کمیته رکن چهارم – در دنیای نفوذگران سایبری، همواره راه های جدید و بدافزارهای نوینی ارائه می گردد که شگفتی همگان را در دنیای کامپیوتر بر می انگیزد. نفوذگران همواره به دنبال این هستند که بدافزارهای خود در سطح های بالاتر و دور از دید کاربران و نرم افزارهای ویروسیاب قرار بدهند. در میان انواع گونه های بدافزار، دو نوع “روت کیت” و “بات نت” دارای اهمیت و کاربرد بالای می باشد و البته درجه خطر بیشتر. در ادامه می خواهیم به معرفی این دو گونه بپردازیم و راه های جلوگیری از آنها را مورد بررسی قرار بدهیم.
به گزارش کمیته رکن چهارم،روت کیت Rootkit
به نوعی از بدافزارها گفته می شود که بر روی بخش های اصلی سیستم عامل می نشیند و کاملا از دید کاربر مخفی می ماند. این گونه از بدافزارها کنترل کامل سیستم قربانی را بدست می گیرند و قابلیت گرفتن دستورات شخص نفوذگر از راه دور را دارا می باشند. به سیستم قربانی زامبی گفته می شود. روت کیت ها به خودی خود نمی توانند خرناک باشند، بلکه با استفاده از منابعی از سیستم عامل می توانند نفوذ خود را انجام بدهند. روت کیت ها خود را جایگزین برنامه های مهم در سیستم عامل می کنند و در گاهی مواقع خود را در دل هسته مرکزی سیستم عامل قرار می دهند و سپس اعمال تخریبی خود را به انجام می رسانند و همین باعث مخفی ماندن آنها می شود.
در حالت کلی روت کیت ها به دو دسته ی زیر تقسیم می شوند:
• روت کیت سنتی: این گونه از روت کیت ها، فایلهای خود را به جای پروسه های اصلی سیستم عامل و یا سرویس های آن جا می زنند و فعالیت خود را آغاز می کنند.
• روت کیت سطح هسته: این گونه از روت کیت ها فایلها و کدهای خود را در هسته سیستم عامل جاسازی می کنند و امکان کشف آنها بسیار مشکل می باشد. در این حالت دسترسی ریشه ای از سیستم عامل می گیرند و کاملا به مرکز سیستم عامل دسترسی پیدا می کنند و با این سطح دسترسی، امکان هرگونه عملیات مخربی را بر روی سیستم عامل قربانی خواهند داشت.
بات نت Botnet
بات نت به شبکه ای از کامپیوترهای نفوذ شده گفته می شود که توسط شخص نفوذگر مدیریت می گردد. این کامپیوتر ها توسط شخص نفوذگر و سرورهای C&C مدیریت می گردد. در روت کیت ها گفتیم که توسط این نوع از بدافزارها، شخص نفوذگر کنترل کامل به سیستم قربانی دارد و برای پیوستن این سیستم ها به شبکه های بات نت هم مورد استفاده قرار می گیرد. توسط سرورهای C&C شخص نفوذگر می تواند Command های مورد نظر خود را بر روی تمامی قربانی ها به صورت دقیق و منظم اعمال کند. در حالت کلی به این شخص نفوذگر Bot Master می گویند.
خطرات Rootkit و Botnet
در حالت کلی می توان گفت که استفاده از این دو در حال حاضر به صورت همزمان می باشد و خطراتی هم که بر روی دنیای سایبری در حال حاضر دارند به صورت هماهنگ می باشد. در زیر چند نمونه از خطراتی را که این گونه بدافزارها بوجود می آورند را ذکر می کنیم.
• حملات DDOS : یکی از سوء استفاده های که با کامپیوترهای زامبی در شبکه های بات نت می کنند، حملات سازمان یافته DDOS بر علیه شبکه ها و سایتهای بزرگ می باشد. برای انجام این حملات، Bot Master دستور اجرای یک Command را به سرور C&C می دهد و این دستور به صورت همزمان به تمامی زامبی ها فرستاده می شود و تمامی زامبی ها به صورت کاملا خودکار به سمت یک سایت و یا یک درگاه شبکه ای درخواستی را ارسال می کنند. حجم ترافیک بالای این درخواست ها باعث قطع سرویس دهی آن سایت یا شبکه می شود.
• حملات Spamming : یکی دیگر از سوء استفاده هایی که از قربانیان این گونه بدافزارها می کنند، ارسال ایمیل های جعلی به تعداد بسیار بالا برای مخاطبان گروهی بزرگ می باشد که بیشتر برای دزدی اطلاعات آنها و یا برای انجام تبلیغات گسترده انجام می گیرد.
• فروختن ترافیک : یکی دیگر از سوء استفاده هایی که انجام می گیرد، فروختن ترافیک بسیار بالایی از ترافیک اینترنتی قربانیان جهت مقاصد خاصی همچون SEO کردن سایتها و انجام جمع آوری گسترده اطلاعات مهم اشخاص توسط بیرون کشیدن داده های بدردبخور از میان آن ترافیک ها می باشد.
مقابله با Rootkit و Botnet
می توان گفت که با دانش به این موضوع که شناسایی روت کیت ها بسیار مشکل می باشد، اما استفاده از Security System های معروف همچون Bitdefender و Kaspersky به علت قرار داشتن یک بخش Anti Rootkit بر روی موتور مرکزی خود، توانایی شناسایی برخی از این گونه بدافزارها را دارند. اما نباید از آنها توقع زیادی داشت!
در مورد بات نت ها می توان گفت که برخی از ترفندها می توانند برای جلوگیری از این گونه بدافزار مناسب باشند. می توان به موارد زیر اشاره کرد:
• استفاده از مرورگرهای مختلف بر روی یک سیستم عامل
• استفاده از IDS و IPS ها جهت شناسایی ترافیک های مربوط به عملکردهای Botnet
• استفاده از پلاگین های مرورگرهایی همچون فایرفاکس جهت جلوگیری از اجرای اسکریپت ها
• مونیتورینگ شبکه جهت کشف ترافیک های غیر معمول به سمت یک سایت یا آدرس اینترنتی خاص
