روت کیت چیست؟
در این اموزش قصد داریم شما را با روت کیت و نحوه کار با انها اشنا کنیم با ما در ادامه این اموزش هک و امنیت همراه باشید
روت کیت یا Rootkit چیست ؟
به جرات می توان گفت روت کیت ها یکی از خطرناک ترین بد افزار ها هستند و از ویروس ها و تروجان ها بسیار خطرناک تر هستند ، سیستم کاری انها همانند تروجان ها است این بدافزار ها در کرنل لینوکس مخفی شده و دسترسی Root را به نفوذگر خواهد داد و شناسایی این بدافزار به مقداری سخت می باشد که حتی می توان واژه غیر ممکن را به ان اختصاص داد اما روش هایی برای شناسایی و بالا بردن امنیت در مقابل این بدافزار وجود دارد که در ادامه با ان اشنا می شوید
تفاوت میان بکدور ها و روت کیت ها چیست ؟
تصور کنید بعد از نفوذ به یک وب سایت بر روی ان شل اسکریپت خود را اپلود کرده اید و دسترسی به ان سایت دارید و با کمک از بکدور ها می توانید دسترسی خود را کمی طولانی تر کنید تا دفعات بعدی نیاز به نفوذ مجدد نداشته باشید اما نصب بکدور فقط و فقط دسترسی به بخش که در ان دسترسی دارید را میدهد
اما دقت داشته باشید که سایتی که شل را بر روی ان اپلود کرده اید روی یک سروری است که ممکن است تعداد بسیار زیادی سایت دیگر بر روی سایت وجود داشته باشد که با استفاده از متد هایی مانند سیملینک میتوانید به سایت های دیگر روی سرور هم دسترسی بگیرد اما برای نفوذ به سرور باید از متد های مختلفی استفاده کنید و مکانیزم های امنیتی را دور بزنید و در نهایت با کمک گرفتن از روت کیت ها با سطح دسترسی روت ، دسترسی خود را دائمی کنید که روت کیت ها بسیار مخفی تر از بکدور ها هستند و پیدا کردن ان ها بسیار پیچیده خواهد بود.
- اولین تفاوت میان بکدور ها و روت کیت ها این است که بکدور ها با دسترسی محدود نصب می شوند اما دیگری ها با دسترسی سطح بالا یعنی روت نصب می شوند به این معنا که برای نصب ان بر روی سرور باید ابتدا دسترسی روت را از سرور داشته باشید و سپس توانایی نصب روت کیت را خواهید داشت.
- تفاوت دوم این دو روش این است که بکدور ها ممکن است یک پورت جداگانه و جدید برای خود باز کنند و به راحتی قابل شناسایی هستند اما روت کیت ها خود را جایگزین دستورات و پورت های سیستمی می کنند و در کرنل مخفی می شوند برای مثال اگر سرور شما 500 پورت باز سیستمی داشته باشد وقتی بکدور بر روی سرور هدف نصب می کنید تعداد پورت ها به 501 افزایش می یابند اما اگر از روت کیت ها استفاده کنید و یکی از ان ها را بر روی سرور نصب کنید پورت های باز هیچ تغیری نمی کنند و همان 500 پورت باز باقی می مانند به این معنی است که توانسته خود را جایگزین پورت های باز می کنند و شناسایی ان ها بسیار سخت و پیچیده می شود.
- تفاوت سوم این است که اکثرا بکدور ها پس از restart سرور از بین میروند اما روت کیت ها پس از restart سرور مجدد شروع به کارمی کنند و به جرات می توان گفت تنها راه خلاصی از دست ان ها و به خصوص روت کیت های مدرن reset کردن و فرمت کردن سرور است
تا اینجا با معنا و مفهوم روت کیت ها اشنا شده اید اما ان ها به دو دسته سنتی و سطح هسته تقسیم می شوند که در ادامه با این دو مورد اشنا خواهید شد
روش های گسترش پیدا کردن Rootkit
روت کیت ها دقیقا مانند تمام بدافزار های دیگر گسترش پیدا می کنند ممکن است با باز کردن یک ایمیل یا یک لینک مخرب الوده به ان شوید ، چندین روش دیگر گسترش ان ها شامل بایند کردن روت کیت به یک برنامه عادی می باشد و جالب است که بدانید ممکن است با باز کردن یک عکس یا یک فایل pdf سیستم شما الوده به این بد افزار ها شود.
Rootkit سنتی
اولین روت کیت در اوایل سال 1990 ساخته شد و در دهه اول گستردگی زیادی پیدا کرد و تا جایی پیش رفت که ان ها میتوانستند به صورت خودکار بر روی سیستم نصب و اجرا می شوند روت کیت های سنتی برای انواع سیستم عامل ها نوشته شده اند اما تمرکز انها بیشتر برای ساخت ان ها بر پایه یونیکس بوده است و حتی برای ویندوز سرور ها هم نوشته شده اند که جایگزین فایل های DLL می شوند که حتما باید برای نصب ان ها دسترسی System داشته باشید.
Rootkit مدرن
روت کیت های مدرن نسبت به نوع سنتی ان ها بسیار پیشرفته تر هستند به این منظور که خود را در کرنل لینوکس مخفی کرده و این کار باعث می شود تا شناسایی ان ها بسیار سخت شود و نفوذگر با ایجاد تغیرات اساسی در کرنل می تواند در سیستم تا سطح بسیار زیادی تغیر ایجاد کند و قدرت زیادی برای ایجاد درب های پشتی و مخفی ماندن دارد و درنهایت کرنل به یک کرنل فاسد تبدیل می شود بدون انکه صاحب سیستم از ان خبر داشته باشد همانظور که گقته شد روت کیت مدرن خود را در بخش هایی از کرنل قرار میدهد و در صورتی که روت کیت های سنتی خود را جایگرین دستورات سیستمی همانند دستور پرکاربرد ls می کنند روت کیت های سنتی با جایگزین کردن خود در دستورات سیستمی خود را مخفی می کنند
بالابردن امنیت در مقابل با Rootkit ها
در ابتدای کار لازم است بدانید که حتی اگر بالاترین امنیت را در سرور خود برقرار کنید بازهم ممکن است مورد نفوذ قرار می گیرید پس باید همیشه هوشیار باشید اما مکانیزم های امنیتی وجود دارد که تا حد بسیار کمی می تواند از الوده شدن سیستم به روت کیت ها جلوگیری کند باید با محافظت از کاربر روت و شناسایی و رفع اسیب پذیری های سیستم خود از کاربر روت محافظت کنید و هرچقدر امنیت کاربر روت شما بالاتر باشد شانس نفوذگر پایین تر می اید زیرا این بد افزار ها همانگونه که گفته شد فقط با دسترسی روت نصب می شود سپس برای بالابردن امنیت خود در برابر روت کیت ها لازم است تا سیستم عامل خود و ابزار های مورد استفاده خود را همیشه به روز نگهدارید. قدم سوم این است که باید برای بالا بردن امنیت خود در برابر این بد افزار ها از قوی ترین انتی روت کیت ها استفاده کنید اما لازم به ذکر است که چندان عملکرد خوبی برای شما ندارد و تنها می توانند برخی از ان ها شناسایی و پیدا کنند و توانایی شناسایی این نوع بد افزار های کمی حرفه ای ترو جدید تر را ندارد
دیدگاهتان را بنویسید