چرا روتکیتها معمولاً توسط EDR شناسایی نمیشوند؟
بررسی نیاز به XDR و SOC در سازمانها
با وجود اینکه EDRها فناوریهای نوینی هستند و توانایی بالایی در شناسایی تهدیدات دارند، اما ممکن است در کشف روتکیتها چندان موفق نباشند؛ به همین دلیل حرکت به سمت XDR و بهرهگیری از قابلیتهای SOC در سازمانها ضروری به نظر میرسد.
روتکیت چیست؟
روتکیت (Rootkit) یک نوع بدافزار بسیار پیشرفته و خطرناک است که هدف اصلی آن مخفی ماندن از دید کاربر، آنتیویروسها و حتی سیستمهای امنیتی مثل EDR است که :
- در سطح بسیار پایین سیستم (Kernel یا حتی Firmware) اجرا میشود.
- هدف اصلی آن، مخفی کردن حضور خود یا سایر فایلها، پردازشها و ارتباطات شبکهای است.
- به گونهای طراحی شده که هرگونه لاگ، نشانه یا رفتاری که بتواند آن را لو بدهد، پنهان کند.
EDR چگونه کار میکند؟
EDR (Endpoint Detection and Response) به این صورت عمل میکند:
- در سطح User Mode و در برخی موارد Kernel Mode فعالیت میکند.
- رفتار فایلها، پردازشها، رجیستری، شبکه و APIهای سیستم را مانیتور میکند.
- از الگوریتمهای رفتارشناسی و قوانین امنیتی برای شناسایی تهدیدات و پاسخ به آنها استفاده میکند.
چرا EDR نمیتواند روتکیتها را شناسایی کند؟
دلایل اصلی عبارتند از:
روتکیت دادههای سیستم را دستکاری میکند:
- پردازشهای خود را از لیست پردازشهای فعال مخفی میکند.
- فایلها را از دید فایلسیستم پنهان میسازد.
- لاگهای سیستم را تغییر داده یا غیرفعال میکند.
در نتیجه، دادههایی که EDR به آنها متکی است، آلوده یا فریبخوردهاند.
روتکیت میتواند EDR را غیرفعال کند:
- روتکیتهایی که در Kernel-mode عمل میکنند، ممکن است هوکهای مرتبط با فعالیتهای EDR را حذف کنند.
- حتی ممکن است باعث شوند که فعالیتهای مشکوک در لاگهای امنیتی ثبت نشود.
محدودیت فعالیت EDR در User Mode:
- بسیاری از EDRها برای جلوگیری از ناپایداری سیستم، عمدتاً در User Mode فعالیت میکنند.
- روتکیتهایی که در Kernel-mode یا حتی پایینتر اجرا میشوند، خارج از دید EDR قرار دارند.
چگونه میتوان روتکیتها را شناسایی کرد؟
روشهای پیشرفتهتر شامل:
- Memory Forensics:
تحلیل مستقیم حافظه (RAM) با ابزارهایی مانند Volatility برای کشف تغییرات مشکوک، بدون تکیه بر APIهای سیستمعامل. - Boot-time یا Offline Scanning:
اسکن سیستم قبل از بوت شدن سیستمعامل، مثلاً با Live CD، که در آن مرحله روتکیت هنوز فعال نشده و قابل شناسایی است. - Hypervisor-based Security:
استفاده از تکنولوژیهایی مثل Hyper-V برای مشاهده و تحلیل رفتار سیستم از بیرون از محیط سیستمعامل.
نقش XDR و SOC در کشف روتکیتها:
با توجه به اینکه XDR دارای ماژولهای پیشرفتهتر تحلیل تهدیدات و جمعآوری اطلاعات از منابع متنوع (فراتر از هاست) است، احتمال کشف روتکیتها در این مدل بالاتر است.
علاوه بر این، بهرهگیری از SOC (Security Operations Center) که توانایی تجمیع، تحلیل و همبستگی لاگهای مختلف سازمانی را دارد، میتواند کمک شایانی در شناسایی و پاسخ به تهدیدات پیشرفتهای مانند روتکیتها داشته باشد.