Rootkit တစ်ခု ဆိုတာ ဘာလဲ? ၎င်းက ဘယ်လိုအလုပ်လုပ်ပြီး ၎င်းကို ဘယ်လို ဖယ်ရှားရမလဲ?

“Rootkit” စကားလုံးမှာ ကွန်ပျူတာအသုံးပြုသူများအတွက် စက်များပေါ်တွင် တိုက်ခိုက်မှုများ သို့မဟုတ် ဗိုင်းရပ်စ်များနှင့် ဆက်စပ်မှုရှိနေနိုင်ပြီး များသောအားဖြင့် malware နှင့် – ကောင်းမွန်သောအကြောင်းပြချက်အတွက် ဆက်စပ်နေသည်။ Rootkit သည် အန္တရာယ်အရှိဆုံး malware အမျိုးအစားဖြစ်ပြီး ထပ်ပြောရလျှင် အလွန်ပါးနပ်သောကြောင့် သင့်ကွန်ပျူတာပေါ်တွင် ၎င်းရှိနေကြောင်း သင် သတိပြုမိလိမ့်မည်မဟုတ်ပေ။ ထို့ကြောင့် လူအများမှာ ဤခြိမ်းခြောက်မှုအမျိုးအစား တည်ရှိနေခြင်း နှင့် ၎င်းတို့၏စက်များ ကူးစက်ခံနေရခြင်း တို့ကို လုံးဝ သတိမမူမိကြပေ။ Rootkit တစ်ခုဆိုတာ ဘာလဲ၊ ၎င်းကို ဘယ်လိုဖယ်ရှားရမလဲ နှင့် rootkits ရန်မှ သင်ကာကွယ်နိုင်မလား စသည်တို့ကို ရှာဖွေကြည့်လိုက်ရအောင်။

Rootkit တစ်ခု ဆိုတာ ဘာလဲ?

Rootkit ၏ အဓိပ္ပါယ်ဖွင့်ဆိုချက်တွင် “root” နှင့် “putty” ဟူသည့် စာလုံး နှစ်လုံး ပေါင်းစပ်ထားသည်။ Unix မှာ ၎င်းကိုယ်တိုင် “root” အနေနှင့် ညွှန်းဆိုထားပြီး စနစ်အား အပြည့်အဝ၊ တားမြစ်မှုမရှိ ဝင်ရောက်ရယူမှုရှိသည့် အသုံးပြုသူတစ်ယောက်ဟု အဓိပ္ပါယ်ရသည်။ “Putty” တစ်ခုမှာ ရိုးရှင်းစွာ tool များ၏ အစုတစ်စုသာ ဖြစ်သည်။ ဤစာလုံး နှစ်လုံး ပေါင်းစပ်ခြင်း ဆိုသည်မှာ ဟက်ကာတစ်ယောက်အား ကူးစက်ခံ ကွန်ပျူတာတွင် အဝေးထိန်း နှင့် အမြဲ ဝင်ရောက်ရယူခွင့် ရရှိရန် နှင့် ၎င်းပေါ်တွင် အမျိုးစုံသော tool များအား install လုပ်ခြင်း အခွင့်ပေးသည့် အလွန်တရာ အန္တရာယ်ရှိသော ဆော့ဖ်ဝဲ ဟု အဓိပ္ပါယ်ရသည်။ ၎င်းတို့၏ ရည်ရွယ်ချက်မှာ များသောအားဖြင့် အချက်အလက် ခိုးယူရန် နှင့် အသုံးပြုသူမှာ များသောအားဖြင့် ၎င်းကိုယ်ပိုင်စက်အား ထိန်းချုပ်မှုမရရှိတော့ကြောင်းပင် မသိနိုင်ခြင်းကြောင့် rootkit အားဖြင့်ဖြစ်သော ခြိမ်းခြောက်မှုမှာ အထင်သေး၍မရပေ။

Rootkit သည် keylogger များကဲ့သို့အလားတူ လုပ်ဆောင်ရင်း စုံစမ်းထောက်လှမ်းခြင်းအား ရှောင်ရှားသည် – ၎င်းသည် စနစ်ထဲ၌ နက်သထက်နက်စွာ ထိုးသွင်းဝင်ရောက်ရန် ကြိုးစားပြီး anti-virus ပရိုဂရမ်များနှင့် အခြား လုံခြုံရေး ထံမှ ပါးနပ်စွာ ရှောင်ပုန်းသည်။ ၎င်းသည် ခံရသူ၏စနစ်ထဲတွင် ထပ်ဆင့်အရာများကို install လုပ်နိုင်ရုံသာမက ထိုအရာများကိုလည်း ဖယ်ထုတ်နိုင်သည့် “မမြင်နိုင်သော တံခါးများ” အား ဆိုက်ဘာဒုစရိုက်သမားများအတွက် စနစ်ပေါ်တွင် ဖန်တီးပေးရင်း များသောအားဖြင့် backdoor တစ်ခုအနေနှင့် ပြုမူသည်။ Rootkits ထဲရှိ ဘုံအဖြစ်ဆုံး tool များမှာ –

  • Theft modules – လှို့ဝှက်ကုဒ်များ၊ ခရက်ဒစ်ကတ် အသေးစိတ်များ၊ အွန်လိုင်း ဘဏ်ဝန်ဆောင်မှု သတင်းအချက်အလက် တို့အား ကြားဖြတ်၊ ပိတ်ဆို့ခြင်း
  • DDoS ပေါ်တွင် တိုက်ခိုက်မှုများအတွက် bots
  • Keyloggers (ကီးဘုတ် keystroke များ ဖမ်းယူခြင်းအတွက် mechanism များ)
  • လုံခြုံရေး စနစ်များအား ရပ်တန့်ပိတ်ခြင်း နှင့် ရှောင်တိမ်းခြင်းတို့ တတ်စွမ်းနိုင်သော လုပ်ဆောင်ချက်များ

Rootkit malware မှာ တိကျသော စနစ်တစ်ခုအတွက် စီမံဖန်တီးခံထားရမည်။ Windows အတွက်ဆိုလျှင် Necurs, Alueron, ZeroAccess သို့မဟုတ် TDSS ကဲ့သို့ active rootkits အစရှိသည်တို့ကို သင် ခွဲခြားသတ်မှတ်နိုင်သည်။ ယနေ့ခေတ်တွင် rootkit များသည် MacOS, Solaris, FreeBSD နှင့် အခြား အနည်းနှင့်အများ သိပြီးသား solution များဖြစ်ကြသည့် မည်သည့် စနစ်ကိုမဆို တိုက်ခိုက်နိုင်သည်။

အဆုံးသတ်မှာ တစ်ခုတည်းပင် – ယနေ့အခါတွင် မည်သည့် စနစ်မှ ၁၀၀% လုံခြုံရေးကို အာမ မခံပေးပေ။

Rootkits ၏ အသုံးပြုမှု

 

Rootkit ကိုယ်တိုင်မှာ အန္တရာယ်မပြုသော်လည်း ၎င်းမှာ ၎င်းကိုယ်ပိုင်ပေါ်တွင် ဘယ်တော့မှ မဖြစ်ပေါ်ချေ။ Rootkit ပက်ကေ့ချ်တွင် ထပ်ဆင့်အန္တရာယ်ရှိသော ပရိုဂရမ်တစ်ခု အမြဲ ပါဝင်သည်။ Rootkit ၏ တာဝန်မှာ ကျူးကျော်လာသည့်အရာအား စုံစမ်းထောက်လှမ်းရန် မည်သည့်ကြိုးပမ်းမှုကိုမဆို တားဆီးပိတ်ပင်ရန် ဖြစ်သည်။ လက်ရှိတွင် rootkit များအား အင်တာနက်တိုက်ခိုက်မှုများအတွက် အဓိက အသုံးပြုကြသော်လည်း အခြားအရာများအကြား anti-piracy ကာကွယ်မှုများကို ဖြတ်ကျော်ရန် ခွင့်ပြုသည့် tool rootkit များလည်းရှိသည်။
Rootkit များသည် ဥပမာ – drive ထဲသို့ မူလ စီဒီ မီဒီယာ ထည့်သွင်းရန် လိုအပ်ချက်အား ကျော်ဖြတ်သည့်၊ ဂိမ်း၏ ခိုးယူထားသောဗားရှင်းတစ်ခု နှင့်အတူ virtual disk တစ်ခု ဖန်တီးသည့် ကွန်ပျူတာဂိမ်းကစားသူများ အကြား အထူးသဖြင့် နာမည်ကြီးသော solution တစ်ခု ဖြစ်သည်။

Rootkits အား အသုံးပြုနိုင်သည့် နေရာများမှာ – 

  • ဟက်ကာတစ်ယောက်မှ တိုက်ခိုက်ခံရသောစက်အား အဝေးမှ ထိန်းချုပ်နိုင်ခြင်းအားဖြင့် စနစ်တွင် backdoor များ သို့မဟုတ် မမြင်တွေ့နိုင်သော တံခါးများ ဖန်တီးခြင်း။ ဤအရာသည် အချက်အလက်သူခိုး သို့မဟုတ် အတုအယောင် ကဲ့သို့သော တရားမဝင် ဝင်ရောက်မှုကို ခွင့်ပြုသည့် သက်သေအထောက်အထား mechanism များအား ကျော်ဖြတ်ရန် သင့်အား အခွင့်ပေးသည်။
  • Malware – ဥပမာ အရေးကြီးအချက်အလက်၊ လှို့ဝှက်ကုဒ်များ အစရှိသည်တို့ကို ခိုးယူရန် ဒီဇိုင်းရေးဆွဲထားသော malware။ ဤအရာများမှာ ဘုံအဖြစ်ဆုံး keylogger များ နှင့် ဗိုင်းရပ်စ်များ ဖြစ်ကြသည်။
  • ဟက်ကာ၏ ကွန်ပျူတာ အား ကျော်ဖြတ်ခြင်းဖြင့် အခြားစက်များပေါ်တွင် နောက်ထပ် တိုက်ခိုက်မှုများအတွက် တိုက်ခိုက်ခံရသော ကွန်ပျူတာ သို့မဟုတ် ကွန်ယက်ကို အသုံးပြုခြင်း။ မကြာခဏပင် တိုက်ခိုက်ခံရသောကွန်ပျူတာအား “ဇွန်ဘီး ကွန်ပျူတာ” တစ်ခုဟု ညွှန်းဆိုလေ့ရှိသည်။ အခြေခံသဘောတရားအရ အင်တာနက်နှင့် ချိတ်ဆက်ထားသည့် မည်သည့်စက်ကိုမဆို ဇွန်ဘီးများအဖြစ် အသွင်ပြောင်းပစ်နိုင်သည်။

ဤတိုက်ခိုက်မှု အမျိုးအစားများမှာ malware (botnet) ကူးစက်ခံထားရသော ကွန်ပျူတာ အုပ်စုတစ်ခုပေါ်တွင် အဓိက လုပ်ဆောင်ခြင်းခံရကြသည်။ ဤအရာသည် spam, လင့်ခ်များ ပို့ခြင်း၊ လှည့်စားသည့် click များ (click fraud) သို့မဟုတ် DDoS တိုက်ခိုက်မှုများ အစရှိသည့်တို့နှင့် ဆက်စပ်သော တိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် အသုံးပြုသူများအတွက် အဝေးထိန်း နှင့် မမြင်နိုင်သည့်အရာကို ခွင့်ပြုပေးသည်။ နောက်ပိုင်းအတွက် ဇွန်ဘီးများမှာ စံအရာ ဖြစ်လာသည် – DDoS သည် တိုက်ခိုက်ခံရသော ကွန်ပျူတာ၏ အခမဲ့အရင်းအမြစ်များအားလုံး (memory, processor အချိန်) ကို သိမ်းယူရင်း ၎င်း၏ မှန်ကန်သောလုပ်ဆောင်ခြင်းကို တားမြစ်သည့် တစ်ခုတည်းသော unit အားဆန့်ကျင်သည့် ကွန်ပျူတာပေါင်းများစွာထံမှ ကြီးစွာသော တိုက်ခိုက်မှုများဖြစ်သည်။

Rootkits – ကျွန်ုပ်တို့ ဖော်ပြခဲ့သည့်အတိုင်း – ၎င်းတို့ကိုယ်တိုင်မှာ ဆိုးရွားသည်မဟုတ်ဘဲ မကြာခဏ တရားဝင် – သို့မဟုတ် အနည်းအကျဉ်းမျှ တရားဝင်မှုတစ်ခု အတွက် အသုံးပြုခြင်းခံရကြသော်လည်း အသုံးပြုသူ၏ အမြင်အရ အကျိုးရှိသည် – လုပ်ဆောင်ချက်များ ဆိုသည်မှာ ၎င်းတို့အား စက်ပိုင်ရှင်အားဖြင့် သတိရှိစွာ install လုပ်ခြင်းခံရကြသည်။ အများအားဖြင့် ထို rootkits များအား အသုံးပြုကြသည်မှာ –

  • Digital Rights Management (DRM) – ဤပုံစံရှိ rootkit များသည် တေးဂီတဖိုင်များ၊ ဗီဒီယိုများ နှင့် ဂိမ်းများ အသုံးပြုရန် ဝယ်ယူသူများကိုသာလျှင် တရားဝင် ခွင့်ပြုသည့် လုံခြုံရေး စနစ်တစ်ခုကို ဖန်တီးပေးသည်။

သိကောင်းစရာ

ပထမဆုံးသော DRM များမှာ အလွန် ခဏတာပင်ဖြစ်ခဲ့သည်၊ m.in တွင် လက်စွဲစာရွက်ထံမှ စာကြောင်း၏ မိတ်ဆက်မှုအတွက် မေးမြန်းရင်း ဂိမ်းအား ရုတ်တရက် ကြားဖြတ်နှောင့်ယှက်ခြင်းပ ပါဝင်သည်။ များသောအားဖြင့် ထိုကျူးကျော်မှုများ၏ ခိုးယူထားသည့် ဗားရှင်းများ၏ ပိုင်ရှင်များမှာ မရှိခဲ့ကြပေ။ သို့သော် အချိန်နဲ့အမျှပြောင်းလဲလာပြီး counter piracy ထံနည်းလမ်းများလည်း ပြောင်းလဲလာသည် – ၎င်းမှာ လုံခြုံရေး ထုတ်လုပ်သူများ နှင့် ဟက်ကာများ (ဓါးရှည်များ၏ ဖန်တီးသူများ – ချိုးဖောက်သူများ) နှင့် ခိုးယူသူများအကြား ကြီးမားသော စစ်တစ်ပွဲ ဖြစ်သည်။

ကံမကောင်းစွာပင် အနိုင်ရခြင်းများ၏ တန်းညှိမှုမှာ ဆိုက်ဘာဒုစရိုက်သမားများဖက်သို အလေးသာနေသည်။ ဂိမ်း ရေးဆွဲသူများမှာ လုံခြုံရေးအပေါ် အလွန်တရာ အာရုံစိုက်ကြသည့်အတွက် ၎င်းတို့သည် သာမန် အသုံးပြုသူများအကြောင်း မေ့လျော့နေခဲ့ကြသည်။ ထို့အတွက်ကြောင့် ရုရှား StarForce ၏ လုံခြုံရေးသည် ဂိမ်းကိုယ်တိုင်၏ တရားဝင်ဖြစ်မှုကို စောင့်ကြပ်ရုံသာမက ကစားသူ၏ ကွန်ပျူတာတစ်ခုလုံးအပေါ် ထိန်းချုပ်လေသည်။ သို့ကြောင့် ထိုသူတို့သည် ဂိမ်းနှင့်ဆက်စပ်သည့်အရာသာမက မည်သည့် တရားမဝင် လုပ်ဆောင်မှုများ၏ ဆောင်ရွက်မှုကို တားမြစ်လေတော့သည်။ ဤအလေ့အကျင့်များမှာ ဂိမ်းကစားသူများအကြား ဆန့်ကျင်မှု ဂယက်ကြီးတစ်ခုကို ဖြစ်စေခဲ့သည် – m.in. French ဂိမ်း ရေးဆွဲသူ UbiSoft သည် StarForce နှင့်သဘောတူထားသည့် ၎င်း၏ လက်တွဲပူးပေါင်းမှုအား အဆုံးသတ်ခဲ့သည်။

စိတ်ဝင်စားစရာကောင်းသော ဖြစ်ရပ်မှန်လေ့လာမှုတစ်ခုမှာ Electronic Arts – ကုမ္ပဏီ၏ ဂိမ်းများထဲမှတစ်ခုဖြစ်သော “Spore” ၏ ဥပမာတစ်ခုလည်းဖြစ်သည်။ ၎င်း၏ မူလဗားရှင်းသည် SecuROM ဟုခေါ်သည့် ကာကွယ်မှုစနစ်တစ်ခုကို တိုးမြှင့်ထားခဲ့သည်။ ၎င်းမှာ StarForce လောက် အန္တရာယ်မရှိခဲ့သော်လည်း ၎င်းသည် အသုံးပြုသူများထံ စိတ်မချမ်းသာဖွယ်အံ့အားသင့်စရာအများအပြား သယ်ယူခဲ့သည်။ ဂိမ်းသည် မူလစီဒီ အသုံးပြုမှု လိုအပ်ပြီး ကွန်ယက် activate လုပ်ခြင်းကို တိုက်တွန်းခဲ့သည် – ကွန်ယက်လုံခြုံရေးမှာ အထိရောက်ဆုံးဖြစ်သော်လည်း ဤကွန်ယက်အား အမှန်စင်စစ် အပြည့်အဝသုံးသည့် ဂိမ်းများအတွက်သာ ၎င်းမှာ အဓိပ္ပါယ်ရှိသည်။ “Spore” သည် ကွန်ယက်အား အတိုင်းအတာ အလွန်အနည်းအကျဉ်းသာ အသုံးပြုခဲ့သည်။ သို့သော်လည်း ပြဿနာမှာ ပိုနက်နဲခဲ့သည် – သင်သည် အသုံးပြုသူအကောင့် တစ်ခုသာ ဖန်တီးနိုင်ပြီး ၎င်းကို တစ်ကြိမ်သာ activate လုပ်နိုင်သည်။ ပြီးလျှင် သင့်အကောင့်ထဲတွင် ဂိမ်းအား ၃ ကြိမ်အထိသာ install လုပ်နိုင်သည်။

ဆိုလိုသည်မှာ ပီစီ နှင့် လက်တော့ပ် ပေါ်တွင် တစ်ပြိုင်နက် install လုပ်ရန် မဖြစ်နိုင်ဘဲ လုပ်ဆောင်မှုစနစ် ၃ ခုတွင် reinstall လုပ်ခြင်းမှာ ဂိမ်းအား နောက်တဖန် reinstall လုပ်ခြင်း ဖြစ်နိုင်ချေကို ဖယ်ထုတ်ပစ်တော့သည်။ ဤနည်းလမ်းများမှာ အသုံးပြုသူများကို အများဆုံး ထိုးနှက်မှုဖြစ်စေခဲ့ပြီး ဟက်ကာများအတွက်တော့ ဤကာကွယ်မှုများမှာ မည်သို့မှ မဖြစ်စေခဲ့ဘဲ “Spore” ဂိမ်း၏ တရားမဝင်ဗားရှင်းမှာ ၎င်း၏ တရားဝင်ထုတ်ပြန်မှု မတိုင်ခင်ကတည်းကပင် အွန်လိုင်းပေါ်သို့ ရောက်နေခဲ့ပြီးဖြစ်သည်။ ထုတ်လုပ်သူမှ ဂိမ်း ပွဲဦးထွက်အပြီး ရက်သတ္တပတ်အနည်းငယ်အကြာ တင်းကြပ်မှု အများစုကို လျော့ချပေးခဲ့သော်လည်း ၎င်းမှာ အသုံးပြုသူများ၏ အဆိုးမြင်သဘောထားများအပေါ် မပြုပြင်နိုင်ခဲ့ပေ။

  • တိုက်ခိုက်မှုများ၏ စုံစမ်းထောက်လှမ်းခြင်း ဥပမာ honeypot – ဤအရာများမှာ စနစ်တစ်ခု၊ ဝန်ဆောင်မှုတစ်ခု သို့မဟုတ် local ကွန်ယက်တစ်ခု အဖြစ် ဟန်ဆောင်ထားသည့် ထောင်ချောက်များ ဖြစ်ကြသည်။ ၎င်းတို့၏ ရည်ရွယ်ချက်မှာ အချက်အလက်ထံ တရားမဝင် ဝင်ရောက်ရယူမှုရရှိရန် ကြိုးပမ်းမှုများအကြောင်း ကြားဖြတ်၊ သတင်းပို့ရန် ဖြစ်သည်။ Honeypot များမှာ အနည်းနှင့်အများ ကျယ်ဝန်းသော ဗားရှင်းများဖြင့် လာတတ်ကြသည် – နောက်ပိုင်းအရာများသည် IP လိပ်စာအများအပြား သုံးခြင်းဖြင့် တိုက်ခိုက်သူတစ်ဦး၏ အမူအကျင့်ကိုပင် မှတ်တမ်းတင်၊ စောင့်ကြပ်ကြည့်နိုင်သည်။ ၎င်းသည် malware နှင့် အားနည်းချက်များရန်မှ ကာကွယ်ခြင်း၊ အစောပိုင်း တိုက်ခိုက်မှုများ၏ စုံစမ်းစစ်ဆေးခြင်းအတွက် ကောင်းမွန်သော tool တစ်ခု ဖြစ်သည်။
  •  Virtual drive emulator များထံသို့ တိုးမြှင့်မှုများ – ဤအရာများမှာ Alcohol120% သို့မဟုတ် Daemon Tools အစရှိသည့် နာမည်ကြီး စီးပွားဖြစ် ပရိုဂရမ်များ ဖြစ်ကြသည်။ ၎င်းတို့သည် ဥပမာ – ဂိမ်းများ၏ တရားမဝင် ကူးယူမှုနှင့် ဆက်စပ်သည့် လုံခြုံရေးကို ရှုံးနိမ့်လေ့ရှိခဲ့သည်။ ၎င်းတို့သည် အခြားအရာများအကြား safedisc နှင့် securom စနစ်များကို ချိုးဖျက်ကြသည်။
  • Malware စုံစမ်းထောက်လှမ်းခြင်း – အရည်အသွေးမှီ antivirus ဆော့ဖ်ဝဲသည် rootkits အား malware ရန်မှ ကာကွယ်ရန် အသုံးပြုသည်။ ၎င်းသည် စနစ်လုပ်ဆောင်မှုကို ဖမ်းယူခြင်း နှင့် မဖိတ်ခေါ်သော ဧည့်သည်များရန်မှ ကာကွယ်ခြင်း၏ နိယာမအပေါ်တွင် လုပ်ဆောင်သည်။ Antivirus လုပ်ဆောင်မှုများသည် ဖုံးကွယ်ထားခြင်းမရှိသော်လည်း သင်မှ သင်ကိုယ်တိုင် ၎င်းတို့အား ပြီးပြည့်စုံအောင်မလုပ်နိုင်ပေ။
  • ဥပမာ Warden သို့မဟုတ် GameGuard မှတဆင့် ဂိမ်းများတွင် လှည့်ဖျားမှု စုံစမ်းထောက်လှမ်းခြင်း။ ဤအရာမှာ ဂိမ်းများတွင် လိမ်ညာခြင်း-ဆန့်ကျင်သည့် anti-cheat ဆော့ဖ်ဝဲ ဖြစ်သည်။

သင် မသွားခင် သိသွားပါ

နောက်ဆုံး အရှုပ်တော်ပုံများထဲမှ တစ်ခုသည် Riot Games မှ ထုတ်သော Valorant နှင့် ၎င်း၏ anti-cheat စနစ် “Vanguard” ကို စိုးရိမ်ပူပန်စေသည်။ ။ အသုံးပြုသူများမှ ဤ rootkit သည် လုပ်ဆောင်မှုစနစ်အစတွင် စတင်ပြီး ဂိမ်းမှ မတတ်စွမ်းနိုင်သည့်အချိန်တွင်ပင် အလုပ်လုပ်နိုင်ကာ ပိုဆိုးသည်မှာ – ၎င်းတွင် administrator အကျိုးခံစားခွင့်များရှိကြောင်း ရှာဖွေတွေ့ရှိခဲ့ကြသည်။
ဆိုလိုသည်မှာ ၎င်းသည် အသုံးပြုသူ သတင်းအချက်အလက်အားလုံးကို ဖြစ်နိုင်ချေရှိစွာ စုဆောင်နိုင်ပြီး backdoor တစ်ခုကိုလည်း ဖန်တီးနိုင်သည်။ Vanguard ကို အားနည်းချက်များအတွက် သေချာစွာ စစ်ဆေးပြီး ၎င်းသည် အသုံးပြုသူ သတင်းအချက်အလက်များအား ၁၀၀% မစုဆောင်းကြောင်း သေချာစေခြင်းဖြင့် Riot Games မှ ဤအရာအား ရှင်းပြခဲ့သည်။ ထုတ်လုပ်သူအရ “Vanguard” သည် တိုက်ခိုက်ခြင်း လိမ်ညာသူများ၏ ကောင်းသောပုံစံတစ်ခုဖြစ်သည်။ သို့သော် အကယ်၍ driver မှ ကစားသူများအား ထုတ်ဖော်သည့်ပုံ ဖြစ်သွားလျှင် Riot Games သည် ၎င်းအား ပြန်လည်ရုတ်သိမ်းပြီး လုံးဝ အသစ်သော mechanism တစ်ခုကို ရေးဆွဲလိမ့်မည်။ ဒုတိယအချက်မှာ ဤ solution သည် အမှန်တကယ် အလုပ်လုပ်ခြင်းရှိမရှိဆိုသည် ဖြစ်သည် – အဘယ်ကြောင့်ဆိုသော် လိမ်ညာသူများမှာ ၎င်း၏ တည်ရှိမှုမှ အပ အတော်လေး ကောင်းမွန်စွာ လုပ်ဆောင်နေသည်။

  • Anti-theft – လက်တော့ပ်များပေါ်တွင် bios ပေါ်အခြေခံသည့် rootkit အမျိုးအစားထဲတွင် ဆော့ဖ်ဝဲအား သင် install လုပ်နိုင်သည်။ ၎င်းနှင့်အတူ လက်တော့ပ်၏တည်နေရာအား စောင့်ကြပ်ကြည့်၊ အဝေးမှ ပိတ်ပြီး အချက်အလက်များအား ပယ်ဖျက်ရန် ဖြစ်နိုင်ချေရှိသည်။
  • Microsoft ထုတ်ကုန် activate လုပ်ခြင်းအား ဖြတ်ကျော်ခြင်း – ဤအရာမှာ Windows နှင့် Microsoft Office suites တို့အတွက် ဘုံအကျဆုံး ဖြစ်သည်။

နောက်ဆုံးပေါ် rootkit များမှာ ကွန်ပျူတာများ နှင့် လက်တော့ပ်များ သို့သာ ရည်ရွယ်သည် မဟုတ်တော့ဘဲ အထူးသဖြင့် Android ပေါ်တွင် အခြေခံသော မိုဘိုင်းစက်များထံလည်း ဦးတည်လာသည်။ များသောအားဖြင့် ၎င်းတို့သည် မယုံကြည်ရသော ရင်းမြစ်များထံမှ ဒေါင်းလုတ်လုပ်နိုင်သည့် ဆွဲဆောင်မှုရှိသော အက်ပလီကေးရှင်းများ နှင့် ဆက်စပ်လျက်ရှိကြသည်။

Rootkits အမျိုးအစားများက ဘာတွေလဲ?

Rootkits အမျိုးအစား အမြောက်အမြားရှိကြသော်လည်း ၎င်းတို့ကို နားလည်ရန် သင်သည် protection rings ဆိုသည့်အရာကို အနီးကပ်ကြည့်မိရန် လိုအပ်သည်။ ရိုးရှင်းစွာပြောရလျှင် ၎င်းတို့သည် လုပ်ဆောင်မှုစနစ် ဖွဲ့စည်းတည်ဆောက်ပုံ၏ အကျိုးအမြတ်အဆင့်များကို ဖော်ပြပေးသည်။ အဆင့်များတွင် အဝိုင်း ၄ ဝိုင်းပါဝင်သည်။ အသေးငယ်ဆုံး သို့မဟုတ် အနိမ့်ဆုံး ဖြစ်သော်လည်း အကျိုးအမြတ်အရှိဆုံးမှာ ကွန်ပျူတာတစ်ခုလုံးအား ထိန်းချုပ်သည့် စနစ်၏ kernel ပါဝင်သော “0” ring ဖြစ်သည်။ အထက်တွင် ring “1” ရှိပြီး နောက်တဆင့်တွင် ring “2” လိုက်ပါပြီး – ၎င်းတို့ထဲတွင် ဥပမာ ဗီဒီယိုကဒ်ထံမှ drivers အားလုံး တည်ရှိနေသည်။

အနိမ့်ဆုံး အကျိုးအမြတ်နှင့်အတူ နောက်ဆုံး အမြင့်ဆုံး အဆင့်မှာ ring “3” ဖြစ်ပြီး Microsoft Office, CorelDraw နှင့် Photoshop အစရှိသည့် သင်အသုံးပြုသော အက်ပလီကေးရှင်းများ ပါဝင်သည်။ မှတ်သားစရာကောင်းသည်မှာ ring “0” မှာ အမြင့်ဆုံး “3” အဆင့်တွင် တည်ရှိသည့်၊ တော်ရုံဆိုလျှင် အဆင့် “1” ကိုပင်မရောက်နိုင်သော anti-virus များကိုလည်း စိုးမိုးထားသည်။

Rootkit များအား မည်သည့် အဆင့်တွင်မဆို ဦးတည်ထားနိုင်သည်၊ သို့သော် စုံစမ်းထောက်လှမ်းရန် အခက်ခဲဆုံးသောအရာများမှာ စနစ်၏ kernel ကို ဦးတည်လိမ့်မည်။ Hybrid rootkit များလည်းရှိကြသည် – ထိုအရာများမှာ ဥပမာ စနစ်၏ kernel အဆင့်နှင့် အသုံးပြုသူအဆင့်တို့ကို အဆက်မပြတ် တိုက်ခိုက်ကြသည်။

သင်မှ တိကျသည့် အဆင့်များထံ မရောက်မှီ သင်သည် Persistent Rootkits နှင့် Memory-Based Rootkits တို့အပေါ် သတိပြုရန် လိုအပ်သည် –

 

  • “ကျူးကျော်သည့်” rootkits တွင် လုပ်ဆောင်သည့်စနစ် စတင်သည့်အခါတိုင်း ၎င်းတို့၏ တည်ရှိနေမှုကို ခေါ်သည့်အတွက်ကြောင့် ထူးခြားသည့် နာမည်တစ်ခုရှိသည်။ ၎င်းတို့အား များသောအားဖြင့် disk သို့မဟုတ် registry ပေါ်တွင် ကုဒ် နှင့် ပရိုဂရမ်တစ်ခု အသွင်ဖြင့် သိမ်းဆည်းကြသည်။ ၎င်းတို့သည် နောက်ကွယ်တွင် အလုပ်လုပ်ကြပြီး စနစ်၏ ဝန်ဆောင်မှုများ နှင့် ဖြစ်စဉ်များ၏ စာရင်းထဲတွင် ၎င်းတို့အား မမြင်ရပေ။ ဤအရာမှာ ဘုံအကျဆုံး rootkit ဖြစ်ပြီး အဓိကအကြောင်းရင်းမှာ ၎င်းတို့သည် အထူးပြုလုပ်ထားသော ကုဒ် မလိုအပ်ပဲ ဖြန့်ဝေရင် အလွန်လွယ်ကူကြသောကြောင့်ဖြစ်သည်။
  • Memory ထဲတွင် rootkit များသည် သင့်ကွန်ပျူတာ၏ cache ထဲတွင် အလုပ်လုပ်သည်။ ၎င်းတို့အား အမှန်တွင် ပယ်ရှင်းနိုင်သည် – ၎င်းတို့သည် တစ်ကြိမ်သာ activate လုပ်ပြီး စနစ်မှ ပြန်လည်အစပြုသည့်အချိန်တွင် ပျောက်ကွယ်သွားသည်။ ထို့ကြောင့် ၎င်းတို့အား စုံစမ်းထောက်လှမ်းရန် ပို၍ခက်ခဲသည်။

အသုံးပြုသူအဆင့် rootkits – ring “3”

ဤအဆင့်ရှိ Rootkit များသည် အခြား အက်ပလီကေးရှင်းများ နှင့်အတူတကွ အလုပ်လုပ်ကြသည်။ ၎င်းတို့သည် အလွန်ကွဲပြားသော install လုပ်သည့် နည်းလမ်းများကို အသုံးပြုနိုင်သော်လည်း ၎င်းတို့အား စံ API လုပ်ဆောင်ချက်များ (Application Programming Interfaces ဆိုသည်မှာ ပရိုဂရမ်များနှင့် ဆက်သွယ်ရန် လုပ်ဆောင်မှုစနစ်မှ အသုံးပြုသည့် command များ ဖြစ်သည်) အားလုံးအား ဖမ်းယူရန် နှင့် ထပ်မံပြုပြင်ရန်အတွက် ဒီဇိုင်းဆွဲထားခြင်းဖြစ်သည်။
ဥပမာ – ၎င်းတို့သည် dynamic library (Windows ထဲတွင် .dll extension နှင့်အတူ ဖိုင်တစ်ခု, MacOS တွင် X – .dylib) တစ်ခုအား အခြား ဖြစ်စဉ်များအတွင်းသို့ ထိုးသွင်းနိုင်သည်။

ထိုအရာက ဘာကိုဆိုလိုတာပါလဲ?

Dynamic library တစ်ခုသည် လုပ်ဆောင်နိုင်သော ပရိုဂရမ်တစ်ခုထံ ဆက်သွယ်ထားသော်လည်း လုပ်ဆောင်ခံရသည့်အချိန်တွင်သာ ဖြစ်သည်။ ဤနည်းလမ်းဖြင့် install လုပ်ထားသည့် rootkit မှာ ၎င်းအား အတုခိုးရန် (စနစ်ပေါ်တွင် လုပ်ဆောင်နေသည့် ဖြစ်စဉ် သို့မဟုတ် ဖိုင်တစ်ခုအား ဖုံးကွယ်ရန်) မည်သည့် ပစ်မှတ် ဖြစ်စဉ်မဆို လုပ်ဆောင်နိုင်သည်။

ဤအတွက် ဥပမာတစ်ခုမှာ Import Address Table ဟုခေါ်သည့် Windows ရှိ အားနည်းချက်တစ်ခုဖြစ်သည်။ IAT သည် library လုပ်ဆောင်မှုများ နှင့် အခြား .dll တို့ထံ ညွှန်းခြင်းအတွက် တာဝန်ရှိသော .dll ဖိုင်၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ Rootkit boot ကုဒ်သည် ၎င်းအပေါ်တွင် ထပ်မံဖြည့်စွက်ရေးခြင်းဖြင့် စနစ် library များ၏ တစ်ခုထဲတွင် ဘုံအသုံးများဆုံး လုပ်ဆောင်မှုများထဲမှ တစ်ခုအား အသုံးပြုသည်။
ဤအရာမှာ တိကျသော လုပ်ဆောင်မှုအစား စတင်ပေးသည်။ သို့သော် ဆက်လက်သတိမမူမိစေရန် ၎င်းသည် တောင်းဆိုသော command ကိုလည်း ဆောင်ရွက်ပေးသည်။ Win32 ၏ အားနည်းချက်အများဆုံး library များမှာ Kernel32.dll, Gdi32.dll နှင့် User32.dll တို့ဖြစ်ခဲ့ကြသည်။ Windows API အတွက်ဆိုလျှင်တော့ – Advapi32.dll ဖြစ်သည်။

 

အခြားဥပမာမှာ ရွေးချယ်ထားသော အက်ပလီကေးရှင်း၏ memory ပေါ်တွင် ထပ်မံဖြည့်စွက်ရေးခြင်း ဖြစ်ပေလိမ့်မည် – သို့သော် သင်မှ သင့်တော်သည့် ဝင်ရောက်ရယူခွင့်ပြုချက်များ ရရှိသောအချိန် ၎င်းမှာ ဖြစ်နိုင်သည်။
Rootkit သည် ကွဲပြားသော injection mechanism များကို အသုံးပြုနိုင်သည် –

  • ကြားဖြတ် မက်ဆေ့ချ်များ
  • လုံခြုံရေး အားနည်းချက်များ debugger များမှ တဆင့်သွားခြင်း
  • အက်ပလီကေးရှင်း extensions – ဥပမာတစ်ခုမှာ အပြင်လူများအားဖြင့် extension များနှင့်အတူ ပြန်လည်မွမ်းမံနိုင်သည့် public interface များ ပါဝင်သော Windows Explorer ဖြစ်သည်။
  • API အား ဖမ်းယူပြီး ထပ်မံပြုပြင်ခြင်း

အသုံးပြုသူအဆင့်မှာ Trojan ဗားရှင်းများနှင့်အတူ စံ ပရိုဂရမ်များအား အစားထိုးရန် rootkit အတွက် မကြာခဏပင် နေရာတစ်ခုဖြစ်သည်။ ဤအရာသည် သင့်အား malware တည်ရှိမှုကို ဖုံးကွယ်ရန် နှင့် အချက်အလက် ဝင်ရောက်မှုရရှိရန် ခွင့်ပြုပေးသည်။

အသုံးပြုသူ-အဆင့် rootkit များ၏ ဥပမာများတွင် Aphex, Hacker Defender သို့မဟုတ် Vanquish တို့ပါဝင်သည်။
HackerDefender သည် နာမည်အကြီးဆုံး rootkit များထဲမှ တစ်ခုဖြစ်သည်။ ၎င်းသည် အခြား malware, ဥပမာ genus CWS ၏ Trojan တစ်ခုနှင့်အတူ များသောအားဖြင့် အတူတကွ ရွှေ့ပြောင်းခြင်ခံရသည်။ သင့်ကွန်ပျူတာပေါ်တွင် ၎င်းတည်ရှိမှုမှာ m.in. HiJackThis (HJT – malware ဖယ်ရှားသည့် ပရိုဂရမ်) သို့မဟုတ် anti-virus များ၏ တားဆီးထားသော လုပ်ဆောင်ချက် အစရှိသည့် ပရိုဂရမ်များ ရုတ်တရက် ပျောက်ကွယ်သွားကြခြင်း အပေါ် အကြံပေးကောင်းပေးနိုင်သည်။ HackerDefender သည် ဗားရှင်းပေါင်းများစွာ ဖြင့် လာနိုင်ပြီး ၎င်းအား သင့်လိုအပ်ချက်များ၊ တတ်စွမ်းနိုင်မှုများ နှင့်လိုက်ဖက်သည့် လုပ်ငန်းသုံး ဗားရှင်းတစ်ခုဖြင့် ကွန်ယက်ပေါ်တွင်ပင်… ဝယ်ယူနိုင်သည်။

 

Hypervisor အဆင့် rootkit များ – ring “2” နှင့် “1”

 

Hypervisor lအဆင့် (virtualization process management tool များ) တွင် rootkit သည် မူလ လုပ်ဆောင်မှုစနစ်အား virtual စက်တစ်လုံး အနေဖြင့် အထောက်အပံ့ပေးသည်။ ဤအရာသည် လုပ်ဆောင်မှုစနစ်အားဖြင့် hardware ဟုခေါ်သည့်အရာ (အပြင်ပိုင်း ဖန်သားပြင်, ပရင်တာ, router, ကွန်ယက် adapter, စသဖြင့်) ကဲ့သို့သော ဖြစ်စဉ်အား ကြားဖြတ်ရန် ၎င်းအား ခွင့်ပြုသည်။ Rootkit များတွင် hypervisor များအပေါ် အခွင့်သာသည့်အချက်ရှိပြီး ၎င်းတို့သည် စနစ်မစတင်မှီ charge လုပ်ရန် မလိုပေ – ၎င်းတို့သည် စနစ်မှ virtural စက်တစ်လုံးအသွင် မပြောင်းခင်အထိ ထိုနေရာတွင် ရှိနေနိုင်သည်။
အဆင့် 1 rootkit တစ်ခုမှာ kernel ပြောင်းလဲမှုများ လုပ်ရန် မလိုအပ်ပေ – ၎င်းမှာ သက်ရောက်မှုမရှိနိုင်ဟုတော့ မဆိုလိုပေ။ ဥပမာတစ်ခုမှာ သင့်အား တစ်ချိန်တည်းတွင် rootkit တစ်ခု၏ တည်ရှိနေမှုအား ရှာဖွေရန် ခွင့်ပြုသည့် cpu clocking ထဲတွင် သိသာသော ပြောင်းလဲမှုများ ဖြစ်ပေလိမ့်မည်။

Hypervisor-အဆင့် rootkit များ၏ ဥပမာများ – “SubVirt” သည် Microsoft နှင့် မီချီကန်တက္ကသိုလ် တို့မှ ရေးဆွဲထုတ်သည့် rootkit lab တစ်ခုဖြစ်သည်။ ၎င်းအား VMBR virtual စက်တစ်လုံး, “Blue Pill” – keylogger နှင့်အတူ rootkit ပေါ်တွင် အခြေပြုထားသည်။ ဤအရာသည် rootkit တစ်ခုအား လုံးဝ မမြင်နိုင်စေသည်ကို သက်သေပြချင်ခဲ့သည့် Joanna Rutkowska ၏ ပရောဂျက်ဖြစ်သည်။ နာမည်အတွက် စိတ်ခွန်အားဖြစ်စေခဲ့သည်မှာ Matrix ရုပ်ရှင်ဖြစ်သည်။
Firmware and hardware rootkits

Ring 2 နှင့် 1 တွင် firmware rootkits (firmware, စက်ပေါ်တွင် အပြီးတိုင် install လုပ်ထားသော) နှင့် hardware တို့အကြောင်း ပြောပြရန်လိုလာသည်။ ၎င်းတို့သည် စနစ်အား တိုက်ရိုက် မတိုက်ခိုက်ဘဲ ကုဒ်သာလျှင် hardware (ကွန်ယက်ကဒ်, hard disk, router) လုပ်ဆောင်ခြင်းအတွက် တာဝန်ရှိသည်။ ထိုသို့သော rootkit တစ်ခုမှာ BIOS ကုဒ်တွင်လည်း ဦးတည်ခြင်းခံရနိုင်သည်။ Firmware အတွက် ကုဒ် ပေါင်းစည်းမှုမှာ များသောအားဖြင့် စစ်ဆေးမခံရဘဲ ဟက်ကာများအတွက်တော့ လုပ်ရပ်ထံ အဖွင့်ဖိတ်ခေါ်မှုတစ်ခု ဖြစ်သည်။

Kernel-mode rootkit – အဆင့် “0”

Ring “0” သည် လုပ်ဆောင်မှုစနစ်တွင် အမြင့်ဆုံး အကျိုးခံစားခွင့်များနှင့်အတူ အဆင့်ဖြစ်သည်။ စနစ်၏ အလွန်အချက်အချာကျသောနေရာ၌ ဦးတည်ထားသည့် rootkit သည် ကုဒ်ဖြည့်ခြင်း သို့မဟုတ် လုပ်ဆောင်မှုစနစ်၏ အစိတ်အပိုင်းအား အပြီးတိုင် အစားထိုးခြင်း (ဤအရာမှာ kernel နှင့် စက် drivers နှစ်မျိုးစလုံးတွင် အကျုံးဝင်သည်) အားဖြင့် အလုပ်လုပ်သည်။

Kernel-အဆင့် rootkit များသည် အန္တရာယ်အရှိဆုံး ဖြစ်ရခြင်းမှာ ၎င်းတို့တွင် ကွန်ပျူတာ ရင်းမြစ်များအားလုံးထံ ကန့်သတ်မဲ့ ဝင်ရောက်ရယူခွင့် ရှိခြင်းကြောင့်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင် ၎င်းတို့မှာ ရေးဆွဲရန် အလွန်ခက်ခဲသောအရာအချို့လည်း ဖြစ်ကြသည်။ ကုဒ်ထဲရှိ အသေးအဖွဲအမှားတစ်ခု ပင်လျှင် စနစ်ငြိမ်သက်မှု၏ အနှောင့်အယှက်တစ်ခုထံ ဦးတည်သွားပြီး ဤအရာမှာ တရားမဝင် အသုံးပြုသူတစ်ဦးအတွက် rootkit အား ရှာဖွေရန် အတိုဆုံးလမ်းကြောင်း တစ်ခုဖြစ်သည်။
ပထမဦးဆုံး ကျယ်ကျယ်ပြန့်ပြန့် ဖြန့်ဝေခဲ့သည် kernel-အဆင့် rootkit မှာ Windows – NT 4.0 အတွက် ရေးခဲ့ခြင်းဖြစ်သည်။ ၎င်းအား Greg Hoglund အားဖြင့် Phrack မဂ္ဂဇင်းတွင် ၁၉၉၉ ခုနှစ်၌ ရေးသားထုတ်ဝေခဲ့သည်။

Kernel ဦးတည်သည့် rootkit များမှာ စုံစမ်းထောက်လှမ်းရန် နှင့် ဖယ်ရှားနိုင် အခက်ခဲဆုံး ဖြစ်ကြသည်။ အဓိကမှာ ၎င်းတို့သည် လုပ်ဆောင်မှုစနစ် နှင့် အဆင့်တူတွင် လုပ်ဆောင်ကြပြီး anti-virus ဆော့ဖ်ဝဲ နှင့်အတူ tampering အပါအဝင် စနစ်၏ အယုံကြည်ရဆုံး လုပ်ဆောင်မှုများ အားလုံးကိုပင် ထပ်မံပြုပြင် သို့မဟုတ် ဖယ်ရှား နိုင်ကြသောကြောင့်ဖြစ်သည်။ “0” ring ရှိ rootkit တစ်ခု၏ တည်ရှိနေမှုသည် စနစ်၏ မည်သည့်အပိုင်းကိုမဆို စိတ်ချမှုမရှိရအောင် ဖြစ်စေသည်။

Windows တွင် rootkit သည် logging နှင့် auditing အတွက် တာဝန်ရှိသော Direct Kernel Object Manipulation (DKOM) သုံးခြင်းဖြင့် kernel ထဲတွင် အချက်အလက် တည်ဆောက်ပုံများအား ပြောင်းလဲပစ်နိုင်သည်။ ဤထပ်မံပြုပြင်ပြောင်းလဲခြင်းဖြင့် rootkit သည် ဥပမာ – ဖြစ်စဉ်တည်ရှိမှုအကြောင်း ကဲ့သို့ စနစ်ထံ လွဲမှားသော သတင်းအချက်အလက်များ ပြန်ပို့ပေးသည်။
အခြားနည်းလမ်းမှာ rootkit အား System Service Descriptor Table (SSDT – စနစ်ဖြစ်စဉ် ဖော်ပြပေးသည့်အရာများ၏ အတွဲလိုက်တစ်ခု) အောက်တွင် ချိတ်ပေးရန် ဖြစ်သည်။ အတွဲလိုက် တွင် လက်ရှိလုပ်ဆောင်နေသည့် လုပ်ဆောင်ချက်စနစ် လုပ်ဆောင်ချက်များ၏ လိပ်စာများ ပါဝင်သည်။

ဤ solution သည် ring “3” ထဲတွင် IAT လုပ်ဆောင်နေသည်ထက် ပို၍ နက်နဲရခြင်းမှာ ၎င်းသည် library တစ်ခုတည်းပေါ်တွင်သာမက စနစ်တစ်ခုလုံးပေါ်တွင် လုပ်ဆောင်နိုင်သောကြောင့်ဖြစ်သည်။ ဥပမာ – ဤမော်ဒယ်ရှိ rootkit တစ်ခုသည် Ntoskrnl.exe ဖိုင်တစ်ခုထဲတွင် NtQueryDirectoryFile အား တိုက်ခိုက်ကောင်းတိုက်ခိုက်ပြီး ဖိုင်စနစ်ပေါ်တွင် ဖိုင်တွဲများနှင့် ဖိုင်များအား ဖုံးကွယ်ထားပေမည်။ Rootkit မှာ အသုံးပြုသူ mode နှင့် kernel mode အကြားတွင် ဂိတ်လမ်းကြောင်းအား ထပ်မံပြုပြင်ခြင်းဖြင့်လည်း ဖုံးကွယ်ထားနိုင်သည်။
Linux rootkit အတွက် kernel သည် LKM – Loadable Kernel Modules အဖြစ် ပေါ်ထွက်သည်။ ၎င်းသည် Windows ကဲ့သို့ပင် အလုပ်လုပ်သည် – ၎င်းသည် စနစ်မှ table ခေါ်ရန် ထပ်မံမွမ်းမံနိုင်သည်။

Bootkit များ

Bootkit များ သည် စနစ် kernel ခြိမ်းခြောက်မှု စာရင်းပေါ်တွင် အထူးနေရာတစ်နေရာ ဦးယူထားသည်။ ၎င်းတို့သည် ဥပမာ – Master Boot Record (MBR), VBR (Volume Boot Record) သို့မဟုတ် boot sector (ဤနေရာတွင် ၎င်းတို့၏ အမည်မှာ “bootkity”) စသော boot ကုဒ်အား တိုက်ခိုက်နိုင်သည်။ ဤနည်းလမ်းသည် သင့်အား disk စကားဝှက်ပြုခြင်း စနစ် တစ်ခုလုံးကို တိုက်ခိုက်ရန် ခွင့်ပြုပေးသည်။

Evil Maid တိုက်ခိုက်မှု – ဤ bootkit တိုက်ခိုက်မှုသည် သတိမမူသော ကွန်ပျူတာများအား ပစ်မှတ်ထားသည်။ ထိုအရာများမှာ ပါးနီရဲရဲ ဝန်ဆောင်ပေးသူတစ်ယောက်အတွက်ကြောင့် တန်ဖိုးရှိ ဧည့်သည် အိတ်နှင့်အတူ ဟိုတယ်အခန်းများမှ ဟက်ကာအတွက် ချန်ထားခဲ့သည့်အရာဖြစ်သည်။ Bootkit သည် တရားဝင် boot module အား ဆိုက်ဘာဒုစရိုက်တစ်ဦးမှ ထိန်းချုပ်ထားသည့် module တစ်ခုနှင့်အတူ အစားထိုးလိုက်သည်။ ဤနည်းဖြင့် တက်လာသော Malware သည် kernel အား ဆွဲတင်ချိန် ကာကွယ်ထားသည့် mode ထဲသို့ ဝင်သွားခြင်းဖြင့် kernel တွင် ပါဝင်သွားသည်။ ဤအရာသည် ၎င်းအား kernel ထိန်းချုပ်မှုကို ရယူရန် ခွင့်ပြုပေးသည်။ ဟက်ကာတစ်ဦးသည် ထိုသို့သော အကာအကွယ်မရှိသည့်စနစ်ထဲသို့ malware ထိုးသွင်းရန် ၄ မိနစ်သာကြာသည်။

Rootkit မှ ဘယ်လို install လုပ်ပြီး ဘယ်လို ပုန်းကွယ်လဲ?

Rootkit အား install လုပ်ခြင်း လမ်းကြောင်းများမှာ အမှန်စင်စစ် နှစ်လမ်းရှိသည် – ၎င်းအား အလိုအလျောက် သို့မဟုတ် ကိုယ်တိုင်တစ်ဆင့်ချင်း လုပ်နိုင်သည်။ ပထမအဖြစ်အပျက်တွင် ဟက်ကာကဏ္ဍမှာ လုပ်ရပ်အများအစား မလိုအပ်ပေ။ သို့သော် ဒုတိယမှာ တိုက်ခိုက်သူအား ပိုမိုကြီးစွာသော အတိုင်းအတာတစ်ခုကို ထိတွေ့စေသည်။ ပထမဦးစွာ သူသည် ခံရသူ၏ ကွန်ပျူတာအတွင်း – ဥပမာ လုံခြုံရေး အားနည်းချက်များ အပေါ် အခွင့်ကောင်းယူခြင်း သို့မဟုတ် m.in. phishing (တစ်ဦးတစ်ယောက်အဖြစ်ဟန်ဆောင်ခြင်းအားဖြင့် phish လုပ်ခြင်း – ဥပမာ ဘဏ်များ) ကျေးဇူးဖြင့် လှို့ဝှက်ကုဒ်တစ်ခု ချိုးဖောက်ခြင်း – အားဖြင့် ဝင်ရောက်နိုင်ရမည်ဖြစ်ပြီး install လုပ်ခြင်းတစ်ခုသာလျှင် ပြုလုပ်ရမည်။
Rootkit သည် ၎င်း၏တည်ရှိမှုကို install လုပ်ပြီးသည်နှင့် ပုန်းကွယ်ပြီး တစ်ချိန်တည်းမှာပင် စနစ်၏ အစိတ်အပိုင်းအားလုံးထံ အပြီးတိုင် ဝင်ရောက်မှုကို ရယူသည်။ ဤအရာ မှာ antivirus နှင့် လုံခြုံရေး ပရိုဂရမ်များအားလုံး (ဖြည့်ခြင်း, ဥပမာ – rootkit အား လုံခြုံရေး ခြွင်းချက်တစ်ခုအနေနှင့်) အပါအဝင် စက်ပေါ်တွင် install လုပ်ထားသည့် ဆော့ဖ်ဝဲအားလုံးအား ဟက်ကာတစ်ယောက်မှ ထပ်မံပြုပြင်နိုင်သည်ဟု ဆိုလိုသည်။

မကြာခဏဆိုသလိုပင် rootkit များသည် အားနည်းချက်များကို အမြတ်ထုတ်သည်၊ ၎င်းတို့သည် အသုံးပြုသူတစ်ဦးမှ အန္တရယ်ကင်းပြီး အသုံးဝင်သော ဆော့ဖ်ဝဲကို install လုပ်နေသည်ဟု ထင်စေရန် လှည့်စားရင်း Trojans ထဲတွင်လည်း ပုန်းကွယ်နိုင်သည်။ Rootkit သည် ကူးစက်ထားသည့် ဆိုက်များ၊ ထပ်မံပြုပြင်ထားသော ပူးတွဲဖိုင်များနှင့်အတူ မသင်္ကာဖွယ် အီးမေးလ်များ ထံ မလုံခြုံသောလင့်ခ်များ အသုံးပြုခြင်း၊ မသိသော ရင်းမြစ်များထံမှ ပရိုဂရမ်များနှင့် အက်ပလီကေးရှင်းများ install လုပ်ခြင်း နှင့် USB တောင့်များ အသုံးပြုခြင်း အားဖြင့် သင့်ကွန်ပျူတာထဲသို့ ဝင်ရောက်နိုင်သည်။

ဟက်ကာများသည် လူသားစူးစမ်းမှုအပေါ် အမြတ်ထုတ်ပြီး ကော်ဖီဆိုင်များ၊ ရုံးအဆောက်အဦးများ၊ ဟိုတယ်များ အစရှိသည့် လူအများသုံးနေရာများတွင် pen-drive များ သို့မဟုတ် flash ကတ်များကို ချန်ထားတတ်ကြသည်။ အဖြစ်အပျက်အများစုတွင် တွေ့ရှိသူမှာ သူ၏ကွန်ပျူတာတွင် တွေ့ရှိခဲ့သည့် အချက်အလက်သယ်ဆောင်သည့်အရာကို ချိတ်ဆက်လိမ့်မည်ဖြစ်ပြီးနောက် သူ့ကိုယ်ပိုင်စက်မှာ ကူးစက်ခံရပေလိမ့်မည်။
ဥပမာ ဝန်ထမ်းများ၏ လုပ်ဆောင်မှုကို စောင့်ကြည့်ရန် အချို့ rootkit များအား အသုံးပြုသူမှ သတိကြီးစွာ install လုပ်တတ်ကြသည်။ အခြားများမှာမူ pay-per-install (PPI) စနစ်ဖြင့် လုပ်ငန်းသုံး ဆော့ဖ်ဝဲနှင့်အတူ လာတတ်ကြသည်။ ဤအရာမှာ တွဲဖက်များ နှင့် အလားတူ လုပ်ဆောင်သည်၊ သို့သော် ပရိုမိုးရှင်းအတွက် ငွေပေးချေမှုမှာမူ မကြာခဏပင် rootkit အားဖုံးကွယ်ထားသည့် ထပ်ဆင့် ဆော့ဖ်ဝဲအား install လုပ်ပြီးချိန်တွင် ပြုလုပ်သည်။

Rootkit အမျိုးအစားများအပေါ် ခွဲခြမ်းစိတ်ဖြာနေစဉ်အတွင်း install လုပ်ခြင်းနည်းလမ်းများ၏ ကြီးမားသောအစိတ်အပိုင်းတစ်ခုအား အထက်တွင် ဖော်ပြခဲ့ပြီးဖြစ်သည်။ သင်အမှတ်ရ ရမည်မှာ rootkit သည် မကြာခဏပင် ၎င်းပုန်းကွယ်နေသည့် ကူးစက်ခံ ဖိုင်များ၏ မိတ္တူများ သို့မဟုတ် အခြား malware (kernel အဆင့်) ထဲတွင် စကားဝှက်ပြုထားပြီး လုံးဝ မမြင်နိုင်သော ဖိုင်စနစ် တစ်ခုကို ဖန်တီးပေးသည်။ ထို့အပြင် ၎င်းသည် ၎င်းအား ပိုမိုတွေ့ရခဲစေရန်လုပ်ခြင်းဖြင့် စံလုံခြုံရေး tool များနှင့် anti-virus များကို ထပ်မံပြုပြင်နိုင်သည်။

 

Rootkit ကို ဘယ်လို ဖျက်ဆီးရမလဲ?

Rootkit တစ်ခုကို စုံစမ်းစစ်ဆေးရန် အလွန်အမင်းခက်ခဲပါသည် – အတိအကျဆိုရလျှင် ၎င်းမှာ ခြိမ်းခြောက်မှု စုံစမ်းထောက်လှမ်းသည့် ပရိုဂရမ်များအားလုံးထံမှ ထိရောက်စွာ ပုန်းကွယ်နိုင်ပြီးလျှင် ၎င်းတို့အား ထပ်မံပြုပြင်နိုင်သောကြောင့်ပင်ဖြစ်သည်။ ဤအရာမှာ rootkit နှင့် ပရိုဂရမ်တို့ အလုပ်လုပ်နိုင်ရန် ဒီဇိုင်းပုံဖော်ထားသည့် အဆင့်များနှင့် တိုက်ရိုက် ဆက်စပ်နေသည်။

အကယ်၍ rootkit သည် ပရိုဂရမ်မှ ၎င်းအား ရှာနေသည်ထက် ပိုကြီးမားသော အကျိုးခံစားခွင့်များနှင့်အတူ အဆင့်တစ်ခုတွင် လုပ်ဆောင်နေလျှင် ထိုသို့သော ရှာဖွေမှုများ၏ အောင်မြင်မှုအခွင့်မှာ virtually မရှိနိုင်ပေ – ပြောရလျှင် rootkit မှာ ၎င်း၏ ခွင့်ပြုချက်များကို မှန်ကန်စွာ အသုံးပြုနေပေပြီ။

Kernel အဆင့်၌ ကူးစက်ခံထားရပြီးသား စနစ်တစ်ခုပေါ်တွင် rootkit အား ရှာဖွေခြင်းသည် လက်တွေ့အရ မည်သည့်အဖြေမှ ယူဆောင်ပေးမည်မဟုတ်ပေ။ မည်သည့် rootkit စုံစမ်းထောက်လှမ်းသည့်အရာများမဆို ပျက်စီးနေပြီးသား၊ စာလုံးပေါင်းမှားထားသော သို့မဟုတ် kernel စုံစမ်းထောက်လှမ်းခြင်း ဆော့ဖ်ဝဲထက် ပို၍နိမ့်သော အဆင့်များတွင် လုပ်ဆောင်နေသည့် အရာများကိုသာ ရှာဖွေနိုင်ပေလိမ့်မည်။

Rootkit စုံစမ်းထောက်လှမ်းခြင်းအတွက် ဘုံအဖြစ်ဆုံး အသုံးပြုမှုမှာ –

  • အပြုအမူဆိုင်ရာ နည်းလမ်းများ  – စနစ် အပြုအမူ နှင့်အတူ အန္တရာယ်ရှိ အပြုအမူများ၏ ပုံစံများကို နှိုင်းယှဉ်ခြင်း။ CPU အသုံးပြုခြင်း အချိန်များ သို့မဟုတ် API queries အကြား ပြောင်းလဲမှုများ ရှိကောင်းရှိနိုင်သည်။ အချို့ rootkit များမှာ ဤပြောင်းလဲမှုများပေါ်တွင် အလွန်ကြီးစွာသော သက်ရောက်မှု တစ်ခုရှိသည်၊ ထို့ကြောင့် ဤနည်းလမ်းသည် ဆောင်ရွက်ရန် ပိုမိုလွယ်ကူသောအရာများထဲမှ တစ်ခုဖြစ်သည်၊ သို့သော် တစ်ချိန်တည်းမှာပင် အမှားအများဆုံး ရလဒ်များထဲမှ တစ်ခုလည်းဖြစ်သည်။
    Windows လုံခြုံရေး update အပြီးတွင် Alureon rootkit မှာ စနစ်ပျက်စီးမှုတစ်ခုကို ဖြစ်စေခဲ့သည် – ဤ update မှ ၎င်းအား စုံစမ်းထောက်လှမ်းစေရန်ခွင့်ပြုစေခဲ့ခြင်းဖြင့် ဒီဇိုင်းကုဒ် ထဲတွင် အမှားတစ်ခုအား ဖော်ထုတ်ခဲ့သည်။
  • signature scan ဖတ်ခြင်း – malware အား စုံစမ်းထောက်လှမ်းရန် anti-virus များ အသုံးပြုထားသည်။ သုတေသီများမှ ဆွဲနှုတ်ယူထားသည့် အန္တရာယ်ရှိသော ကုဒ်များအား database ထဲသို့ ထည့်ပြီး anti-virus – disk အား scan ဖတ်ခြင်း သည် (database ထဲတွင် ရှိနေသည့်) ၎င်းအား သိနေသည့် signature များကို ရှာဖွေသည်။ ထို့ကြောင့် signature scan ဖတ်ခြင်းမှာ မှတ်သားထားပြီးသား rootkit များအတွက်သာလျှင် ထိရောက်မှုရှိသည်။
  • ခြားနားချက် scan ဖတ်ခြင်း (cross-comparison) – API အားဖြင့် ပြန်ပို့လာသည့် အလားအလာရှိ ကူးစက်ခံ အ‌ကြောင်းအရာနှင့်အတူ မပျက်စီးသေးသော အချက်အလက်အကြမ်းအား နှိုင်းယှဉ်သည်။ ထုံးစံအားဖြင့် disk ပေါ်တွင် ရေးထားသော binary နှင့် memory ထဲရှိ ၎င်းတို့၏ မိတ္တူများ သို့မဟုတ် disk ၏ သက်ဆိုင်ရာ physical structure များ နှင့်အတူ Windows registry တို့အား သင် နှိုင်းယှဉ်သည်။ သို့သော်လည်း အချို့ rootkit များသည် ဤရှာဖွေခြင်း နည်းလမ်းကို ရှာသိနိုင်ပြီး scan ရလဒ်များအား ကိုက်ညီစေကာ ၎င်းတို့အား စုံစမ်းထောက်လှမ်းရန် မဖြစ်နိုင်စေသည်။

ယခင် ဖော်ပြခဲ့သည့် Sony BMG ပါဝင်ပတ်သက်သည့် အရှုပ်တော်ပုံမှာ တိတိကျကျဆိုရလျှင် ကြက်ခြေခတ်-နှိုင်းယှဉ်ခြင်း ကျေးဇူးအားဖြင့် RootkitRevealer မှ စုံစမ်းထောက်လှမ်းခြင်းခံခဲ့ရခြင်းဖြစ်သည်။

  • အခြား သက်သေပြုပြီးသား စနစ်တစ်ခု ၏ ချိတ်ဆက်မှု – ဤအရာမှာ ယခုအချိန်ထိတော့ လုပ်ဆောင်မှုစနစ် အဆင့်တွင် rootkit များကို စုံစမ်းထောက်လှမ်းခြင်း၏ အကောင်းဆုံး နည်းလမ်းဖြစ်သည်။ ၎င်းသည် သင့်ကွန်ပျူတာ ပိတ်ရန် လိုအပ်ပြီး boot စနစ်တစ်ခုရှိသည့် USB သို့မဟုတ် CD-ROM ကဲ့သို့သော စိတ်ချရသည့် မီဒီယာတစ်ခု နှင့် ချိတ်ဆက်ကာ ကျွန်ုပ်တို့မှ ကူးစက်ခံထားရသည်ဟု သံသယရှိသည့် drive အား သုံးသပ်သည်။ ဤနည်းစနစ်၏ ထိရောက်မှုမှာ ရှာဖွေနေစဉ်အတွင်း rootkit ၏ လုပ်ဆောင်ချက်မရှိမှုကြောင့် ဖြစ်သည် – အကယ်၍ ကူးစက်ခံ ကွန်ပျူတာမှာ မလုပ်ဆောင်နေလျှင် rootkit သည်လည်း လုပ်ဆောင်မှု ရပ်တန့်နေမည်။
  • Virtual memory dump သို့မဟုတ် စနစ် kernel dump ၏ အပြည့်အဝ ခွဲခြမ်းစိတ်ဖြာမှု – ၎င်းအား လုပ်ဆောင်ရန် အလွန်တရာ ခက်ခဲသည်၊ သို့သော် ထိရောက်သည် – rootkit များ၏ ကြီးမားသောအစိတ်အပိုင်းတစ်ခုမှာ မပုန်းကွယ်နေနိုင်ပါ။ သို့သော် hypervisor-အဆင့် rootkit အချို့မှာ memory ကို dump လုပ်ရန် ကြိုးစားမှုတစ်ခုအား စုံစမ်းထောက်လှမ်းနိုင်သည်။
  • ပြီးပြည့်စုံမှု စစ်ဆေးခြင်း – အက်ပလီကေးရှင်း install လုပ်ခြင်း ဖိုင်တွဲထဲရှိ module များမှာ ထပ်မံပြုပြင် သို့မဟုတ် ပျက်ဆီးခြင်း မရှိကြောင်း အတည်ပြုရန်ဖြစ်သည်။ Module တစ်ခုမှာ အကယ်၍ ဆော့ဖ်ဝဲ ထုတ်လုပ်သူမှ ပေးထားသည့် ၎င်း၏ ဒစ်ဂျစ်တယ် signature သည် တရားမဝင်လျှင် ပျက်ဆီးနေသည်ဟု သတ်မှတ်ခြင်းခံရသည်။ ဤအရာသည် သင့်အား disk ပေါ်ရှိ library များထဲတွင် တရားမဝင် ကုဒ်ပြောင်းလဲမှုများကို ရှာဖွေရန် ခွင့်ပြုပေးသည်။ သို့သော် ဤနည်းလမ်းမှာ အက်ပလီကေးရှင်းအား install လုပ်ပြီးနောက် ပြုလုပ်သည့် ပြောင်းလဲမှုများအတွက်သာ ထိရောက်မှုရှိသည်။

Rootkit ကို ဘယ်လိုဖယ်ထုတ်ရမလဲ?

သင်သည် သင်ကိုယ်တိုင် rootkit အား ခြေရာခံလိုက်ရန် ကြိုးစားနိုင်ပြီး ၎င်းအား ဖယ်ရှင်းရန် ကံမကောင်းစွာပင် အလွန်အချိန်စားပြီး အထူးအသိပညာ လိုအပ်သည့် manual နည်းလမ်းများ ကို အသုံးပြုနိုင်သည်။ ကံကောင်းထောက်မစွာပင် လူသိများပြီး နာမည်ကြီးသည့် anti-viruses အများအပြားသည်လည်း anti-rootkit စနစ်များနှင့်အတူ တပ်ဆင်ထားလာကြပြီးဖြစ်သည်။

ကျွန်ပ်တို့မှ Bitdefender အားဖြင့် အသုံးပြုသည့် solution များကို အကြံပြုပေးနိုင်သည်၊ သို့သော် အကယ်၍ သင့် antivirus ပရိုဂရမ်သည် ခြိမ်းခြောက်မှုအား ဖယ်ရှားရန် မတတ်နိုင်လျှင် သင်သည် rootkit များကို အထူးသဖြင့် ပစ်မှတ်ထားသည့် ပရိုဂရမ်များကို အသုံးပြုနိုင်သည်။ Windows အတွက် ထိုသို့သော ပရိုဂရမ်တစ်ခု၏ ဥပမာတစ်ခုမှာ ယခင်ကဖော်ပြခဲ့ပြီးသော Rootkit Revealer ဖြစ်ပြီး သို့မဟုတ် အခြားစနစ်များမှာ unseeded ချန်ထား မခံခဲ့ကြရပေ။ Linux နှင့် MacOS အတွက် chkrootkit နှင့် rkhunter (UNIX အတွက်) တို့အား အခြားအရာများအကြား ဖန်တီးခဲ့ကြသည်။

သို့သော်လည်း ပြဿနာမှာ အကောင်းနှင့်အဆိုးအကြား ထာဝရရုန်းကန်ခြင်း နှင့် အမြဲ သဏ္ဍန်တူနေလိမ့်မည်။ Rootkit စုံစမ်းထောက်လှမ်းခြင်း ပရိုဂရမ် ပိုမို ထိရောက်လာသည်နှင့် ၎င်းတို့၏ ရေးဆွဲသူများမှ တဖန်တွေ့ရခဲဖြစ်စေရန် ကုဒ်အား ပြောင်းခြင်းအပေါ် ပို၍ အာရုံစိုက်လာကြသည်။

စနစ်၏ အရေးအကြီးဆုံးအရာ ဖြစ်သော – kernel – အား တိုက်ခိုက်သည့် rootkit များအား virtually ဖယ်ရှင်းရန် မဖြစ်နိုင်ချေ သို့မဟုတ် ဤဖြစ်စဉ်မှာ အလွန့်အလွန် ရှုပ်ထွေးလှသည်။ ၎င်းသည် လိုအပ်စွာပင် စိတ်ချရသော ရင်းမြစ်တစ်ခုထံမှ လုပ်ဆောင်မှုစနစ်အား reinstall လုပ်စေကာ များသောအားဖြင့် disk တစ်ခုလုံးအား ရှင်းထုတ်ခြင်းတွင် အဆုံးသတ်လေ့ရှိသည်။

လုပ်ဆောင်မှု စနစ်များ ဆင့်ကဲပြောင်းလဲလာသည်နှင့်အမျှ rootkit များမှာ ပို၍ ပို၍ စိတ်ဝင်စားမှု ရလာကြသည်။ ထို့ကြောင့် မဖြစ်မနေ kernel-အဆင့် driver အမှတ်အသားလုပ်ခြင်းအား Windows 64-bit တွင် implement လုပ်လာကြသည်။ ဤဖြစ်စဉ်အား စနစ်၏ အမြင့်ဆုံး အဆင့်တွင် ပြင်ပကုဒ် ထည့်သွင်းရန် ၎င်းအား ပို၍ ခက်ခဲစေရာ၌ ရည်ရွယ်သည်။ Microsoft မှလည်း rootkit ဖယ်ရှင်းသည့် tool များကို ဖန်တီးလာသည်။

Microsoft Windows Malicious Software Removal Tool – ၎င်းသည် သင် စနစ်အား မစတင်မှီ သင့်ကွန်ပျူတာအား scan လုပ်ပေးသည်။ Windows Defender Offline – သည် rootkit များ၏ တည်ရှိမှုကို စုံစမ်းထောက်လှမ်းရန် ကြိုးစားရင်း စနစ် မစတင်မှီကပင် အထူး ပတ်ဝန်းကျင်တစ်ခုကို ဖန်တီးပေးသည်။

Rootkits ရန်မှ ကာကွယ်ရန် နည်းလမ်းများ

“ကာကွယ်ခြင်းမှာ ကုသခြင်းထက် သာ၍ ကောင်းသည်” ဆိုသည်မှာ ယနေ့မှ သိလာရခြင်းမဟုတ်ဘဲ ဤအရာမှာ ကျန်းမာရေး ကြိုတင်ကာကွယ်ခြင်း၌သာလျှင် အကျုံးဝင်သည်မဟုတ် ကွန်ပျူတာ နှင့် မိုဘိုင်းစက်ပစ္စည်း ကာကွယ်ခြင်းတွင်လည်း အကျုံးဝင်သည်။ စနစ်ဆော့ဖ်ဝဲ ရေးဆွဲသူများ ကိုယ်တိုင်လည်း ဤအရာကို သတိရကြသည်။

၂၀၀၉ ခုနှစ်တွင် မြောက်ပိုင်း ကာရိုလိုင်းနား တက္ကသိုလ် မှ Microsoft နှင့် ပူးပေါင်းလက်တွဲရင်း hypervisor အဆင့်များအတွက် anti-rootkit တစ်ခု – “Hooksafe” ကို ဖန်တီးခဲ့သည်။ ၎င်း၏ တာဝန်မှာ စနစ်၏ kernel ကိုပင် ဦးတည်သည့် rootkit များရန်မှ ယေဘုယျ ကာကွယ်ခြင်း ဖြစ်သည်။

Windows 10 ၏ စွန့်စားခြင်းနှင့်အတူ rootkit များ ရန်မှ သီးသန့်၊ ပြင်ပ ကာကွယ်မှု ပေးရန် virtualization ဖြစ်စဉ်များကို အသုံးပြုသည့် “Device Guard” ဟုခေါ်သည့် သွင်ပြင်အသစ်တစ်ခု ထွက်ပေါ်ခဲ့သည်။

သို့သော် Bitdefender ကဲ့သို့ anti-rootkit နှင့်အတူ ကောင်းသော antivirus တစ်ခုထက် သာသည့် ပိုမိုထိရောက်သော နည်း မရှိသေးပေ။

Rootkit များသည် ပရိယာယ်ကြွယ်ဝကြပြီး ၎င်းတို့ရန်မှ ခုခံရန် သင်သည် သင့် အွန်လိုင်း အပြုအမူအပေါ် အလေးထားအာရုံစိုက်ရန် လိုအပ်သည် –

  • Aသံသယဖြစ်ဖွယ် စာမျက်နှာများ၊ မသိသော ပေးပို့သူထံမှ အီးမေးလ်များမှ မလုံခြုံသော လင့်ခ်များ နှင့် ပူးတွဲဖိုင်များ ဖွင့်ခြင်းကို ရှောင်ရှားပါ
  • အခမဲ့ ပရိုဂရမ်များ, အထူးသဖြင့် ဝက်ဘ်ပေါ်တွင် ရရှိနိုင်သော ခိုးကူးထားသည့် ဂိမ်းဗားရှင်းများ၊ တေးဂီတ နှင့် ရုပ်ရှင်များ ထံမှ သတိထားပါ
  • ၎င်းတို့ ပေါ်ထွက်လာသည်နှင့် တပြိုင်နက် စနစ် update များကို လုပ်ဆောင်ပါ
  • သင် မကြာခဏ မလိုအပ်သည့် သင် install လုပ်ထားသော အက်ပလီကေးရှင်းများ အားလုံးကို သင့်စနစ်ထံ အပြည့်အဝ ဝင်ရောက်ခွင့် မပေးပါနှင့်
  • Firewall တစ်ခု၊ antivirus, နှင့် rootkit scanner များကို အသုံးပြုပါ
  • အချိန်အတိုင်းအတာတစ်ခုမှတစ်ခုအတွင်း လုံခြုံရေး စစ်ဆေးမှုများ ပြုလုပ်ပါ
  • Dual authentication စနစ်များ သုံးရန် ကြိုးစားပါ

Rootkit ပြဿနာမှာ ရွေးချယ်ထားသည့် အသုံးပြုသူ အုပ်စုများ အတွက်သာ အရံထားသည် မဟုတ် – ၎င်းသည် virtual အားဖြင့် ကျွန်ုပ်တို့အားလုံးကို ပစ်မှတ်ထားသည်။ ထို့ကြောင့် လက်တော့ပ်များ၊ ကွန်ပျူတာများ နှင့် မိုဘိုင်းစက်များ အား လုံခြုံအောင် ထိန်းသိမ်းရန် အလွန် အရေးကြီးသည်။ မည်သူမျှ ချောင်းမြောင်း မခံချင်ကြပေ။ ပြီးလျှင် အလားအလာရှိ ခြိမ်းခြောက်မှုတစ်ခုအကြောင်း သင် ပိုသိလာသည်နှင့် သင့်အတွက် ၎င်းရန်မှ ခုခံရန် ပို၍ လွယ်ကူလာလိမ့်မည်။

 

Rootkit များ၏ သမိုင်းကြောင်း – ဒါဆို ၎င်းတို့ ဘယ်ကနေပေါ်လာခဲ့ကြတာလဲ?

 

Rootkit များ၏ သမိုင်းကြောင်းမှာ လွန်ခဲ့သော ရာစုနှစ်၏ ၈၀ ခုနှစ်များ အတွင်း အစပြုခဲ့သည်။ အမှန်စင်စစ် ၎င်းတို့၏ နမူနာပုံစံအား Bell Labs တွင် အလုပ်လုပ်သည့် unix ၏ ဖန်တီးသူများထဲမှ တစ်ဦးလည်းဖြစ်သည့် Ken Thompson အားဖြင့် ဖန်တီးခဲ့သည် ဟု ဆိုနိုင်သည်။

၁၉၇၂ ခုနှစ်တွင် Thompson မှ တီထွင်ခဲ့သည့် UNIX မှာ B မှ C သို့ ပြန်လည်ရေးသားခြင်း ခံခဲ့ရသည်။ ထို့ကြောင့် UNIX kernel မှာ C တွင် အလုပ်လုပ်ခဲ့သည်။ Ken Thompson မှ ၁၉၈၃ ခုနှစ်တွင် exploit တစ်ခုအား တင်ပြခဲ့သည် – ၎င်းမှာ ရှိရင်းစွဲ ဆော့ဖ်ဝဲ bug များအား exploit လုပ်သည့် ပရိုဂရမ်တစ်ခု ဖြစ်ပြီး အန္တရာယ်ရှိသော ကုဒ်အား ဖော်ထုတ်ခြင်းမပြုပဲ C ထဲတွင် တောင်းခံချက်တစ်ခုအား compile လုပ်ချိန် စနစ်ပေါ်တွင် m.in. log လုပ်နိုင်ရန် ဒီဇိုင်းရေးဆွဲခဲ့ခြင်းဖြစ်သည်။ ဤအရာမှာ ထပ်မံပြုပြင်ထားသည့် compiler တစ်ခုမှတဆင့် ဖြစ်ပျက်ခဲ့သည် – မူရင်း ဘာသာစကား ကုဒ်အား အခြား ဘာသာစကားတွင် တူညီသော ကုဒ်အဖြစ် အလိုအလျောက် ဘာသာပြန်ပေးသည့် ပရိုဂရမ်တစ်ခု ဖြစ်သည်။

ထပ်မံပြုပြင်ထားသည့် compiler သည် UNIX ထံသို့ ပြထားသည့် command တစ်ခုအား compile (ဘာသာပြန်) ရန် အသုံးပြုသူမှ ကြိုးပမ်းမှုတစ်ရပ်အား စုံစမ်းထောက်လှမ်းခဲ့ပြီး ပြောင်းသွားသည့် ကုဒ်ကို ထုတ်ပေးခဲ့သည်။ ကုဒ်သည် အသုံးပြုသူအားဖြင့် မှန်ကန်စွာ ရေးသွင်းသည့် လှို့ဝှက်ကုဒ်ကို လက်ခံခဲ့ပြီး တစ်ချိန်တည်းမှာပင် ထပ်ဆင့် “backdoor” လှို့ဝှက်ကုဒ်မှာ ဟက်ကာအားဖြင့် ပေးခြင်းခံရသည်။

ထပ်ဆင့်ဆိုရလျှင် ထပ်မံပြုပြင်ထားသည့် compiler တွင် မူရင်း compiler ထံသို့ update များအားလုံးအပေါ်တွင် တိုက်ရိုက် သက်ရောက်မှုတစ်ခုရှိခဲ့ပြီး ၎င်းထဲတွင် တူညီသော exploit များ ထိုးသွင်းခဲ့သည်။ Logon မူရင်း ကုဒ် နှင့် update လုပ်ထားသော compiler ကုဒ် တို့အား browse လုပ်ခြင်းမှာ အဘယ်အရာကိုမျှ မဖြစ်စေပေ – အန္တရာယ်ရှိ ကုဒ်အား မမြင်တွေ့ရဘဲ ၎င်းမှာ သတင်းအချက်အလက်အား ဖမ်းယူခဲ့သည်။ Rootkit မှာ ဤ exploit နှင့် အလားတူ အခြေခံပေါ်တွင် အလုပ်လုပ်သည်။
ပြီးနောက် DOS (1986) ပေါ်တွင် လုပ်ဆောင်သည့် IBM-PC များပေါ်တွင် ပထမဆုံး မှတ်တမ်းတင်ခဲ့သည့် ဗိုင်းရပ်စ် –Brain သည် ဤပုန်းကွယ်ခြင်း နည်းစနစ်အား အသုံးပြုခဲ့သည်။ ၎င်းသည် ၎င်းကိုဖတ်ရန် ကြိုးပမ်းမှုများအပေါ် ဖြတ်ကျော်ခြင်းဖြင့် boot ကဏ္ဍ အား တိုက်ခိုက်ခဲ့ပြီး မူလ boot ကဏ္ဍ၏ မိတ္တူတစ်ခုအား သိမ်းဆည်းသည့် နေရာထံ ၎င်းအား လမ်းကြောင်းပြန်လွှဲပေးခဲ့သည်။ ၎င်းသည် မလုံခြုံသော floppy disk များမှတဆင့် ပျံ့နှံ့သွားသည်။

အချိန်စီးဆင်းခြင်းမှာ disk ၏ အနိမ့်ဆုံး အဆင့်များ INT 13H BIOS ၌ သတင်းအချက်အလက်များ ဖမ်းယူခြင်း – ဖိုင်များ၏ တရားမဝင် ထပ်မံပြုပြင်ခြင်းအား ဖုံးကွယ်ရန် ချိတ်ဆက်မှုအား အနှောင့်အယှက်ပေးခြင်း အားဖြင့် အခြားအရာများအကြား DOS ထဲတွင် ဗိုင်းရပ်စ်များ မျက်နှာဖုံးခြင်း နည်းလမ်းများ၏ တိုးတက်မှုကို အသားပေးခဲ့သည်။

Rootkit များ၏ မြှင့်တက်လာမှုသည် ကမ္ဘာ့အတိုင်းအတာတစ်ခုပေါ်တွင် အရှုပ်တော်ပုံအများအပြား ပေါ်ထွက်လာခြင်းအပေါ် ပါဝင်ပတ်သက်ခဲ့သည်။ ၎င်းတို့ထဲမှ တစ်ခုမှာ Sony BMG မှ CD များပေါ်တွင် ထုတ်ဝေခဲ့သည့် ဆော့ဖ်ဝဲ အင်ဂျင်နီယာ Mark Russinovich ၏ First 4 အားဖြင့် Extended Copy Protection software ရှိ rootkit, ၂၀၀၅ ခုနှစ်တွင် ရှာဖွေတွေ့ရှိမှု ဖြစ်ခဲ့သည်။ ဆော့ဖ်ဝဲ၏ အစိတ်အပိုင်းများထဲမှ တစ်ခုမှာ music player တစ်ခုဖြစ်ပြီး ပရိုဂရမ် ကိုယ်တိုင်အား မိတ္တူကူးခြင်း နှင့် ဒစ်ဂျစ်တယ် ကော်ပီရိုက် ထိန်းချုပ်မှု ရန်မှ ကာကွယ်ခြင်းအတွက် ရည်ညွှန်းခဲ့သည်။

Russinovich သည် စီဒီထံ အသုံးပြုသူ၏ ဝင်ရောက်မှုအား ကန့်သတ်သည့် rootkit တစ်ခုနှင့်အတူ install လုပ်နေသည့် music player အား သူ၏ကွန်ပျူတာများထဲမှ တစ်လုံးပေါ်တွင်ရှာဖွေတွေ့ရှိခဲ့သည့် RootkitRevealer– rootkit စုံစမ်းထောက်လှမ်းခြင်း tool တစ်ခုအား ရေးဆွဲခဲ့ခြင်းဖြစ်သည်။ ခြုံငုံပြောရလျှင် ဤအရာမှာ ထိုသို့သော ကြီးမားသည့် အတိုင်းအတာတစ်ခုပေါ်တွင် rootkit များ၏ အန္တရာယ်များအပေါ် အသုံးပြုသူများ၏ သတိပြုမိမှု သိသိသာသာ မြှင့်တက်ခဲ့သည့် ပထမဆုံး အဖြစ်အပျက် ဖြစ်ခဲ့သည်။ Sony BMG မှ rootkit အား uninstall လုပ်ရန် update တစ်ခုအား အမြန်အဆန် ထုတ်ပြန်ပေးခဲ့သော်လည်း ၎င်းမှာ ဆန့်ကျင်ဖက် တုံ့ပြန်မှုသာ ဖြစ်ခဲ့သည်။

အသုံးပြုသူများမှာ တိုက်ခိုက်မှုများထံ ပို၍ ထိခိုက်လွယ်ခဲ့ကြရသည်။ ယူအက်စ်တွင် Sony BMG အား စုပေါင်းတရားစွဲဆိုသည့်ကိစ္စတစ်ခုပင် ရှိခဲ့သည်။ အခြား ဥပမာမှာ Greek Watergate ဟု ခေါ်သည့် လူသိများသော အရှုပ်တော်ပုံ ဖြစ်သည်။ ၎င်းသည် ထိပ်တန်း အစိုးရ အရာရှိများသာ အဓိကအသုံးပြုသည့် Vodafone ဂရိ ကွန်ယက်ပေါ်တွင် လုပ်ဆောင်သည့် မိုဘိုင်းဖုန်း ၁၀၀ ကျော်အား တရားမဝင် ခိုးနားထောင်ခြင်းအပေါ် စိုးရိမ်စေခဲ့သည်။ ခိုးနားထောင်ခြင်း ဖြစ်စဉ်မှာ ၂၀၀၄ ခုနှစ် ဩဂုတ်လ ဝန်းကျင်တွင် စတင်ခဲ့ပြီး ၂၀၀၅ ခုနှစ် မတ်လအထိတိုင် ကြာမြင့်ခဲ့သော်လည်း ခိုးနားထောင်ခဲ့ကြသည့် မှတ်တမ်းရေးသူများမှာ ဖော်ထုတ်ခံရခြင်း မရှိခဲ့ပေ။ Rootkit သည် Ericsson ၏ AX တယ်လီဖုန်း အိတ်စ်ချိန်း ကိုလည်း ဤနေရာတွင် တိုက်ခိုက်ခဲ့သည်။

ဆော့ဖ်ဝဲသည် ဖြစ်စဉ်လုပ်ရပ် နှင့် အချက်အလက် စီးဆင်းမှုအား စောင့်ကြပ်ကြည့်နိုင်စေခဲ့ပြီး လှို့ဝှက်ကုဒ်များ နှင့် login များကို ဝင်ရောက်ရယူခဲ့သည်။ ၎င်း၏တည်ရှိမှုအား SMS ပို့ရန် တတ်စွမ်းမှုကို တားမြစ်ခဲ့သည့် rootkit update ထဲတွင် အမှားတစ်ခုအားဖြင့်သာ စုံစမ်းထောက်လှမ်းနိုင်သည်။ Ericsson ထံ အမြောက်အများ အစီရင်ခံခဲ့သည့် အားနည်းချက်များမှနေ၍ စောင့်ကြပ်ကြည့်ခံ ဖုန်းနံပါတ်များ၏ စာရင်းတစ်ခုနှင့်အတူ အချက်အလက်အား ဖုံးကွယ်ပိတ်ဆို့မှုများ၊ rootkit တစ်ခုနှင့်အတူ တရားမဝင် ခိုးနားထောင်ခြင်း ဆော့ဖ်ဝဲ တည်ရှိမှုအား ဖော်ထုတ်ခဲ့သည်။

အကျဉ်းချုပ်

ခြုံငုံပြောရလျှင် rootkit များသည် spyware နှင့်အလားတူစွာ ဆင့်ကဲပြောင်းလဲလာခဲ့သည်ဟု ဆိုနိုင်သည်။ ပထမတွင် rootkit များအား သီးသန့် malware အတန်းအစားတစ်ခုအနေနှင့် သတ်မှတ်ခဲ့ကြသည်။ နောက်ပိုင်းတွင် မြောက်မြားစွာသော ထုတ်ကုန်များ၊ anti-rootkit tool များနှင့် antivirus နယ်ပယ်မှ သိသိသာသာ တုံ့ပြန်မှုတစ်ခုအား ပါဝင်ခဲ့သည့် မီဒီယာ ဖောင်းပွမှာ အများအပြားရှိခဲ့သည်။ ယနေ့တွင် rootkit များ နှင့် spyware နှစ်မျိုးလုံးသည် malware ၏ ခေတ်ရေစီးကြောင်းထဲ ဝင်ရောက်လာခဲ့ကြပြီး စိတ်လှုပ်ရှားမှုများစွာ မလုပ်ပေးတော့ပေ။ သို့သော်လည်း တစ်စုံတစ်ခုအား ဖုံးကွယ်ရန် စနစ် လုပ်ဆောင်ချက်များအား ရှောင်တိမ်းခြင်း၏ သဘောတရားအား အသုံးပြုနေဆဲဖြစ်ပြီး ကိုယ်ပျောက်နည်းစနစ်များ အသုံးပြုသည့် ခြိမ်းခြောက်မှုများမှာ ပေါ်ထွက်ရန် သေချာနေသည်။

BitdefenderTotal Security

Regular Price: US$ 74.66

စုမိငွေပမာဏ :US$ 47.03

Special Price: US$ 27.63

Post Releases