روتكيت

كيفية عمل الروتكيت

تعريف

هي مجموعة من البرامج تستعمل لإخفاء عمليات نشطة أوفي طورالإنجاز على الكمبيوتر أوإخفاء بيانات نظام الملفات بالنسبة لنظام تشغيل . روتكيت تستخدم بشكل متزايد من قبل برمجيات خبيثة لمساعدة مهاجمين للحفاظ للوصول إلى النظام مع تجنب الكشف من طرف المستخدم أوأدوات المستخدم .

حدثة روتكيت مركبة من حدثتين :

روت وتعني جذر
كيت هوممثل من تجميع عدة أجزاء

عند تجميع حدثتين نحصل على روتكيت ويعني برامج نصية سكريبت التي تهاجم جذور المعالج "كرنيل" أي النواة

الفيروسات والروتكيت

فيروس الحاسوب هوبرنامج خارجي خلق عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتطبيق بعض الأوامر إما بالإزالة أوالتعديل أوالتخريب وما شابهها من عمليات. اي ان فيروسات الحاسوب هي برامج تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بكومبيوتر آخر، أوالسيطرة عليه أوسرقة بيانات مهمة، وتتم كتابتها بطريقة معينة.

مضاد الفيروسات والروتكيت

مضاد الفيروسات (أوبرنامج مضاد للفيروسات) هوبرنامج يستخدم لمنع واكتشاف وإزالة البرمجيات الخبيثة، بما فيها فيروسات الحاسب، والديدان، وأحصنة طروادة. فمثل هذه البرامج ويمكن أيضا منع وإزالة الأدوير، برامج التجسس، وغيرها من أشكال البرمجيات الخبيثة.

عادة ما توظف مجموعة متنوعة من الاستراتيجيات. تضم الفحص المستند على الكشف عن نماذج معروفة من البرمجيات الخبيثة في كود قابل للتطبيق. ومع ذلك، فمن الممكن للمستخدم حتىقد يكون مصابا ببرمجيات خبيثة جديدة التي لا يوجد حتى الآن لها توقيع. للقاءة هذا الذي يسمى تهديدات اليوم صفر، يمكن استعمال الاستدلال. نوع واحد من النهج الإرشادي، التوقيعات العامة، يمكن التعهد على الفيروسات الجديدة، أومختلف أشكال الفيروسات الموجودة ليبحث عن أكواد البرمجيات الخبيثة المعروفة (أوتكون هناك اختلافات طفيفة في هذا الكود) في الملفات.بعض برامج الحماية من الفيروسات ويمكنها أيضا التنبؤ بما يفترض أن يحدث تعمل إذا فتح الملف بمحاكاتها في صندوق رمل وتحليل ما تقوم به لفهم ما إذا كانت تنفذ أية إجراءات ضارة. إذا نفذت هذا، يمكن حتى يعني هذا حتى الملف ضار. لا تنفع مضادت الفيروسات مع الروتكيت نضرا لبنيتها وميزتها في التخفي وخاصة إذا كانت قد تجاوز ودخلت جهاز الكمبيوتر لذا من الامور التي يجب مراقبتها وتحديثها بالإضافة الي مضاد الفيروسات اولا هوالجدار الناري.

مثال تطبيقي

افترض أنا المهاجم وضع سكريبت يسمى نت ستات نت ستات حيث حتى هذه الخدمة حقا موجودة على الكمبيوتر وحتى نت ستات خبيث قد تسلل بالعمل على الكمبيوتر لا للقضاء على الخدمة الأصلية نت ستات ولكن يغير إسمه إلى نت ستات أل وبهذه الطريقة يؤجل استخدام الخدمة الأصلية إلى وقت لاحق. في لحظة يتم تنشيط الخدمة فإن السيناريوالخبيث سينشط الخدمة الأصلية لكن يحرف هذه الخدمة. طبعا المستخدم لن يلاحظ أي شيء على إطلاق لأن جميع شيء يعمل بشكل طبيعي والفرق حتى نت ستات خبيث ثبث وأخفى تروايان Troyen حيث يخبئ له باكدور Backdoor وراصد لوحة مفاتيح راصد لوحة مفاتيح إضافة لذلك فإن روتكيت يثبت عدة نت ستات على تتالي لوتمكنا من اكتشاف أي أحد منهم وتمكنا استئصاله ولكن باقي نت ستات ستنشط تلقائيا . مثلا بالنسبة إلى نظام تشغيل ويندوز لا يمكن كشف روتكيت بمضاد الفيروسات مضاد الفيروسات إذا تم اكتشاف روتكيت على جهاز كمبيوتر لم يبقَ شيء لقيام به بخلاف إعادة تثبيت نظام تشغيل ويندوز .

المستهدف

على عكس ما يعتقد معظم الناس ليست الشركات هي المستهدفة ولا حتى الشركات الكبرى ولكن بصفة خاصة الفرد بسبب سذاجتهم أوجهلهم بالمخاطر الأمنية

الهدف

هدف مافيا كمبيوتر هوتجسس على جهاز كمبيوتر الخاص بك لاستعادة حدثات سر الخاص بك والسمارت المصرفية إلكترونية أومختلف رموز الوصول أواستعمال جزء من مساحة قرص ثابت لتخزين محتوى غير قانوني أواستخدامه كقاعدة لإرسال سبام أي البريد غير مرغوب فيه بالإضافة إلى استخدام القرص ثابت الخاص بك كوصلات لقيام بهجمات من نوع DD0S8 حيث سيحول جهازك إلى كمبيوتر زومبيتسعة الأسوء أنك لن تلاحظ استخدام غير المشروع لقرص الصلب الخاص بك.

عناصر مميزة لروتكيت

مجموعة من التغيرات

من ناحية روتكيت نادرا ماقد يكون برنامج واحد ولكن غالبا مايتكون من عدة عناصر لروتكيت، من ناحية أخرى فإن عناصر متعددة لروتكيت نادرا ما تكون برامج قائمة بحد ذاتها وإنما التغيرات التي تم إجراؤها على غيرها من مكونات نظام (برامج مستخدم، جزء من نواة أوفضائية أخرى ) .هذا نوع من التغيرات التي تعتقد أنها فكرة تدخل المرتبطة بالبرمجيات الخبيثه التي تنتشر وفق أهدافها .

الاحتفاظ بالوقت

غيرها من البرامج الأخرى لا علاقة بالوقت ماعدا في بعض الحالات لصنع قنابل منطقية إذا تعلق الزناد بعامل الوقت . في حالة روتكيت، مهاجم يتحكم في النظام لتطبيق بعض العمليات (سرقت معلومات، حرمان من خدمات ... لخ) وعليه ضمن قدرته للوصول إلى هدفه .

تحكم إحتيالي عبر نظام المعلومات

هذا يعني أنا المهاجم لديه الامتيازات اللازمة لأداء العمليات عندما لاقد يكون قادرا على تشغيل نظام والتحكم فيه، يحاول المهاجم للحفاظ على السيطرة دون فهم مستخدم النظام، لذا يلزم تواصل بين النظام وصاحب روتكيت .

الهيكل الوظيفي للروتكيت

ويقصد به عناصر متورطة عند استخدام روتكيت أول خطوة هوتثبيت روتكيت والاحتفاظ بتحكمه بالنظام حيث أنه بحاجة إلى وجود وحدة حمايه بعد ذلك فإن المهاجم يستخدم روتكيت كوسيط مع النظام حيث أنه يحتوي على وحدة أساسية تستعمل كقابلة بين نظام والمهاجم باكدور

الحاقن

والواقع حتى المهاجم تمكن من الحصول على نظام من خلال استغلال خلل البرمجيات أوحدثة مرور ضعيفه ومن ثم يثبت روتكيت على نظام طبيعة الحاقن مهما كان روتكيت مراد تثبيته على فضاء المستخدم أوالنواة أوسبرفيسور من الضروري الوصول إلى النظام ومن ثم تعديل هياكل معينه للنظام مرة واحدة فقط هذه الآلية التي يستخدمها المهاجم لإدراج روتكيت في نظام (عدوا تصيب وحدات النواة، حقن جزء من برمجيات عبر ( مثلا dev/kmem/)والواقع حتى المهاجم تمكن من الحصول على النظام من خلال استغلال خلل في البرمجيات أوحدثة مرور الضعيفة ومن ثم يثبت روتكيت على النظام طبيعة الحاقن يبقى نفسها مهما كان روتكيت مراد تثبيته على فضاء مستخدم أوالنواة أوهيبيرفيسر . من الضروري دائما الوصول إلى النظام ومن ثم تعديل هياكل معينه للنظام مرة واحدة فقط .

وحدة الحماية

هدفها هوجعل روتكيت قاسي على النظام من الممكن جمع بين عدة استراتيجيات لتضم الأمثلة التالية :

إخفاء الجذور الخفية

يمكن التمييز بين الحالتين، من جهة هوإخفائه في نظام عندماقد يكون في حالة نشيطة من ناحية أخرى إذا كان روتكيت في حالة نشاط مستمر وجزء من التعليمات البرمجية مقيمين على النظام هوأكثر خفية.

روتكيت أكثر مقاومة

بافتراض حتى روتكيت كشف أمره فهذه حاله يلزم على روتكيت توفير قدرات مقاومة على محاولات إزالة على سبيل مثال :بمجرد كشف عن روتكيت يمكن تهديد المستخدم بكسر بيوس من اللوحة الأم ويستند هذا الواقع على نظرية اللعبة :يسعى روتكيت على وضع المستخدم في حالة تجبره على إعادة تثبيت النظام بالكامل .

جعل روتكيت ثابت

هوجعل روتكيت في حالة نشاط دائمة حتى في إعادة تشغيل كمبيوتر وبالتالي يتم حقن جزء من برمجيات في مكونات غير متطايرة من النظام

إخفاء نشاط المهاجم

أولا إخفاء جميع ما يتعلق من استخدامات المهاجم من معالج،شبكة، ملفات . ثانيا يتمثل في إخفاء سجلات أحداث المتعلقة بالمهاجم .

باب الخلفي

يسمح للمهاجم الحفاظ على السيطرة ومن ناحية الحفاظ على الخدمات ويعتمد على مايريد أي يعمله بالنظام . وأخيرا يتميز الباب الخلفي بسهم توجيه تفاعلات مع النظام وتنقسم إلى قسمين مستقلين عن بعضهما : من نظام المهاجم إلى نظام المستهدف حيث من وسائل الاتصال التي يستخدمها المهاجم إجراء محادثة مع روتكيت (إتصال مهاجم عبر حساب موجود على نظام واتصالات تتم من خلال ذاكرة تخزين مؤقت عبر قناة خفيه من نظام البيني إلى خدمات روتكيت هذا قسم يميز مسار روتكيت عند رد على إستفسارات مهاجم لتلبية احتياجات المرتبطة بالأهداف

الخدمات

روتكيت يوفر خدمات عديدة التي ينفذها المهاجم اللازمة على نظام البيني حيث نميز نوعين من خدمات : خدمات سلبيه والتجسس :من خلال خدمات التجسس يمكن للمهاجم الحصول على معلومات الحساسه ومثال نموذجي على ذلك كي لوجر التي تسمح له بقراءة الحروف التي تم ادخالها على لوحة مفاتيح نظام خدمات فعالة هذه عادة ما يستخدمها المهاجم لتطبيق عمليات على عكس الأنظمة الأخرى (حرمان من الخدمة إزالة معلومات أوبرمجيات ....) كما أنه يضم على خدمات أخرى تمكن المهاجم لتردد على أنظمة أخرى لمواصلة المزيد من التدخل فيها .

مراجع

^ روتكيت بي دي أف نسخة محفوظة 05 يناير 2017 على مسقط واي باك مشين.
^ (PDF) https://web.archive.org/web/20070306094525/http://content.myschool.lu/downloads/mysecureit/14_Rootkits2.pdf. مؤرشف من الأصل (PDF) فيستة مارس 2007. مفقود أوفارغ |title= (مساعدة)
^ نواة لينكس