الرئيسيةعريقبحث

روتكيت


☰ جدول المحتويات


كيفية عمل الروتكيت

تعريف

هي مجموعة من البرامج تستعمل لإخفاء عمليات نشطة أو في طورالإنجاز على الكمبيوتر أو إخفاء بيانات نظام الملفات بالنسبة لنظام تشغيل . روتكيت تستخدم بشكل متزايد من قبل برمجيات خبيثة لمساعدة مهاجمين للحفاظ للوصول إلى النظام مع تجنب الكشف من طرف المستخدم أو أدوات المستخدم [1].

كلمة روتكيت مركبة من كلمتين[2] :

  1. روت و تعني جذر
  2. كيت هو ممثل من تجميع عدة أجزاء

عند تجميع كلمتين نحصل على روتكيت و يعني برامج نصية سكريبت التي تهاجم جذور المعالج "كرنيل" [3] أي النواة

الفيروسات و الروتكيت

فيروس الحاسوب هو برنامج خارجي صنع عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب وما شابهها من عمليات. اي ان فيروسات الكومبيوتر هي برامج تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه أو سرقة بيانات مهمة، وتتم كتابتها بطريقة معينة.

مضاد الفيروسات و الروتكيت

مضاد الفيروسات (أو برنامج مضاد للفيروسات) هو برنامج يستخدم لمنع واكتشاف وإزالة البرمجيات الخبيثة، بما فيها فيروسات الحاسب، والديدان، وأحصنة طروادة. فمثل هذه البرامج ويمكن أيضا منع وإزالة الأدوير، برامج التجسس، وغيرها من أشكال البرمجيات الخبيثة.

عادة ما توظف مجموعة متنوعة من الاستراتيجيات. تشمل الفحص المستند على الكشف عن نماذج معروفة من البرمجيات الخبيثة في كود قابل للتنفيذ. ومع ذلك، فمن الممكن للمستخدم أن يكون مصابا ببرمجيات خبيثة جديدة التي لا يوجد حتى الآن لها توقيع. لمواجهة هذا الذي يسمى تهديدات اليوم صفر، يمكن استخدام الاستدلال. نوع واحد من النهج الإرشادي، التوقيعات العامة، يمكن التعرف على الفيروسات الجديدة، أو مختلف أشكال الفيروسات الموجودة ليبحث عن أكواد البرمجيات الخبيثة المعروفة (أو تكون هناك اختلافات طفيفة في هذا الكود) في الملفات.بعض برامج الحماية من الفيروسات ويمكنها أيضا التنبؤ بما سوف يحدث تفعل إذا فتح الملف بمحاكاتها في صندوق رمل وتحليل ما تقوم به لمعرفة ما إذا كانت تنفذ أية إجراءات ضارة. إذا نفذت هذا، يمكن أن يعني هذا أن الملف ضار. لا تنفع مضادت الفيروسات مع الروتكيت نضرا لبنيتها و ميزتها في التخفي و خاصة إذا كانت قد سبق و دخلت جهاز الكمبيوتر لذا من الامور التي يجب مراقبتها و تحديثها بالإضافة الي مضاد الفيروسات اولا هو الجدار الناري.

مثال تطبيقي

افترض أنا المهاجم وضع سكريبت يسمى نت ستات نت ستات حيث أن هذه الخدمة حقا موجودة على الكمبيوتر و أن نت ستات خبيث قد تسلل بالفعل على الكمبيوتر لا للقضاء على الخدمة الأصلية نت ستات ولكن يغير إسمه إلى نت ستات أل و بهذه الطريقة يؤجل استخدام الخدمة الأصلية إلى وقت لاحق. في لحظة يتم تنشيط الخدمة فإن السيناريو الخبيث سينشط الخدمة الأصلية لكن يحرف هذه الخدمة. طبعا المستخدم لن يلاحظ أي شيء على إطلاق لأن كل شيء يعمل بشكل طبيعي و الفرق أن نت ستات خبيث ثبث و أخفى تروايان Troyen حيث يخبئ له باكدور Backdoor وراصد لوحة مفاتيح راصد لوحة مفاتيح إضافة لذلك فإن روتكيت يثبت عدة نت ستات على تتالي لو تمكنا من اكتشاف أي أحد منهم و تمكنا استئصاله و لكن باقي نت ستات ستنشط تلقائيا . مثلا بالنسبة إلى نظام تشغيل ويندوز لا يمكن كشف روتكيت بمضاد الفيروسات مضاد الفيروسات إذا تم اكتشاف روتكيت على جهاز كمبيوتر لم يبقَ شيء لقيام به بخلاف إعادة تثبيت نظام تشغيل ويندوز .

المستهدف

على عكس ما يعتقد معظم الناس ليست الشركات هي المستهدفة ولا حتى الشركات الكبرى و لكن بصفة خاصة الفرد بسبب سذاجتهم أو جهلهم بالمخاطر الأمنية

الهدف

هدف مافيا كمبيوتر هو تجسس على جهاز كمبيوتر الخاص بك لاستعادة كلمات سر الخاص بك و السمارت المصرفية إلكترونية أو مختلف رموز الوصول أو استعمال جزء من مساحة قرص ثابت لتخزين محتوى غير قانوني أو استخدامه كقاعدة لإرسال سبام أي البريد غير مرغوب فيه بالإضافة إلى استخدام القرص ثابت الخاص بك كوصلات لقيام بهجمات من نوع DD0S8 حيث سيحول جهازك إلى كمبيوتر زومبي 9 الأسوء أنك لن تلاحظ استخدام غير المشروع لقرص الصلب الخاص بك.

عناصر مميزة لروتكيت

مجموعة من التغيرات

من ناحية روتكيت نادرا ما يكون برنامج واحد و لكن غالبا مايتكون من عدة عناصر لروتكيت، من ناحية أخرى فإن عناصر متعددة لروتكيت نادرا ما تكون برامج قائمة بحد ذاتها و إنما التغيرات التي تم إجراؤها على غيرها من مكونات نظام (برامج مستخدم، جزء من نواة أو فضائية أخرى ) .هذا نوع من التغيرات التي تعتقد أنها فكرة تدخل المرتبطة بالبرمجيات الخبيثه التي تنتشر وفق أهدافها .

الاحتفاظ بالوقت

غيرها من البرامج الأخرى لا علاقة بالوقت ماعدا في بعض الحالات لصنع قنابل منطقية إذا تعلق الزناد بعامل الوقت . في حالة روتكيت، مهاجم يتحكم في النظام لتنفيذ بعض العمليات (سرقت معلومات، حرمان من خدمات ... لخ) و عليه ضمن قدرته للوصول إلى هدفه .

تحكم إحتيالي عبر نظام المعلومات

هذا يعني أنا المهاجم لديه الامتيازات اللازمة لأداء العمليات عندما لا يكون قادرا على تشغيل نظام و التحكم فيه، يحاول المهاجم للحفاظ على السيطرة دون علم مستخدم النظام، لذا يلزم تواصل بين النظام و صاحب روتكيت .

الهيكل الوظيفي للروتكيت

و يقصد به عناصر متورطة عند استخدام روتكيت أول خطوة هو تثبيت روتكيت و الاحتفاظ بتحكمه بالنظام حيث أنه بحاجة إلى وجود وحدة حمايه بعد ذلك فإن المهاجم يستخدم روتكيت كوسيط مع النظام حيث أنه يحتوي على وحدة أساسية تستعمل كواجهة بين نظام و المهاجم باكدور

الحاقن

و الواقع أن المهاجم تمكن من الحصول على نظام من خلال استغلال خلل البرمجيات أو كلمة مرور ضعيفه و من ثم يثبت روتكيت على نظام طبيعة الحاقن مهما كان روتكيت مراد تثبيته على فضاء المستخدم أو النواة أو سبرفيسور من الضروري الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط هذه الآلية التي يستخدمها المهاجم لإدراج روتكيت في نظام (عدوا تصيب وحدات النواة، حقن جزء من برمجيات عبر ( مثلا dev/kmem/)و الواقع أن المهاجم تمكن من الحصول على النظام من خلال استغلال خلل في البرمجيات أو كلمة مرور الضعيفة و من ثم يثبت روتكيت على النظام طبيعة الحاقن يبقى نفسها مهما كان روتكيت مراد تثبيته على فضاء مستخدم أو النواة أو هيبيرفيسر . من الضروري دائما الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط .

وحدة الحماية

هدفها هو جعل روتكيت صعب على النظام من الممكن جمع بين عدة استراتيجيات لتشمل الأمثلة التالية :

إخفاء الجذور الخفية

يمكن التمييز بين الحالتين، من جهة هو إخفائه في نظام عندما يكون في حالة نشيطة من ناحية أخرى إذا كان روتكيت في حالة نشاط مستمر و جزء من التعليمات البرمجية مقيمين على النظام هو أكثر خفية.

روتكيت أكثر مقاومة

بافتراض أن روتكيت كشف أمره فهذه حاله يلزم على روتكيت توفير قدرات مقاومة على محاولات إزالة على سبيل مثال :بمجرد كشف عن روتكيت يمكن تهديد المستخدم بكسر بيوس من اللوحة الأم و يستند هذا الواقع على نظرية اللعبة :يسعى روتكيت على وضع المستخدم في حالة تجبره على إعادة تثبيت النظام بالكامل .

جعل روتكيت ثابت

هو جعل روتكيت في حالة نشاط دائمة حتى في إعادة تشغيل كمبيوتر و بالتالي يتم حقن جزء من برمجيات في مكونات غير متطايرة من النظام

إخفاء نشاط المهاجم

أولا إخفاء كل ما يتعلق من استخدامات المهاجم من معالج،شبكة، ملفات . ثانيا يتمثل في إخفاء سجلات أحداث المتعلقة بالمهاجم .

باب الخلفي

يسمح للمهاجم الحفاظ على السيطرة و من ناحية الحفاظ على الخدمات و يعتمد على مايريد أي يفعله بالنظام . و أخيرا يتميز الباب الخلفي بسهم توجيه تفاعلات مع النظام و تنقسم إلى قسمين مستقلين عن بعضهما : من نظام المهاجم إلى نظام المستهدف حيث من وسائل الاتصال التي يستخدمها المهاجم إجراء محادثة مع روتكيت (إتصال مهاجم عبر حساب موجود على نظام و اتصالات تتم من خلال ذاكرة تخزين مؤقت عبر قناة خفيه من نظام البيني إلى خدمات روتكيت هذا قسم يميز مسار روتكيت عند رد على إستفسارات مهاجم لتلبية احتياجات المرتبطة بالأهداف

الخدمات

روتكيت يوفر خدمات عديدة التي ينفذها المهاجم اللازمة على نظام البيني حيث نميز نوعين من خدمات : خدمات سلبيه و التجسس :من خلال خدمات التجسس يمكن للمهاجم الحصول على معلومات الحساسه و مثال نموذجي على ذلك كي لوجر التي تسمح له بقراءة الحروف التي تم ادخالها على لوحة مفاتيح نظام خدمات فعالة هذه عادة ما يستخدمها المهاجم لتنفيذ عمليات على عكس الأنظمة الأخرى (حرمان من الخدمة إزالة معلومات أو برمجيات ....) كما أنه يشمل على خدمات أخرى تمكن المهاجم لتردد على أنظمة أخرى لمواصلة المزيد من التدخل فيها .

مراجع

  1. روتكيت بي دي أف - تصفح: نسخة محفوظة 05 يناير 2017 على موقع واي باك مشين.
  2. ( كتاب إلكتروني PDF ) https://web.archive.org/web/20070306094525/http://content.myschool.lu/downloads/mysecureit/14_Rootkits2.pdf. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 6 مارس 2007.
  3. نواة لينكس

موسوعات ذات صلة :