[ February 21, 2005 ] اخطار جدی درباره حمله «روت کیتها» به ویندوز مایکروسافت

کارشناسان امنیتی شرکت مایکروسافت درباره یک نسل جدید از برنامه های مراقب سیستمها هشدار داده اند. "روتکیتها" نامی است که برای این برنامه ها در نظر گرفته شده است که گفته میشود به آسانی با محصولات امنیتی موجود قابل شناسایی نیستند. این برنامه ها میتوانند برای شرکتها و افراد دردسرهای جدی تولید نمایند.
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران، از http://www.ComeToNet.com و به نقل از IDG News، محققین مایکروسافت درباره رشد تهدیدی که در قالب روتکیتهای کرنل (Kernel Root Kits) ظاهر میشوند در کنفرانس امنیتی RSA اخطار دادند. برنامه های جاسوسی مخربی که روزبروز گسترده تر میشوند امروزه به حالتی رسیده اند که بزودی تبدیل به نسل جدیدی از کرمها، ویروسها و جاسوسهای توزیع انبوه خواهند شد.
مایک دانسگلیو و کورت دیلارد دو محقق مایکروسافت در این باره گفتند که برنامه هایی با نامهایی مانند Hacker Defender و FU و Vanquish آخرین نمونه ها از نرم افزارهای مراقبت سیستم از راه دور میباشند که مدتی است دیده شده است.
اینها برنامه هایی هستند که بوسیله هکرهای مخرب برای کنترل، حمله و یا کاوش اطلاعات داخل سیستمی که برنامه درآن نصب شده است بکار میروند. این برنامه ها بدون اطلاع صاحب کامپیوتر میتوانند در سیستم نصب شود. عمل نصب بوسیله ویروس و یا مستقیما بوسیله هک کردن کامپیوتر انجام میشود.
اما وقتی برنامه نصب شد، در نمونه های ساده به آرامی در پس زمینه کار عادی کامپیوتر اجرا میشود و وقتی به عملکرد حافظه کامپیوتر نگاه کنید، یا ورود و خروج اطلاعات از سیستم را کنترل کنید و یا حتی برنامه های تازه نصب شده را چک کنید، حضور آنها را تشخیص خواهید داد.
اما واقعیت اینست که کرنل روتکیتها که میتوانند کرنل را بازنویسی کنند یا پردازش درخواست core را عوض کنند و کمپننت سیستم عامل را تغییر دهند روزبروز بیشتر میشوند که پیدا کردنشان ناممکن میشود. متاسفانه نویسندگان روتکیتها، قدمهای بسیار بزرگی در بالابردن تواناییهایشان برای پنهان نگهداشتن مخلوقات خود برداشته اند.
در مجموع بعضی از انواع جدید روتکیتها میتوانند جلوی درخواستها یا system calls که به کرنل میروند را گرفته و حاصل را فیلتر کنند. در نتیجه علامتهای عملی و واقعی که نشان میدهد یک برنامه در حال اجراست مانند اسم فایل اجرایی، یک پروسس مشخص که بعضی از حافظه های کامپیوتر را بکار میگیرند یا تنظیمات پیکربندی رجیستری سیستم عامل، برای مدیران سیستم و ابزار شناسایی موجود، نامرعی بوده و غیرممکن خواهد شد.
طبق گفته محققیق، کرنل روتکیتها را نمیتوان با ابزار شناسایی معمولی، آنتی ویروسها، سنسورهای تشخیص دخول به شبکه و هوست IDS، و نهایتا محصولات آنتی اسپای دید و پیدا کرد. در واقع ابزاری قدرتمند برای یافتن روتکیتها نیاز است که هرچند وجود دارد اما آنها را نویسندگان روتکینها تهیه کرده اند و نه شرکتهای امنیتی.
طبق مقاله مندرج در بخش تحقیقاتی مایکروسافت، برنامه ای بنام Strider Ghostbuster توسط مایکروسافت برای تشخیص روتکیتها بروش مقایسه بین نمونه های ویندوز آلوده و تمیز ایجاد شده است.
بهوش باشید که امروزه تنها راه خلاصی از دست روتکیتها آنست که هارد درایو آلوده بطور کامل پاک شود و سیستم عامل آن از ابتدا و بصورت Scratch نصب گردد.
جالب است بدانید که این نوع حمله فقط مختص ویندوز نیست و هر سیستم عاملی میتواند هدف قرار گیرد. هرچند که ابزار جدید برای تشخیص روتکیتها در راه است اما نویسندگان روتکیتها هم روزبروز برنامه های بهتری برای حمله مینویسند. کارشناسان مایکروسافت معتقد هستند که آنها باهوشند و بسیار هم باهوش هستند.

http://iritn.com