روت کیت چیست ؟ ( Rootkit )

روت کیت

در این اموزش قصد داریم شما را با روت کیت و نحوه کار با انها اشنا کنیم با ما در ادامه این اموزش هک و امنیت همراه باشید

روت کیت یا Rootkit چیست ؟

به جرات می توان گفت روت کیت ها یکی از خطرناک ترین بد افزار ها هستند و از ویروس ها و تروجان ها بسیار خطرناک تر هستند ، سیستم کاری انها همانند تروجان ها است این بدافزار ها در کرنل لینوکس مخفی شده و دسترسی Root را به نفوذگر خواهد داد و شناسایی این بدافزار به مقداری سخت می باشد که حتی می توان واژه غیر ممکن را به ان اختصاص داد اما روش هایی برای شناسایی و بالا بردن امنیت در مقابل این بدافزار وجود دارد که در ادامه با ان اشنا می شوید

نکته :

در اموزش های قبل با بکدور ها اشنا شده اید که در ادامه به تفاوت میان بکدور ها و روت کیت ها  می پردازیم

تفاوت میان بکدور ها و روت کیت ها چیست ؟

تصور کنید بعد از نفوذ به یک وب سایت بر روی ان شل اسکریپت خود را اپلود کرده اید

و دسترسی به ان سایت دارید و با کمک از بکدور ها می توانید دسترسی خود را کمی طولانی تر کنید

تا دفعات بعدی نیاز به نفوذ مجدد نداشته باشید

اما نصب بکدور فقط و فقط دسترسی به بخش که در ان دسترسی دارید را میدهد

اما دقت داشته باشید که سایتی که شل را بر روی ان اپلود کرده اید روی یک سروری است که ممکن است تعداد بسیار زیادی سایت دیگر بر روی سایت وجود داشته باشد که با استفاده از متد هایی مانند سیملینک میتوانید به سایت های دیگر روی سرور هم دسترسی بگیرد اما برای نفوذ به سرور باید از متد های مختلفی استفاده کنید و مکانیزم های امنیتی را دور بزنید و در نهایت با کمک گرفتن از روت کیت ها با سطح دسترسی روت ، دسترسی خود را دائمی کنید که روت کیت ها بسیار مخفی تر از بکدور ها هستند و پیدا کردن ان ها بسیار پیچیده خواهد بود.

مقایسه اول

اولین تفاوت میان بکدور ها و روت کیت ها این است که بکدور ها با دسترسی محدود نصب می شوند

اما دیگری ها با دسترسی سطح بالا یعنی روت نصب می شوند

به این معنا که برای نصب ان بر روی سرور باید ابتدا دسترسی روت را از سرور داشته باشید

و سپس توانایی نصب روت کیت را خواهید داشت.

مقایسه دوم

تفاوت دوم این دو روش این است که بکدور ها ممکن است یک پورت جداگانه و جدید برای خود باز کنند و به راحتی قابل شناسایی هستند اما روت کیت ها خود را جایگزین دستورات و پورت های سیستمی می کنند و در کرنل مخفی می شوند برای مثال اگر سرور شما 500 پورت باز سیستمی داشته باشد وقتی بکدور بر روی سرور هدف نصب می کنید تعداد پورت ها به 501 افزایش می یابند اما اگر از روت کیت ها استفاده کنید و یکی از ان ها را بر روی سرور نصب کنید پورت های باز هیچ تغیری نمی کنند و همان 500 پورت باز باقی می مانند به این معنی است که توانسته خود را جایگزین پورت های باز می کنند و شناسایی ان ها بسیار سخت و پیچیده می شود.

  پکیج ها در لینوکس ، آشنایی و بروزرسانی آنها

مقایسه سوم

تفاوت سوم این است که اکثرا بکدور ها پس از restart سرور از بین میروند اما روت کیت ها پس از restart سرور مجدد شروع به کارمی کنند و به جرات می توان گفت تنها راه خلاصی از دست ان ها و به خصوص روت کیت های مدرن reset کردن و فرمت کردن سرور است

تا اینجا با معنا و مفهوم روت کیت ها اشنا شده اید اما ان ها

به دو دسته سنتی و سطح هسته تقسیم می شوند که در ادامه با این دو مورد اشنا خواهید شد

روش های گسترش پیدا کردن Rootkit

نحوه الوده شدن به روت کیت ها
راه های الوده شدن به بد افزار ها

روت کیت ها دقیقا مانند تمام بدافزار های دیگر گسترش پیدا می کنند ممکن است با باز کردن یک ایمیل یا یک لینک مخرب الوده به ان شوید ، چندین روش دیگر گسترش ان ها شامل بایند کردن روت کیت به یک برنامه عادی می باشد و جالب است که بدانید ممکن است با باز کردن یک عکس یا یک فایل pdf سیستم شما الوده به این بد افزار ها شود.

Rootkit سنتی

اولین روت کیت در اوایل سال 1990 ساخته شد و در دهه اول گستردگی زیادی پیدا کرد

و تا جایی پیش رفت که ان ها میتوانستند به صورت خودکار بر روی سیستم نصب و اجرا می شوند روت کیت های سنتی برای انواع سیستم عامل ها نوشته شده اند اما تمرکز انها  بیشتر برای ساخت ان ها بر پایه یونیکس بوده است و حتی برای ویندوز سرور ها هم نوشته شده اند که جایگزین فایل های DLL  می شوند

که حتما باید برای نصب ان ها دسترسی System داشته باشید.

Rootkit مدرن

روت کیت های مدرن نسبت به نوع سنتی ان ها بسیار پیشرفته تر هستند به این منظور که خود را در کرنل لینوکس مخفی کرده و این کار باعث می شود تا شناسایی ان ها بسیار سخت شود و نفوذگر با ایجاد تغیرات اساسی در کرنل می تواند در سیستم تا سطح بسیار زیادی تغیر ایجاد کند و قدرت زیادی برای ایجاد درب های پشتی و مخفی ماندن دارد و درنهایت کرنل به یک کرنل فاسد تبدیل می شود بدون انکه صاحب سیستم از ان خبر داشته باشد

  دور زدن کلودفلر و پیدا کردن ای پی سرور

همانظور که گقته شد روت کیت مدرن خود را در بخش هایی از کرنل قرار میدهد

و در صورتی که روت کیت های سنتی خود را جایگرین دستورات سیستمی

همانند دستور پرکاربرد ls می کنند

روت کیت های سنتی با جایگزین کردن خود در دستورات سیستمی خود را مخفی می کنند

بالابردن امنیت در مقابل با Rootkit ها

امنیت و مقابله با روت کیت ها
امنیت و مقابله با روت کیت ها

در ابتدای کار لازم است بدانید که حتی اگر بالاترین امنیت را در سرور خود برقرار کنید بازهم ممکن است مورد نفوذ قرار می گیرید پس باید همیشه هوشیار باشید اما مکانیزم های امنیتی وجود دارد که تا حد بسیار کمی می تواند از الوده شدن سیستم به روت کیت ها جلوگیری کند

باید با محافظت از کاربر روت و شناسایی و رفع اسیب پذیری های سیستم خود از کاربر روت محافظت کنید

و هرچقدر امنیت کاربر روت شما بالاتر باشد شانس نفوذگر پایین تر می اید زیرا این بد افزار ها همانگونه که گفته شد فقط با دسترسی روت نصب می شود سپس برای بالابردن امنیت خود در برابر روت کیت ها لازم است تا سیستم عامل خود و ابزار های مورد استفاده خود را همیشه به روز نگهدارید.

قدم سوم این است که باید برای بالا بردن امنیت خود در برابر این بد افزار ها از قوی ترین انتی روت کیت ها استفاده کنید اما لازم به ذکر است که چندان عملکرد خوبی برای شما ندارد و تنها می توانند برخی از ان ها شناسایی و پیدا کنند و توانایی شناسایی این نوع بد افزار های کمی حرفه ای ترو جدید تر را ندارد

نکات و خلاصه اموزش

در کل پیدا کردن روت کیت ها بسیار مشکل است و عملی سخت و زمان بری می باشد

و در نهایت می توان به جرات گفت تنها راه صد درصد برای خلاصی از دست ان ها

تغیر سیستم عامل سرور یا Reset سرور است.

ممکن است درحال حاضر سیستم یا سرور شما به روت کیت الوده باشد ، اکثرا افرادی که بر روی سیستم خود اطلاعات مهمی ندارند می گویند دلیلی ندارد که سیستم ما مورد نفوذ قرار بگیرد اما دقت داشته باشید که نفوذگر می تواند از سیستم شما برای کار های مخرب خود مانند حملات DDOS و … استفاده کند که در این صورت سیستم شما بدون ان که خبر داشته باشید حمله انجام میدهد و ممکن است به صورت قانونی هم دچار مشکل شوید.

موفق باشید

0/5 ( 0 نظر )

نیما حسینی هستم بنیان گذار تیم پن تست کور ، مدرس دوره های تست نفوذ و امنیت

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *