تهران - ایرنا - یک شرکت اینترنتی اعلام کرد: تعداد حملات ویروسی روت کیت های جدید در سه ماهه اول سال جاری افزایش قابل توجهی داشته است و به آمار سال 2011 نزدیک شده است.
به گزارش ایرنا ازسازمان فناوری اطلاعات ایران، افزایش ناگهانی روت کیت ها مربوط به روت کیت هایی بوده که سیستم های ویندوز 32 بیتی را هدف قرارداده بود با این حال، روت کیت های جدید طراحی شده برای سیستم های 64 بیتی به احتمال زیاد به افزایش این نوع از حمله در آینده منجر می شوند.
روت کیت ها برنامه های مخربی هستند که برای پنهان کردن سایر برنامه های مخرب و فعالیت آنها از دید کابران طراحی شده اند. آنها به طور معمول در داخل هسته سیستم عامل با بالاترین حق دسترسی سیستم اجرا می شوند و حذف و تشخیص آنها به سختی برای محصولات امنیتی امکان پذیراست.
محققان شرکت مک آفی بر این باورند که کاهش در تعداد نمونه روت کیت های جدید مشاهده شده در طول 2012 و 2013 را می توان به رشد به روزرسانی روتکیت ها به نسخه های 64 بیتی برای مقابله با تدابیر امنیتی از جمله PatchGuard و اجرای امضای دیجیتالی درایورها مرتبط دانست که موجب افزایش هزینه تولید روتکیت برای سیستم عامل های 64 بیتی می شود.
با این حال با رشد استفاده از سیستم های 64 بیتی انگیزه جهت سرمایه گذاری بیشتر برای دور زدن ابزارهای دفاعی آنها بیشتر شده است. قابلیت های امنیتی قرارداده شده در سیستم های 64 بیتی برای مهاجمان سازمان یافته تنها حکم سرعت گیر را دارد که به زودی از آن عبور خواهند نمود.
یکی از تکنیک های سواستفاده از آسیب پذیری های سیستم های 64 بیتی میتواند نصب یک سخت افزار یا نرم افزار با درایور دارای امضای دیجیتال و سپس سعی در دسترسی به کرنل باشد.
یکی از این نوع روتکیت ها Uroburos نام دارد که یک روتکیت پیچیده است که در ماه فوریه سال جاری کشف شده که در حملات جاسوسی اطلاعات با نصب نسخه های قدیمی درایور VirtualBox دارای امضای دیجیتال استفاده شده است. در این نوع حمله پس از سوء استفاده از آسیب پذیری، افزایش سطح دسترسی صورت می گیرد.
یکی دیگر از روش معمول برای حمله به سیستم های 64 بیتی، سرقت گواهینامه های امضای دیجیتال از شرکت های معتبر و استفاده از آنها در کد های مخرب جهت عدم شناسایی است .
از ژانویه 2012 حداقل در 21 نمونه روتکیت 64 بیتی منحصر به فرد گواهی های به سرقت رفته استفاده شده است. نرم افزار مخرب W64/Winnti حداقل پنج کلید خصوصی از فروشندگان قانونی به سرقت برده و در نصب روتکیت های خود بر روی سیستم های 64 بیتی از سال 2012 استفاده نموده است. از این پنج کلید حداقل دو کلید ابطال نشده و ممکن است برای اهداف نا مشروع و مخرب درحال استفاده باشد.
طی سال جاری تعداد برنامه های مخرب دارای امضا دیجیتالی به طور کلی رو به افزایش بوده است. در حال حاضر بیش از 25 میلیون نمونه شناخته شده از نرم افزارهای مخرب دیجیتالی امضا شده، که بیش از 2.5 میلیون از این نرم افزارها در سه ماهه اول سال جاری کشف شده اند.
راه دیگر برای دور زدن تدابیر دفاعی سیستم های 64 بیتی توسط روتکیت ها، بهره برداری از آسیب پذیری افزایش سطح دسترسی کشف شده در هسته ویندوز بوده که تعداد این نقص ها در چند سال گذشته رو به افزایش است .
پژوهشگران در حال توسعه ابزار هدفمند بررسی شرایط رقابتی مانند “Double Fetch” برای پیدا کردن نقص در کد هسته می باشند. به گفته آنها، موج جدیدی از حملات روتکیت ها در برابر سیستم های 64 بیتی با استفاده از تعداد فزاینده ای از آسیب پذیری ها درراه است.
یک کلاس خاص از روتکیت ها به نام bootkits که کدهای مخرب را در مستر بوت رکورد سیستم در اولین بخش 512 بایت از هارد دیسک کپی می کند که به طور معمول شامل کد های بوت لودر سیستم عامل است . اجرای کد MBR قبل از هسته سیستم عامل آغاز می شود ، بنابراین کد های مخرب ذخیره شده می توانند پیش از اجرای هر برنامه امنیتی نصب شده در سیستم عامل اجرا شوند.
در طول سه ماهه اول سال جاری نسبت به سه ماهه اول دو سال گذشته بیش از 900.000 از انواع نرم افزارهای مخرب جدید را با MBR Payload کشف و شناسایی شده است . از نظر شرکت مک آفی تعداد نرم افزار های مخرب آلوده ساز MBR بیش از 6 میلیون است .
یکی از راهکارهای مقابله با این نوع حملات استفاده از قابلیت بوت امن با جایگزینی UEFI، Unified Extensible Firmware Interface ، با Bios در کامپیوتر های جدید جهت جلوگیری از نصب و راه اندازی Bootkit است .
UEFI کدهای بوت را با یک لیست سفید از کدهای تایید شده و دارای امضای دیجیتال چک می کند و در صورت عدم مغایرت اجازه بوت شدن سیستم عامل را می دهد.
اگر چه در سال گذشته محققان امنیتی آسیب پذیری های متعدد در پیاده سازی UEFI یافته اند که می توان از طریق آنها نسبت به غیر فعال کردن بوت امن اقدام نمود
__________________