مواظب این روت کیت خطرناک باشید 100درصد خطرناک

 

به گزارش موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، قابلیت اصلی روت کیت 64بیتی این است که سعی نمی‌کند از سیستم محافظتی کرنل PatchGuard عبور کند؛  اما در عوض از امضای دیجیتال خاصی برای توسعه‌دهندگان نرم‌افزار استفاده می‌کند. این روت‌کیت از طریق یک دانلودر که سعی می‌کند نرم‌افزارهای خطرناک دیگری را نصب کند، منتشر می‌شود. کارشناسان لابراتوار کسپرسکی یک متغیر کشف کردند که تلاش می‌کند یک آنتی ویروس جعلی را روی سیستم عامل Mac OSX، در کنار دیگر بدافزارها، دانلود و نصب کند. البته این بدافزار مسلما در محیط ویندوز کار نمی‌کند که نشان می‌دهد علاقه‌مندی‌های تبهکاران سایبر در زمینه سکوهای نرم‌افزاری جایگزین در حال رشد است.
روت کیت‌ها برنامه‌های خطرناکی هستند که معمولا در قالب درایور وجود دارند و می‌توانند داخل سطح کرنل یک سیستم عامل به اجرا دربیایند و هنگام بوت شدن سیستم بارگذاری شوند. این امر باعث می‌شود تشخیص روت کیت‌ها با استفاده از ابزارهای محافظتی استاندارد دشوار باشد. روت کیت‌های مورد بحث از طریق یک دانلودر منتشر می‌شوند که از یک بسته خرابکاری به نام BlackHoleExploitkit استفاده می‌کند.
معمولا رایانه‌های کاربران در اثر بازدید از وب‌سایت‌های حاوی دانلودر آلوده می‌شود. و تعدادی از آسیب پذیری‌های نرم‌افزارهای متداول مثل محیط اجرایی جاوا و ادوبی برای حمله به ماشین هدف مورد استفاده واقع می‌شوند. این دانلودر برای آلوده سازی سیستم‌های ویندوزی از هر دو نوع 32بیتی و 64بیتی که یکی از دو روت کیت مربوط را داشته باشد، استفاده می‌شود.
الکساندر گوستف، کارشناس امنیتی ارشد لابراتوار کسپرسکی، در این باره می‌گوید: « این درایور 64بیتی با چیزی به نام «امضای دیجیتال تست گیری» امضا شده است. اگر ویندوز از نوع ویستا یا بالاتر در حالت TEST SIGNING بوت شود، برنامه‌ها می‌توانند به درایورهای امضا شده با چنین امضایی دسترسی یابند. این یک دریچه (trap door) ویژه است که مایکروسافت برای توسعه دهندگان درایور باقی گذاشته تا بتوانند تولیدات خود را تست کنند. تبهکاران سایبر نیز از این روزنه استفاده می‌کنند تا درایورهایشان را بدون امضای قانونی اجرا کنند. این نمونه‌ای دیگر از یک روت کیت است که نیاز به عبور از سامانه محافظتی PatchGuard (موجود در آخرین نسخه‌های ویندوز 64بیتی) ندارند.»
این گزارش می افزاید هر دو روت کیت عملکردی مشابه دارند. آنها مانع تلاش‌های کاربران برای نصب یا اجرای برنامه‌های ضد بدافزار متداول می‌شوند و با دخالت و نظارت فعال سیستم به طور موثری از خودشان محافظت می‌کنند. همچنان که روت کیت آسیب پذیری‌های رایانه را مورد تهاجم قرار می‌دهد، دانلودر نیز سعی می‌کند کدهایی خطرناک (از جمله آنتی ویروس جعلی فوق‌الذکر برای سیستم عامل OS X مکینتاش) را یافته و به اجرا درآورد. این ضدویروس جعلی تحت عنوان Hoax.OSX.Defma.f شناخته می‌شود و یکی از تهدیدهای سیستم‌عامل OSX مکینتاش است که به طور روزافزونی در حال تبدیل شدن به هدف بهتری برای تبهکاران سایبر است.
این مثال نشان می‌دهد که نرم‌افزارهای خطرناک به طور پیچیده‌تری در حال رشد هستند و در حال رفتن به سوی اجزای متنوعی هستند که در خدمت اهداف مشخصی می باشند. هدف این تهدیدها ممکن است نسخه‌های مختلفی از سیستم‌های عامل یا حتی سکوهای نرم‌افزاری مختلف باشد.
گفتنی است، محصولات آزمایشگاه کسپرسکی قادر به تشخیص موفقیت‌آمیز تروجان دانلودر Win32.Necurs.a و روت‌کیت‌های متناظرش
 (Rootkit.Win32.Necurs.a و Rootkit.Win64.Necurs.a) و چاره‌جویی برای آنها هستند.

/ 2 نظر / 20 بازدید
محمد

سلام مطلبتون خيلي به دردم خورد مرسي

حسين محمودي

با سلام خدمت شما خيلي وبلاگ جالبي داري ممنون