محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

روت کیت یا Rootkit چیست؟ بررسی مفهوم روتکیت به زبان بسیار ساده

Rootkit از نظر من و خیلی دیگر از کارشناسان امنیت خطرناک ترین نوع بدافزار است ، در واقع Rootkit ها نوعی Malware یا بدافزارهستند که این قابلیت را دارند که خودشان را در هسته سیستم عامل و بعضا در جایی که هیچکس نمی تواند آنها را پیدا کند ، چه آنتی ویروس و چه سیستم عام مخفی کنند. جالب اینجاست برخی Rootkit ها خودشان را در نرم افزارهای آنتی ویروس مخفی می کنند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. روتکیت (Rootkit) چیست؟

روت کیت چیست؟ Rootkit ها خودشان را بعد از قرار گرفته در سیستم عامل در بالاترین سطح دسترسی کاربری یا در اصطلاح لینوکسی و یونیکسی در لایه Root Access یا Super User قرار می دهند و بعضا به خاطر همین هم نام Rootkit را بر روی خودشان قرار داده اند ، Rootkit ها می توانند برای مصارف بسیاری از طرف هکرها مورد استفاده قرار بگیرند. یک هکر می تواند با استفاده از Rootkit از راه دور به سیستم شما دسترسی کامل و سطح بالا داشته باشد و می تواند از طریق همین Rootkit سایر بدافزارهای مورد نیاز خودش را نیز نصب کند.

روت کیت چیست

Rootkit ها می توانند مقدمه ای برای استفاده از Backdoor ها باشند ، Rootkit ها در ساده ترین حالت ممکن از کامپیوتر قربانی به عنوان یک Zombie ( کامپیوتری که ندانسته برای هکر کارهایی را می کند که به نام خودش تمام می شود ) استفاده می کند و عملیات های هکری خودش را در قالب آدرس و هویت شما انجام می دهد.

Rootkit ها از این لحاظ بسیار خطرناک هستند که شناسایی و پیدا کردن آنها بسیار سخت و دشوار و در برخی اوقات غیرممکن است و تنها راهکار امنیتی آنها پیشگیری از ورود است. راهکار پیشگیری از ورود Rootkit صرفا استفاده از مکانیزم های SIV یا Signature Integrity Verifying است که برای بررسی سلامت و درستی فایل های سیستمی و دستکاری نشدن آن استفاده می شوند. اما من قبلا در خصوص روتکیت یک مقاله نوشته بودم ، ترجیح میدم اون رو هم در ادامه بزارم که دیدتون بازتر بشه .

روتکیت (Rootkit) چیست؟

روتیک یا Rootkit از جمله بدافزارهایی محسوب می شود که با هدف اصلی مخفی ماندن در سیستم قربانی به دنیا معرفی شده است . هدف اصلی Rootkit ها مخفی کردن یک سری چیزها از دید کاربر و همچنین از دید نرم افزارهای امنیتی است تا هکر یا مهاجم بتواند در فرصت مناسب به اهدافش سریعتر دسترسی پیدا کند.

بگذارید با یک مثال برای شما موضوع را بیشتر باز کنیم . فرض کنید که یک هکر به سیستم قربانی نفوذ کرده است و در آن بدافزارهایی را برای دسترسی بعدی به سیستم قربانی تعبیه کرده است ، حال اگر نرم افزار امنیتی بر روی سیستم قربانی نصب شده و شروع به اسکن کند ممکن است این بدافزارها شناسایی شوند .

ساده ترین راه شناسایی این بدافزارها نگاه کردن به تعداد و نام Process های سیستم یا نگاه کردن Connection های ورودی و خروجی از شبکه سیستم قربانی یا کلیدهای رجیستری است که مشکوک به آلوده شدن هستند.خوب همینجا اگر شما بدافزاری داشته باشید که بتواند پردازش های خاصی را در سیستم مخفی کند 

برخی از Connection های شبکه را نمایش ندهد و مخفی کند یا کلیدهای رجیستری را نیز مخفی کند ، این دقیقا همان Rootkit است که وظیفه مخفی کردن فعالیت های یک مهاجم را برای حفظ دسترسی های بعدی به سیستم بر عهده دارد.

روت کیت چیست

روتکیت ها معمولا در سطح کرنل سیستم عامل و پایینترین ( بالاترین دسترسی به سیستم عامل ) لایه هسته سیستم عامل کار می کنند تا بتوانند نهایت مخفی کاری را انجام بدهند. بیشتر Rootkit ها امروزه در سطح درایورهای سخت افزاری ( حتی به عنوان یک درایور سخت افزاری ) در سیستم قربانی نصب می شوند و در اصطلاح Kernel-Modules یا ماژول های درایورهای سیستم را آلوده می کنند . برخی از انواع Rootkit ها می توانند حتی Call ها یا فراخوانی های سیستم عامل را تحت تاثیر قرار بدهند و کنترل دستورات سیستم عامل را در دست بگیرند که معمولا بدافزارها چنین کاری را انجام نمی دهند.

روتکیت چیست

Rootkit ها معمولا خودشان را درون حافظه های کارت های گرافیک یا حتی کارت های PCI سیستم قرار می دهند و براحتی از دست آنتی ویروس هایی که به روز نیستند در امان می مانند. Rootkit ها انواع و اقسام متنوعی دارند و می توانند در سطح Firmware ها ، در سطح Boot Loader های سیستم عامل ( Bootkit ) ، در سطح Hypervisor ها در مجازی سازی ، در سطح Application ها ، در سطح حافظه یا Memory و ... در سیستم قربانی فعالیت کرده و مخفی بمانند.

اساسا Rootkit را می توان جزو خطرناک ترین نوع بدافزارها دانست و شناسایی کردن آنها معمولا فقط به روش های پیشگیرانه امکانپذیر است زیرا این نوع بدافزار بصورت مستقیم فایلهای اصلی سیستم عامل را تغییر داده و برای خودش دلخواه سازی می کند و تنها راه اصلی جلوگیری از این آلودگی استفاده از مکانیزمی به نام SIV است .


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات