روت‌کیت چیست

معنی و توضیح روت‌کیت

روت‌کیت یک نوع بدافزار است که برای دسترسی هکرها به دستگاه یا شبکه هدف و کنترل آن طراحی و ساخته شده است. اگرچه بیشتر روت‌کیت‌ها برای آسیب‌رساندن به نرم‌افزار و سیستم‌عامل طراحی شده‌اند، با اینحال برخی از آنها می‌توانند سخت‌افزار و میان‌افزار دستگاه را نیز آلوده کنند. همچنین این نوع بدافزار می‌تواند مخفیانه به فعالیت خود ادامه دهد. Rootkit‌ می‌تواند کی‌لاگر را مخفی کند و تمام چیزی که از طریق کیبورد می‌نویسید به مجرم سایبری فرستاده شود.

پس از دسترسی غیرمجاز به کامپیوترها، Rootkit‌ها به مجرمان سایبری امکان سرقت اطلاعات مالی و شخصی، نصب  بدافزار یا استفاده از دستگاه کاربر بعنوان بخشی از بات‌نت برای مشارکت در حمله DDoS و توزیع اسپم را می‌دهند.

هکرها چگونه روت‌‌کیت‌ها را روی دستگاه افراد نصب می‌کنند:

۱- رایج‌ترین روش‌ برای نصب روت‌کیت، استفاده از ایمیل فیشینگ و روش‌های مهندسی اجتماعی است. قربانی ناخواسته بدافزاری که بخشی از یک نرم‌افزار به ظاهر موجه است را روی دستگاهش نصب می‌کند و به هکر دسترسی به سیستم عاملش را می‌دهد.

۲- راه دیگری که هکرها برای نصب rootkit روی کامپیوتر دیگران بکار می‌برند، سو استفاده از آسیب‌پذیری‌های سیستم عامل یا نرم‌افزار دستگاه قربانی است.

۳- ممکن است روت‌کیت در یک فایل مخرب مانند فایل مدیا، pdf یا اپلیکیشنی باشد که کاربر از یک وب‌سایت یا فروشگاه اپلیکیشن دانلود می‌کند.

همچنان بخوانید : شناسایی روت‌کیت – چگونه با آن مقابله کنیم؟

انواع روت‌کیت‌ها

۱- روت‌کیت سخت‌افزار یا میان‌افزار

این Rootkit‌ها می‌توانند روی سخت‌افزار، مسیریاب یا بایوس سیستم تاثیر بگذارند. آنها به جای سیستم‌عامل، میان‌افزار دستگاه را هدف قرار می‌دهند که تشخیص‌شان را بسیار مشکل می‌کند. از آنجاییکه بر سخت‌افزار تاثیر می‌گذارند می‌توانند مانند کی‌لاگر هر کلید را ثبت و فعالیت‌های آنلاین کاربر را مانیتور کنند.

۲- روت‌کیت بوت‌لودر

مکانیستم بوت‌لودر وظیفه بارگذاری سیستم‌عامل روی کامیپوتر را برعهده دارد.روت‌‌کیت‌های ‌Bootloader به این سیستم حمله کرده، و بوت‌لودر اصلی کامپیوتر را با هک شده آن تعویض می‌کنند. اینکار باعث فعال شدن روت‌کیت، حتی قبل از بارگذاری سیستم‌عامل می‌شود.

۳- روت‌کیت حافظه

Rootkit‌های حافظه در RAM سیستم مخفی می‌شوند و از منابع کامپیوتر برای اهداف مخرب در پس‌زمینه استفاده می‌کنند. از آنجاییکه آنها فقط در RAM رایانه هستند، به محض راه‌اندازی مجدد سیستم ناپدید می‌شوند. هر چند در برخی موارد کار بیشتری برای خلاص شدن از آنها نیاز است.

۴- روت‌کیت اپلیکیشن

این نوع Rootkit‌ها فایل‌های استاندارد دستگاه‌تان را با فایل‌های روت‌کیت جایگزین می‌کنند، و حتی عملکرد اپلیکیشن‌های استاندارد را تغییر می‌دهند. این Rootkit‌ها می‌توانند نرم‌افزارهای مایکروسافت آفیس، Notepad و Paint را آلوده کنند. بنابراین هر وقت که کاربر یکی از این نرم‌افزارها را اجرا کند، روت‌کیت نیز اجرا می‌شود. از آنجاییکه روی لایه اپلیکیشن کار می‌کنند، آنتی‌ویروس‌ها می‌توانند آنها را پیدا کنند.

۵- روت‌کیت‌های سطح هسته – Kernel mode

این نوع Rootkit‌ها در هسته سیستم اجرا می‌شوند و اینکار شناسایی آنها را بسیار مشکل می‌کند. در این حالت کرنل سیستم آلوده می‌شود و عملکرد سیستم‌عامل و نرم‌افزارها تغییر پیدا می‌کند.

۶- روت‌کیت‌های مجازی

این نوع Rootkit‌ها بین بدافزارهای مالی محبوب هستند، و سیستم‌عامل را بعنوان یک ماشین مجازی اجرا می‌کنند. این نوع بدافزار نیاز به تغییر هسته ندارند و تشخیص‌ش نیز بسیار مشکل است.

منبع: https://www.kaspersky.com/resource-center/definitions/what-is-rootkit