متخصصان امنيت و كاربران حرفه اي، هميشه روتكيت ها را به عنوان يك تهديد بزرگ در نظر مي گيرند و در صدد مقابله با آنها هستند. اما كاربران عادي كه شايد اطلاعات كافي در زمينه امنيت نداشته باشند، يا اصلا اين روتكيت ها را نمي شناسند و يا در صورت شناخت نسبي نيز راه هاي مقابله با آنها را نمي دانند.
اما به صورت ساده بايد گفت كه روتكيت يك بدافزار است كه توانايي مخفي سازي خود و فعاليت هايش را در سيستم هدف دارد. ممكن است سیستم شما هم در حال حاضر به يك روتكيت آلوده باشد و روح تان هم خبر نداشته باشد. روتكيت ها هر روز قدرتمندتر و ناشناس تر مي شوند. در واقع اين كار را نويسندگان آنها با كشف روش هاي جديد انجام مي دهند. اين روش ها نيز در سايت هاي زيرزميني به فروش گذاشته مي شوند. تا جايي كه دولت ها نيز به مشتريان آنها تبديل شده اند. در هر صورت داشتن آگاهي نسبت به اين نوع از بدافزارها مي تواند به شما كمك شاياني در جهت تشخيص و مقابله با آنها بكند. در ادامه با ما همراه باشيد تا اطلاعات بيشتري را در جهت شناخت، شناسايي و مقابله با روتكيت ها به شما ارائه دهيم.
همانطور كه گفتيم يكي از مهمترين شاخصه هاي روتكيت ها، قدرت مخفي سازي آنها از ديد كاربر و سيستم هاي حفاظتي است. تا جايي كه ممكن است ماه ها و سال ها بدون هيچگونه علائمي در كامپيوترتان به فعاليت خود ادامه دهند. در اين حالت هكرها مي توانند براي انجام مقاصد مورد نظر خود از كامپيوترتان استفاده كنند. حتي اگر كامپيوتر شما حاوي اطلاعات مهم و حساسي هم نباشد ( كه در اكثر مواقع اينطور نيست )، هكرها مي توانند از آن براي انجام كارهاي ديگري استفاده كنند. مثلا براي انجام عمل BitCoin Mining كه اين روزها با توجه به افزايش قيمت بيت كوين، توجه هكرهاي بسيار زيادي را به سوي خود جلب كرده است.
توضيح: بيت كوين نوعي پول ديجيتال است كه به صورت غير متمركز فعاليت مي كند و امكان انتقال پول بدون واسطه را فراهم مي آورد. اما BitCoin Mining به عملي گفته مي شود كه طي آن فردي در يك معدن بيت كوين به مقدار زيادي بيت كوين دست پيدا مي كند و همه آنها به حسابش واريز مي شود. براي انجام اين كار هر چقدر كه كامپيوتر شما از لحاظ سخت افزاري قدرتمندتر باشد، احتمال اينكه زودتر بيت كوين ها را پيدا كنيد بيشتر است. هكرها نيز براي انجام اين كار لشكري از كامپيوترها را به كار مي گيرند تا به عنوان معدنچي بيت كوين براي آنها كار كنند. اطلاعات بيشتر را در پايان مطلب ببينيد.
از ديگر مواردي كه هكرها از سيستم شما سو استفاده مي كنند، ارسال هرزنامه و انجام حملات “عدم سرويس دهي توزيع شده ( DDOS ) ” مي باشد. قبلا هم گفتيم كه روتكيت ممكن است آنتي ويروس يا فايروال شما را نيز دور بزنند. اما با داشتن يك نرم افزار امنيتي قدرتمند و آپديت شده، اين احتمال كاهش مي يابد.
اما روتكيت ها چگونه خود را به اين شكل پنهان مي كنند؟ پاسخ به اين سوال زياد سخت نيست. آنها سعي مي كنند تا كدهای خود را با كدهاي سيستم عامل در سطوح پايين ادغام كنند و با انجام اين كار مي توانند تمام درخواست هاي سيستم مثل خواندن فايل ها، به دست آوردن لست پردازش هاي در حال اجرا و مواردي از اين دست را رديابي كنند. سپس اين درخواست ها بررسي شده و هر موردي كه اشاره اي به فايل ها يا فعاليت هاي روتكيت داشته باشند، در ميانه راه حذف خواهند شد.
البته تكنيك هاي ديگري نيز وجود دارند كه در برخي روتكيت های پيشرفته تر مشاهده مي شوند. اين روتكيت ها، كدهاي مخرب خود را به پردازش هاي سالم تزريق مي كنند و با انجام اين كار مي توانند از حافظه اختصاص داده شده به پردازش مذكور در جهت انجام فعاليت هاي مخرب خود استفاده كنند. همچنين اين كار باعث مي شود تا روتكيت ها در برابر آنتي ويروس های ضعيف تر كه در سطوح بالاتر سيستم فعاليت كرده و سعي در رديابي فعاليت هاي سطوح پايين تر سيستم عامل نمي كنند، پنهان بمانند.
حتي در صورتي كه يك آنتي ويروس بتواند روتكيت را شناسايي كند، بدافزار سعي در غير فعال سازي و يا پاك كردن فايل هاي مهم آنتي ويروس خواهد كرد. روتكيت هاي قدرتمندتر از تكنيك هاي پيشرفته تري نيز استفاده خواهند كرد. يكي از اين تكنيك ها live-bait fishing نام دارد. در اين روش يك فايل خاص توسط روتكيت ايجاد مي شود كه توسط آنتي ويروس شناسايي خواهد شد. به محض اينكه آنتي ويروس به فايل مذكور دسترسي پيدا كند، روتكيت تلاش خواهد كرد تا آنتي ويروس را غير فعال كرده و از اجراي مجدد آن در آينده جلوگيري كند. با خواندن اين بخش حتما متوجه شده ايد كه روتكيت ها تا چه حد مي توانند قدرتمند، پيشرفته و خطرناك باشند.
اما چگونه مي توان با روتكيت ها مقابله كرد؟ همانطور كه گفتيم روتكيت ها بسيار پيچيده هستند و اگر فكر مي كنيد كه مي توان آنها را مثل تروجان ها داخل يك فلش درايو با يك Shift + Delete پاك كرد، سخت در اشتباه هستيد. اين كار را بايد به نرم افزارهاي امنيتي قدرتمند سپرد. آنتي ويروس ها معمولي نمي توانند كمك زيادي به شما بكنند. در عوض اگر يك برنامه امنيتي قدرتمند داشته باشيد كه بتواند به صورت دائم فايل هاي مهم سيستمي را رصد كند، مي توانيد با خيال آسوده تري به كارتان ادامه دهيد. در واقع اين برنامه ها، فعاليت هاي لايه ي سيستم عامل را با لايه هاي پايين تر مقايسه مي كنند و در صورتي كه متوجه تغييرات مشكوك شوند، با دقت بيشتري آن ها را بررسي خواهند كرد تا علت آنها مشخص شده و روتكيت را به دام بياندازند. اين روزها نيز فناوري كلاود كامپيوتينگ به برنامه هاي امنيتي اضافه شده است تا قدرت شناسايي و دقت آنها بالاتر برود.
دومين چيزي كه يک برنامه امنيتي قدرتمند بايد داشته باشد، توانايي دفاع از خود در برابر حملات روتكيت است. در بالا هم اشاره كرديم كه روتكيت ها ممكن است به آنتي ويروس حمله كنند و آن را غير فعال كرده و يا از بين ببرند. اگر آنتي ويروس قابليت Self-Protection داشته باشد، مي تواند از خودش دفاع كند و به اين راحتي از صحنه خارج نشود.
اما آخرين موردي كه در هنگام انتخاب آنتي ويروس خود بايد مد نظر داشته باشيداین است که آنتي ويروس شما قدرت پاكسازي بالايي داشته باشد. توجه داشته باشيد كه پاكسازي با حذف فرق دارد. هنگامي كه از پاكسازي صحبت مي كنيم منظور ما اين است كه آنتي ويروس بتواند كدهاي مخربي كه به يك فايل تزريق شده اند را پاكسازي كند. اين مورد هنگامي نمود بيشتري پيدا مي كند كه بحث ما در مورد يك فايل حياتي سيستم عامل باشد. چون در اينجا اگر فايل مذكور به جاي پاكسازي، حذف شود، سيستم عامل از كار خواهد افتاد.
براي انتخاب يك برنامه امنيتي و قدرتمند نيز مي توانيد تست هايي كه توسط موسسه هاي معتبر مثل av-comparatives يا av-test تهيه مي شوند مراجعه كنيد.
http://www.beytoote.com
