روتكيت‌ها چگونه و كجا پنهان مي‌شوند؟ چطور مي‌توان جلوي آن‌ها را گرفت؟

anahita shams

عضو جدید
کاربر ممتاز
به اعتقاد كارشناسان امنيتي نسل جديد روتكيت‌ها ساختاري بسيار پيچيده و خطرناك‌تر از گذشته پيدا كرده است. دينو داي زوي (Dino Dai Zovi) پژوهشگر امنيتي معتقد است روتكيت‌ها با توجه به ساختار معماري پردازشگرهاي اينتل در لايه مجازي سيستم قرار مي‌گيرند.

اين نظريه در سال 2006 توسط وي در كنفرانس BlackHat ارائه شد. ضمن آن‌كه در كنفرانسي مشابه، جوانا روتكافسكي نيز با بيان همين ساختار، قرارگيري اين تهديدات را روي سيستم‌هايي كه از پردازشگرهاي AMD بهره مي‌برند، معرفي كرد.

خوشبختانه طبق گفته‌هاي داي‌زوي تهديد مذكور هنوز به‌صورت واقعي و عملي در سيستم‌هاي امروزي ديده نشده است و البته دليل اين موضوع خيلي هم خوب نيست، زيرا روش‌هاي قديمي كه در روتكيت‌ها به‌كار گرفته مي‌شود آنقدر خوب عمل مي‌كنند كه ديگر به استفاده از روش‌هاي جديد نيازي نخواهد بود.

مايك دالتون مدير فناوري شركت Revelogic، ‌مي‌گويد: <اگر من خودم يك هكر بودم و مدل‌هاي كاربري و هسته‌اي روتكيت‌هايم هشتاد درصد مواقع به خوبي كار مي‌كردند براي چه بايد خود را به دردسر انداخته و مدل‌هاي جديدي را ايجاد مي‌كردم؟>

البته اين گفته به آن معني نيست كه خرابكاران كامپيوتر دست روي دست گذاشته‌اند و از روش‌هاي قديمي به‌صورت ايستا بهره مي‌برند. بلكه به مرور زمان اين نوع تهديدات كه بر دو پايه روتكيت‌هاي كاربر (User Rootkit) و روتكيت‌هاي هسته (Kernel-Based Rootkit) استفاده مي‌شود، به‌صورت روز افزون رشد و نمو بسيار زيادي داشته‌اند‌ و هرچه بيشتر در شبكه‌هاي سازماني نفوذ مي‌كنند و با اختفا در سي‌پي‌يو‌ها و كاوش سيستم‌هاي چند سي‌پي‌يو‌اي، سعي در نفوذ از طريق بازي‌ها دارند.

اصولاً روتكيت‌هاي كاربر به آن دسته از روتكيت‌هايي گفته مي‌شود كه توسط خود كاربران (به‌صورت ناآگاهانه؛ به‌عنوان مثال با مراجعه به سايت‌هاي آلوده و كليك روي لينك‌هاي مشكوك) روي سيستم فعال مي‌شوند و روتكيت‌هاي هسته نيز به روتكيت‌هايي گفته مي‌شود كه در لايه‌ غير نرم‌افزاري يا Application Layer (مانند تجهيزات سخت‌افزاري) قرار مي‌گيرند.

اصولاً وجود روتكيت‌ها خود مي‌تواند زمينه‌سازي را براي ايجاد پايگاه ارسال اسپم در شبكه‌ها، سرقت اطلاعات محرمانه و فعال‌سازي ديگر بدافزارها فراهم سازد. از سوي ديگر با توجه به نحوه فعال‌سازي و مكانيزم عملكردي روتكيت‌ها، شناسايي و پاك‌سازي آن‌ها با نرم‌افزارها و تجهيزات امنيتي بسيار مشكل خواهد بود.

كريستوف آلم يكي از كارشناسان ضدبدافزار مي‌گويد: <با‌توجه به نمونه‌هاي گوناگون بدافزارهايي كه ما جمع‌آوري مي‌كنيم، امروزه روتكيت‌ها يكي از شايع‌ترين نوع تهديدات به‌شمار مي‌آيند.> او مي‌‌افزايد: <در ميان روتكيت‌ها آن دسته كه در زمينه ارسال اسپم‌ها (Spambot) فعال هستند، بيشتر شايع هستند. به‌عنوان مثال، دو روتكيت Srizbi و Rustock از همين نوع روتكيت‌ها به حساب مي‌‌آيند.>

طبق آخرين فهرست تهديداتي كه شيوع‌شان در جهان واقعي به اثبات رسيده‌ است (In the Wild Malwares)، در سال 2007 روتيكت Rustock.C سيستم‌هاي زيادي را مورد هجوم قرار داده است. اين بدافزار مانند اغلب ويروس‌ها به درايورهاي هسته‌اي هجوم مي‌برد و با استفاده از خاصيت چندگانه‌بودن (Polymorphism) مي‌تواند ساختار خود را تغيير دهد تا توسط شناسه‌هاي موجود در ضدويروس‌ها به دام نيفتد.

اين روتكيت با استفاده از خاصيت دور زدن موانع امنيتي (Back-door Threat) مي‌تواند وارد قسمت درايورهاي سيستمي مورد اطمينان مايكروسافت شده و با باز كردن ارتباطي دو طرفه، از پورت هشتاد براي تبادل اطلاعات با خارج از سيستم راه را باز كند. طبق اعلام سايت Rootkit.com، اين روتكيت به‌عنوان قدرتمندترين تهديد شايع از نظر توان مخفي سازي در ويندوز شناخته شده است.

با توجه به تركيب روتكيت‌ها با بدافزارهاي ديگر (مانند تروجان‌ها) مشكلات پيش‌‌‌روي دنياي امنيت كامپيوتر بيشتر از گذشته شده‌است. زيرا اين تهديدات ديگر فقط هدف خود را روي سيستم‌ها قرار نمي‌دهند، بلكه آن‌ها با پخش شدن روي شبكه‌ها گسترشي بالاتر و خطرناك‌تر خواهند داشت. از اين‌رو تنها راه يافتن روتكيت‌هاي اين‌چنيني نظارت روي شبكه و يافتن حركات مشكوك سيستم‌هايي است كه ممكن است به روتكيت‌ها آلوده شده باشند.

آلم مي‌گويد: <شركت‌ها مجبورند براي برقراري ترافيكي اينترنتي كارمندان خود پورت هشتاد را باز نگه‌دارند، حال آن‌كه خيلي از بدافزارها از جمله روتكيت‌ها خود را روي پكت‌هاي ارسالي توسط پروتكل HTTP سوار كرده و از اين طريق مي‌توانند به‌صورت رفت و برگشتي در شبكه‌ها پخش شوند.>

او در ادامه مي‌افزايد: <البته با توجه به اين خاصيت كه كاربردهاي اينترنتي بيشتر از ترافيك ورودي (Inbound) بهره مي‌برند تا ترافيك‌هاي خروجي (Outbound)، مي‌توان با اسكن كردن كليه پكت‌هاي ارسالي، روتكيت‌ها را شناسايي كرد و مانع از توزيع آن‌ها شد.>

به اعتقاد آلم، روتكيت‌ها اغلب روي پكت‌هايي قرار مي‌گيرند كه در ترافيك‌هاي شبكه‌اي به‌عنوان داده‌هاي مورد اطمينان شناسايي مي‌شوند. از اين‌رو نبايد با توجه به خصوصيت، از كنترل چنين داده‌هايي خودداري كرد. او مي‌گويد: <به خاطر داشته باشيد پشت اين ترافيك‌هاي مشكوك خرابكاراني وجود دارند كه به‌صورت كنترل از راه‌دور مي‌خواهند اطلاعات با ارزش شما را مورد تهديد قرار دهند>.

دالتون معتقد است، شناسايي آن دسته از روتكيت‌هايي كه روي سيستم‌ها قرار مي‌گيرند، در مقايسه با روتكيت‌هايي كه در شبكه‌ها فعال هستند، بسيار مشكل و پيچيده خواهد بود. زيرا روتكيت‌ها مي‌توانند به‌شكلي در سيستم‌ها قرار گيرند كه ضدويروس‌ها نتوانند آن‌ها را شناسايي و پاك‌سازي كنند.

البته با پشتيباني VMware از آنتي ويروس در نسخه ‌هاي جديد‌ و بسته‌هاي الحاقي، VMsafe، آنتي ويروس‌ها خواهند توانست با VMM (يا ناظر ماشين مجازي كه هايپروايزور نيز ناميده مي‌شود) حفاظت شده اجرا شوند و بر هسته سيستم بيشتر تسلط پيدا كنند.


به گفته دالتون ماجراي ضدويروس و روتكيت همانند بازي موش و گربه است. از سويي ضدويروس‌ها در سيستم به دنبال روتكيت مي‌گردند و از سوي ديگر روتكيت‌ها به دنبال ضدويروس‌ها. مشخصاً ضدويروس‌ها به‌دنبال روتكيت‌ها خواهند گشت تا آن‌ها را پاك‌سازي كنند، اما مقصود روتكيت‌ها بسيار خطرناك و منفي خواهد بود.

زيرا آن‌ها با توجه به مستقر شدن در قسمت‌هاي حساس سيستمي، توان از كار انداختن سرويس‌هاي ضدويروس و به نوعي مسلط شدن بر آن‌‌را پيدا خواهند كرد. دالتون در ادامه مي‌گويد: <با توجه به برتري سيستمي روتكيت‌هاي هسته (در كنترل يافتن به ضدويروس)، نسل سيستم‌هاي امنيتي كه بتوانند به‌صورت مجازي روي سيستم نصب شوند، اين خلاء امنيتي را پوشش خواهد داد. زيرا با توجه به مجازي بودن اين سيستم، روتكيت نمي‌تواند از وجود ضدويروس و مكان آن‌ها باخبر شود.>

به گفته داي‌زوي ابزارهاي ضدروتكيت (مانند Sophos Anti-Rootkit) يا فناوري‌هاي مجزايي كه در بعضي از ضديروس‌ها به‌كار مي‌رود (مانند BlackLight كه در ضدويروس F-Secure مورد استفاده قرار مي‌گيرد)، براي مقابله با روتكيت‌ها از عمليات آزمون و مقايسه استفاده خواهند كرد.

در اين روش‌ براي شناسايي موارد مشكوك (در هسته سيستم و ديگر بخش‌ها) امكان وجود فايل‌هاي مخفي در بخش‌هاي حساس سيستم، ورودي‌هاي غيرمجاز در رجيستري ويندوز و... مورد ارزيابي قرار خواهد گرفت. اما يكي ديگر از قسمت‌هايي كه مي‌تواند در اين ارزيابي‌ها مورد بررسي قرار گيرد، مقايسه پروسس‌هاي فعال سيستم است.

در اين روش، فهرست پروسس‌هاي فعال سيستمي كه در Task Manager قرار دارند با نرم‌افزارهايي كه واقعاً در حال فعاليت هستند، مقايسه خواهند شد. در صورت وجود تناقض روتكيت شناسايي مي‌شود.

اما همان‌طور كه اشاره شد مشكل اصلي اين است كه نرم‌افزارهاي امنيتي از نظر رتبه سيستمي نسبت به روتكيت‌هاي هسته‌اي سطح پايين‌تري خواهند داشت. گري مك‌گراو از مديران شركت Cigital و ويرايشگر نهايي كتاب Rootkits مي‌گويد: <نرم‌افزارامنيتي در سطح حيطه كاربر سيستم فعال مي‌شوند و تحليل پوياي (Dynamic analyzed) پروسس‌هاي در حال اجرا، تلاش مي‌كند بفهمد كه آيا سيستم درباره فعاليت‌هاي در حال اجراي خود دروغ مي‌گويد يا خير! به اعتقاد من اين روش خيلي هوشمندانه و مؤثر نخواهد بود.>

به اعتقاد كارشناسان امنيتي جديدترين نسل روتكيت‌ها قادر است يك پكيج كامل بدافزاري را در بايوس سيستم جاي دهد و در صورت پاك‌سازي سيستم‌عامل باز هم در هر بار بوت شدن، كنترل حافظه سيستم را در دست گيرد. داي‌زوي در اين باره مي‌گويد: <در اين نوع تهديد خطرناك روتكيت‌هاي ماندگار (Persistent Rootkit) نام دارند>. اين روتكيت اولين بار توسط جان هيسمن در كنفرانس سال BalckHat معرفي شد.

مك گراو مي‌گويد: <اگر كسي بتواند پردازش سيستم را كنترل كند، اين قابليت را چگونه به پول تبديل خواهد كرد؟ يكي از راه‌هاي اين كار فروش روبات‌هاي نرم‌افزاري براي ارسال هرزنامه يا سرقت هويت است. اما مؤثرترين راه براي استفاده پولي از منابع پردازشي، بازي‌هاي آنلا‌ين است. در اين حوزه آخرين فناوري‌هاي روبات‌هاي نرم‌افزاري به كار گرفته مي‌شود.>

وي مي‌افزايد: <روبات‌هاي نرم‌افزاري بازي، به خصوص به دنبال سيستم‌هاي چندپردازنده‌اي هستند كه مي‌توانند در حين بارگذاري، پردازش‌هاي چندگانه را اجرا كنند.> او كه نويسنده كتاب <بهره‌برداري از بازي‌هاي آنلا‌ين> است، معتقد است هرچه روبات‌هاي نرم‌افزاري بازي‌هاي بيشتري را مورد سوءاستفاده قرار دهند، بيشتر مي‌توانند منابع مجازي خود را به پول واقعي تبديل كنند.

بيل مديرعامل شركت TDITX مي‌گويد: <راه‌هاي بسياري زيادي در هسته سيستم‌ها وجود دارد كه توسط آن‌ها روتكيت‌ها مي‌توانند در ميان‌افزار (Firmware) نفوذ كنند.> او همچنين در ادامه مي‌افزايد: ‌‌<سيستم‌هاي امنيت سخت‌افزاري امروزي هم بهترين فناوري ممكن را براي مقابله با اين تهديدات ارائه نمي‌دهند.> او معتقد است، كه بايد در اين حيطه فعاليت‌هاي بيشتري انجام شود.

با وجود ريشه‌هاي سخت‌افزاري در پس اين ماجرا هنوز خيلي از شركت‌هاي بزرگ چاره مقابله با روتكيت‌ها را روش‌هاي نرم‌افزاري مي‌دانند. اين مقوله آن‌قدر با اهميت است كه امپراطور دنياي نرم‌افزاري هم براي مقابله با آن دست روي دست نگذاشته است. به تازگي سخنگوي مايكروسافت خبر از به‌كارگيري فناوري جديدي به‌نام Komoku در محصولات امنيتي اين شركت يعني Forefront و OneCare داده است. شايد بايد منتظر ماند و ديد آيا سيستم‌هاي نرم‌افزاري ضدبدافزاري قادر خواهند بود با فناوري‌هاي پيشرفته‌تر از گذشته راهكاري را براي مقابله با تهديدات بيابند يا خير.

به هرترتيب موضوعي كه تمامي كارشناسان كامپيوتري روي آن اتفاق نظر دارند آن است كه ماجراي امنيت كامپيوتر در يك رقابت سرسخت و تقابل ميان خرابكاران و شركت‌هاي امنيتي بوده است. با توجه به اين‌كه هميشه يك تهديد به وجود مي‌آيد و پس از آن روش مقابله‌‌اش منتشر مي‌شود، هميشه تهديدات يك گام جلوتر هستند. داي‌زوي در اين باره مي‌گويد: <خيلي ساده لوحانه است اگر بگوييم روشي براي در امان نگه داشتن صد درصد سيستم‌ها وجود دارد، اما بايد هميشه بهترين روش‌ها و قابل اطمينا‌ن‌ترين‌ها را برگزينيم كه درصد ريسك تهديدات را كمتر كنيم

منبع: نت‌ورك ورلد
 
بالا