در گزارش آماری و تحلیلی McAfee از تهدیدات سایبری آمده است که افزایش بی سابقه آلودگی به بدافزارهای Rootkit در سه ماهه اول سال میلادی جاری، اکثراً مربوط به یک گونه خاص از این نوع بدافزارها بوده است. این گونه از Rootkit فقط قادر به آلوده ساختن سیستم های 32 بیتی است. ولی در گزارش McAfee پیش بینی شده است که با افزایش Rootkit هایی که اختصاصاً برای سیستم های 64 بیتی طراحی و ساخته خواهند شد، شاهد افزایش آلودگی در سیستم های 64 بیتی هم خواهیم بود.
Rootkit نوعی بدافزار است که برای مخفی ساختن فعالیت ها و برنامه های مخرب طراحی و بکار گرفته می شود. بطور معمول، این نوع بدافزار در سطح هسته مرکزی (Kernel) سیستم عامل با حداکثر مجوزهای دسترسی، فعال است. به همین دلایل نیز شناسایی و پاکسازی Rootkit دشوارتر از دیگر انواع بدافزارها می باشد.
یکی از دلیل کاهش فعالیت Rootkit ها در دو سال گذشته و کاهش میزان آلودگی به این بدافزارها، استفاده بیشتر از سیستم های 64 بیتی Windows می باشد که در آنها راهکارهای امنیتی برای مقابله با Rootkit ها بکار گرفته شده اند. راهکارهایی نظیر PatchGuard و داشتن گواهینامه دیجیتالی برای گرداننده (Driver) هایی که در محیط Kernel فعال می شوند.
تابحال میزان سیستم های 64 بیتی در مقایسه با 32 بیتی اندک بوده و برای بدافزارنویسان چندان جذابیت نداشتند. ولی اکنون که شاهد افزایش قابل توجه سیستم های عامل 64 بیتی هستیم، طراحی و ساخت بدافزار برای این محیط رو به رشد، می تواند برای بدافزارنویسان جذاب و سودآدر باشد.
راهکارهای امنیتی بکار گرفته شده در سیستم های عامل 64 بیتی هم برای بدافزارنویسان حرفه ای و نفوذگران بیشتر جنبه مزاحمت و وقفه دارند تا اینکه واقعا بصورت یک دیوار مقاوم امنیتی در برابر رخنه به سطح Kernel سیستم عامل عمل کرده و مانع از فعالیت Rootkit ها ی جدید شوند. همین حالا هم راه های مختلفی برای نفوذ به Kernel سیستم های عامل ابداع شده است.
نصب هر گرداننده در سطح Kernel نیازمند داشتن گواهینامه دیجیتالی معتبر برای آن گرداننده است. بدافزارنویسان برای دور این مانع و نفوذ به Kernel سیستم عامل 64 بیتی، ابتدا یک گرداننده معتبر ولی آسیب پذیر را نصب کرده و سپس با سوء استفاده از ضعف امنیتی در گرداننده، دسترسی غیرمجاز به Kernel پیدا می کنند.
یک راه رایج دیگر برای نفوذ به Kernel سیستم های 64 بیتی، سرقت گواهینامه های دیجیتالی معتبر می باشد. در دو سال گذشته بیشتر از 20 بدافزار Rootkit شناسایی شده اند که از گواهینامه های معتبر سرقت شده، استفاده می کردند. بدافزار W64/Winnti تابحال از پنج گواهینامه دیجیتالی مسروقه مختلف برای نصب در محیط های 64 بیتی استفاده کرده است. هم اکنون نیز دو مورد از این گواهینامه ها ابطال نشده و مورد استفاده صاحب آن و بدافزار Winnti قرار می گیرند.
راه دیگری که بدافزارنویسان برای رخنه به Kernel سیستم های 64 بیتی Windows انتخاب کرده اند، سوء استفاده از نقاط ضعف خود Windows در بخش Kernel است. تعداد نقاط ضعفی که مایکروسافت در دو سال گذشته در بخش Kernel سیستم عامل Windows اصلاح و ترمیم کرده، به میزان قابل توجهی افزایش یافته است.
گزارش فصلی شرکت McAfee برای سه ماهه اول سال 2014 درباره روند تهدیدات در فضای مجازی را می توانید از طریق این پیوند دریافت و مطالعه کنید.