راز روت کیتهای ویندوز

هکرها از تکنیک های بسیار پیچیده ای برای کنترل ماشین استفاده می کنند و کارشناسان می گویند این تازه شروع ماجراست و عمده عملیات انجام شده همیشه قابل کشف نیست .

کد خبر: ۲۱۶۷۱

در ماه ژانویه بارون مرتنز اذعان کرد که به خاطر باگ ناشناخته درون کلاسترهای ویندوز سرور 2000 در دانشگاه اونتاریو ، سیستم ها به صورت تصادفی crash کرده و از کار افتاده است . تنها چیزی که کشف شد این بود که وقتی صفحه آبی یا صفحه مرگ ویندوز می آمد یک پیام عجیب مبنی بر مقصر بودن کامپوننسی به نام ierK8243.sys بر صفحه مانیتور ظاهر می شد. او هرگز در این باره چیزی نشنیده بود و وقتی با مایکروسافت تماس گرفت آنها حرفی برای گفتن نداشتند. چون می دانستند همه چیز تمام شده است و تنها بارون است که دستپاچه شده بود. وی بعد فهمید ابزاری مخفی روی شبکه پیاده شده که تقریبا ردپایش نادیدنی است و کسی نمی تواند هویت حمله کننده را دریابد. وی از خود می پرسید که چیست و بعدا با نامهای slanret یا IERK و backdoo-ALi روبه رو شد. کارشناسان با بررسی های فراوان فهمیدند آنها ابزاری هستند که به عنوان روت کیتهای ویندوز جاسازی شده و سوار بر سیستم عامل کل برنامه های ویندوز را در سطحی بسیار پایین نزول داده و آن را از حرکت و پردازش باز می دارند. در حال حاضر اسبهای تروا به صورت Kernelmode روت کیتها را هدف قرار داده و برنامه های تحت کنترل Admin را به مخاطره می اندازد. این کاملا با سایر ابزارهای مرسوم که خود را درون سیستم شناسانده و در کنار آن قرار می گیرد، متفاوت است . بکدورهای مرسوم مانند Subseven و Bo2k در usermode اجرا می شوند دقیقا زمانی که سایر اپلیکشن ها روی ماشین مورد نظر اجرا می شوند. این بدان معنی است که سایر برنامه ها نظیر اسکنرهای ضدویروس می توانند به آسانی از روی رجیستری خطر را کشف کنند. اما روت کیت در حد وسط تعریف شده و بین سیستم عامل و برنامه هایی که روی سیستم عامل تکیه دارند قرار می گیرد و همه گونه تصمیم برای اجرای برنامه ها از آن طریق صورت می گیرد. بنابراین روت کیت خود را درون سیستم پنهان می کند و لیستی از دایرکتوری ها برایش تهیه می شود که خود را کاملا پنهان می سازد. اسلانرت یک برنامه 27کیلوبایتی است که درون سرور به نام Krei اجرا می شود و اولین کارش باز کردن پورتها برای نفوذ است و پس از ورود اجازه می دهد تا هکر از راه دور دستورات را تحت داس و با خط فرمانهای عادی دنبال کند. Null.sys ، HE4HOOK و Hackerdefender جزو همین شاخه به حساب می آیند با این تفاوت که قدیمی تر هستند. روز به روز هم این تکنیک ها پیچیده تر شده و مخفی تر می شوند تا دست کسی به آنها نرسد.