابزارهای مخربی هستند که برای پنهان شدن در کامپیوترهای آلوده شده طراحی شده‌اند و به مجرمان اجازه می دهد که بتوانند سیستم را از راه دور مدیریت کنند. برای اطلاعات بیشتر در مورد روت کیت ها و طریقه مقابله با آن ها این مقاله را مطالعه بفرمایید.

روت‌کیت‌ها چه هستند؟
به گزارش سرویس اخبار امنیت از کسپرسکی آنلاین، روت‌کیت‌ها گونه‌ای از بدافزارها هستند که برای آلوده کردن یک کامپیوتر مورد استفاده قرار می گیرند و به مهاجم اجازه می‌دهند تا مجموعه‌ای از ابزارها که به آنها امکان دسترسی از راه دور را می‌دهد نصب کنند. این بدافزار عمدتا در اعماق سیستم قربانیان پنهان می شود و به گونه ای طراحی می‌شود که مقابل راهکارهای امنیتی و برنامهه‌ای ضدتروجان، جان سالم به در برد.

یک روت کیت ممکن است حاوی چندین ابزار مخرب همانند کی لاگر، سرقت برنده پسوردها، ماژولی برای سرقت کارت های اعتباری یا اطلاعات بانکی و البته یک ربات برای انجام حملات DDOS یا غیر فعال کننده عملکردهای نرم افزارهای امنیتی باشد! روت کیت ها عموما از درب پشتی اقدام به حمله می کنند تا بتوانند هر زمان که مایل بودند از راه دور به هر قسمت خاص از دستگاه آلوده قربانی اتصال برقرار کنند. برخی از نمونه های روت کیت مبتنی بر ویندوز TDSS, ZeroAccess, Alureon and Necurs بودند.

گونه‌های روت کیت
روت‌کیت‌ها به دو دسته تقسیم می شوند که عبارتند از user-mode و kernel-mode. روت کیت‌های User-mode برای اجرا در قسمت سیستم عامل کامپیوتر به عنوان برنامه های کاربردی طراحی شده اند. آنها رفتار مخرب خود را با ربودن فرایند برنامه های در حال اجرا بر روی سیستم و یا نوشتن حافظه‌ای که برنامه از آن استفاده می‌کند، اجرا می‌کنند.

این مورد شایع تر از نوع دوم است. اما روت کیت مدل Kernel-mode در پایین ترین سطح سیستم عامل اجرا می‌شود و مجموعه‌ای از قدرتمندترین امتیازات به مهاجم داده می‌شود. پس از نصب یک روت کیت Kernel-mode مهاجم کنترل کاملی از سیستم را به دست می گیرد و می‌تواند هر اقدامی را که خود انتخاب کند را انجام دهد.

روت‌کیت های Kernel-mode اغلب پیچیده تر از روت کیت‌های user-mode هستند و به همین دلیل است که کمتر رایج هستند. شناسایی روت کیت مدل دوم به مراتب سخت تر و حذف آن دشوارتر است.

روت‌کیت‌ها گونه‌های دیگری همانند bootkits دارند که برای تغییر دادن boot loader مورد استفاده قرار می گیرند. بوت کیت‌ها در پایین ترین سطح قبل از لود شدن سیستم عامل، اجرا می شوند. در چند سال اخیر گونه هایی از روت کیت‌های تلفن همراه برای حمله به گوشی های هوشمند به ویژه دستگاه‌های اندرویدی ایجاد شده‌اند. این روت کیت ها اغلب با یک برنامه مخرب از یک فروشگاه نرم افزاری یا شخص ثالث دانلود شده اند.

شیوه آلودگی
روت کیت‌ها با روش‌های مختلفی بر روی سیستم‌ها نصب می‌شوند اما شایع ترین آنها ویروس‌هایی است که از طریق اکسپلویت یک آسیب پذیری در سیستم عامل یا یک برنامه ی کاربردی در کامپیوتر اجرا می شوند. مجرمان آسیب پذیری های شناخته و ناشناخته را در سیستم عامل و برنامه های کاربردی مورد هدف قرار می دهند و با استفاده از کدهای اکسپلویت تلاش می کنند تا به جایگاه بالاتری در دستگاه قربانی پیدا کنند.

سپس آنها روت کیت را نصب می کنند و از راه دور به سیستم دسترسی پیدا می کنند. کد اکسپلویت شده برای یک اسیب پذیری خاص می تواند بر روی یک وب سایت قانونی که دچار الودگی شده است، میزبانی کند. آلودگی دیگر توسط روت کیت‌ها می تواند از طریق درایوهای USB باشد.

ممکن است مجرمان درایوهای USB را با روت کیت‌هایی که بر روی آن ها نصب شده اند در مکان هایی همانند کافی شاپ ها، جاهای عمومی و مکان های کنفرانس قرار دهند که قربانیان آن ها را بردارند. در برخی موارد ممکن است نصب یک روت کیت وابسته به آسیب پذیری های امنیتی نباشد و ممکن است به عنوان بخشی از یک نرم افزار قانونی یا از طریق USB وارد شود.

حذف روت‌کیت ها
تشخیص حضور یک روت کیت در سیستم می تواند کاری دشوار باشد زیرا که این بدافزار به منظور پنهان شدن و عدم تشخیص طراحی شده است. اما با این حال راه‌های زیادی برای جستجوی انواع شناخته و ناشناخته روت کیت‌ها از طریق روش های مختلفی مثل امضاها یا رویکردهای رفتاری در شناسایی روت کیت ها و یا جستحوی الگوهای شناختی وجود دارد. حذف روت کیت یک فرآیند پیچیده است و به طور معمول با ابزارهای تخصصی همانند TDSSKiller که متعلق به لابراتوار کسپرسکی است می توان روت کیت های TDSS را شناسایی و حذف نمود. در برخی موارد هنگامی آسیب زیاد ممکن است قربانی مجبور به نصب مجدد سیستم عامل شود.