روت کیت (Rootkit)، تهدیدات پنهان!

این تهدیدات بنابر روش آلودگی و عملیات آن به چند دسته کلی به شرح زیر تقسیم می‌شود:

Kernel mode rootkit: این نوع طراحی شده که عملکرد کلی سیستم عامل را تحت تاثیر قرار دهد. این روت کیت با چسباندن خود به کرنل سیستم عامل، کدها و ساختار داده خود را به آن اضافه می‌کند و به عنوان یک ماژول از دسترسی‌های حداکثری سیستم برای پیشبرد اهداف مهاجم استفاده می‌کند.

User mode rootkit: که به عنوان application rootkit نیز شناخته می‌شود در سمت کاربران اجرا می‌شود و هنگام بوت شدن سیستم شروع به کار می‌کنند. در این نوع خبری از دسترسی‌های سطح بالای یوزر روت نیست و معمولا با دستکاری در لینک دهی داینامیک سیستم عامل خود را به جای نرم افزارهای مجاز اجرا می‌کنند.

Bootkit: این نوع با آلوده کردن MBR روی هارد دیسک‌ها یا سایر حافظه‌های جانبی متصل به سیستم، پروسه بوت را در اختیار خود می‌گیرند و می‌توانند حتی پیش از بارگذاری سیستم عامل عملیات خرابکارانه خود را انجام دهند. یکی از معروف‌ترین Bootkit های حال حاضر، بوت کیت BlackLotus می‌باشد که اولین بوت کیت عملیاتی ساخته شده برای UEFI می‌باشد.

Firmware rootkit: این نوع از تهدیدات با بهره‎‌گیری از نرم افزارهای تعبیه شده در فریمورهای سیستم و نصب کردن خود بجای آنها که توسط کارت‌های شبکه، سیستم‌های ورودی/خروجی، مسیریابها و سایر لوازم جانبی استفاده می‌شود.

Memory rootkit: اکثریت روت کیت‌ها پس از آلوده کردن سیستم خود را بروی دستگاه‌های ذخیره ساز متصل سیستم ذخیره می‌کنند تا به حضور خود در سیستم قربانی ادامه دهند. اما نوعی از روت کیت‌ها وجود دارند که درون حافظه RAM قرار می‌گیرند و تا زمانی به حیات خود ادامه می‌دهند که سیستم قربانی روشن است.

Virtualized rootkit: همانند نرم افزارهای کنترل کننده لایه هایپروایزر عمل می‌کنند که کنترل یک یا چند ماشین مجازی را به عهده دارد. روت کیت عملکرد متفاوتی در محیط‌های مجازی دارد؛ در یک محیط مجازی سازی شده، ماشین‌های مجازی کنترل شده توسط هایپروایزر عملکرد نرمالی از خود نشان می‌دهند. بدون تغییر محسوسی در عملکرد ماشین مجازی متصل به لایه مجازی ساز، روت کت عملیات مخربانه خود را انجام می‌دهد.