روتكيت

من ويكيبيديا، الموسوعة الحرة
اذهب إلى: تصفح، ‏ ابحث
كيفية عمل الروتكيت

تعريف[عدل]

هي مجموعة من برامج تستعمل لإخفاء عمليات نشيطة أو في طورالإنجاز على الكمبيوتر أو إخفاء بيانات نظام ملفات بالنسبة لنظام تشغيل . روتكيت تستخدم بشكل متزايد من قبل برمجيات خيبته لمساعدة مهاجمين للحفاظ للوصول إلى نظام مع تجنب كشف من طرف مستخدم أو أداوت مستخدم [1].

كلمة روتكيت مركبة من كلمتين[2] :

  1. روت و تعني جذر
  2. كيت هو ممثل من تجميع عدة أجزاء

عند تجميع كلمتين نتحصل على روتكيت و يعني برامج نصية سكريبت التي تهاجم جذور المعالج "كرنيل" [3] أي النواة

الفيروسات و الروتكيت[عدل]

فيروس الحاسوب هو برنامج خارجي صنع عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب وما شابهها من عمليات. اي ان فيروسات الكومبيوتر هي برامج تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه أو سرقة بيانات مهمة، وتتم كتابتها بطريقة معينة.

مضاد الفيروسات و الروتكيت[عدل]

مضاد الفيروسات (أو برنامج مضاد للفيروسات) هو برنامج يستخدم لمنع واكتشاف وإزالة البرمجيات الخبيثة، بما فيها فيروسات الحاسب، والديدان، وأحصنة طروادة. فمثل هذه البرامج ويمكن أيضا منع وإزالة الأدوير، برامج التجسس، وغيرها من أشكال البرمجيات الخبيثة.

عادة ما توظف مجموعة متنوعة من الاستراتيجيات. تشمل الفحص المستند على الكشف عن نماذج معروفة من البرمجيات الخبيثة في كود قابل للتنفيذ. ومع ذلك، فمن الممكن للمستخدم أن يكون مصابا ببرمجيات خبيثة جديدة التي لا يوجد حتى الآن لها توقيع. لمواجهة هذا الذي يسمى تهديدات اليوم صفر، يمكن استخدام الاستدلال. نوع واحد من النهج الإرشادي، التوقيعات العامة، يمكن التعرف على الفيروسات الجديدة، أو مختلف أشكال الفيروسات الموجودة ليبحث عن أكواد البرمجيات الخبيثة المعروفة (أو تكون هناك اختلافات طفيفة في هذا الكود) في الملفات.بعض برامج الحماية من الفيروسات ويمكنها أيضا التنبؤ بما سوف يحدث تفعل إذا فتح الملف بمحاكاتها في صندوق رمل وتحليل ما تقوم به لمعرفة ما إذا كانت تنفذ أية إجراءات ضارة. إذا نفذت هذا، يمكن أن يعني هذا أن الملف ضار. لا تنفع مضادت الفيروسات مع الروتكيت نضرا لبنيتها و ميزتها في التخفي و خاصة اذا كانت قد سبق و دخلت جهاز الكمبيوتر لذا من الامور التي يجب مراقبتها و تحديثها بالاضافة الي مضاد الفيروسات اولا هو الجدار الناري.

مثال تطبيقي[عدل]

افترض أنا المهاجم وضع سكريبت يسمى نت ستات Netstat حيث أن هذه الخدمة حقا موجودة على الكمبيوتر و أن نت ستات خبيت قد تسلل بالفعل على كمبيوتر لا للقضاء على خدمة أصلية نت ستات ولكن يغير إسمه إلى نت ستات أل و بهذه الطريقة يؤجل استخدام الخدمة الأصليةإلى وقت لاحق. في لحظة يتم تنشيط الخدمة فإن السيناريو الخبيث سينشط الخدمة الأصلية لكن يحرف هذه الخدمة. طبعا المستخدم لن يلاحظ أي شيء على إطلاق لأن كل شيء يعمل بشكل طبيعي و الفرق أن نت ستات خبيث ثبث و أخفى تروايان Troyen حيث يخبئ له باكدور Backdoor وراصد لوحة مفاتيح Keylogger إضافة لذلك فإن روتكيت يثبت عدة نت ستات على تتالي لو تمكنا من اكتشاف أي أحد منهم و تمكنا استئصاله و لكن باقي نت ستات ستنشط تلقائيا . مثلا بالنسبة إلى نظام تشغيل ويندوز لا يمكن كشف روتكيت بمضاد الفيروسات مضاد الفيروسات إذا تم إكتشاف روتكيت على جهاز كمبيوتر لم يبقى شيء لقيام به بخلاف إعادة تثبيت نظام تشغيل ويندوز .

المستهدف[عدل]

على عكس ما يعتقد معظم الناس ليست شركات هي مستهدفة ولا حتى شركات الكبرى و لكن بصفة خاصة الفرد بسبب سذاجتهم أو جهلهم بالمخاطر أمنية

الهدف[عدل]

هدف مافيا كمبيوتر هو تجسس على جهاز كمبيوتر الخاص بك لاستعادة كلمات سر الخاص بك و السمارت المصرفية إلكترونية أو مختلف رموز الوصول أو استعمال جزء من مساحة قرص ثابت لتخزين محتوى غير قانوني أو استخدامه كقاعدة لإرسال سبام أي البريد غير مرغوب فيه بالإضافة إلى إستخدام القرص ثابت الخاص بك كوصلات لقيام بهجمات من نوع DD0S8 حيث سيحول جهازك إلى كمبيوتر زومبي ٩ الأسوء أنك لن تلاحظ استخدام غير المشروع لقرص الصلب الخاص بك.

عناصر مميزة لروتكيت[عدل]

مجموعة من التغيرات[عدل]

من ناحية روتكيت نادرا ما يكون برنامج واحد و لكن غالبا مايتكون من عدة عناصر لروتكيت, من ناحية أخرى فإن عناصر متعددة لروتكيت نادرا ما تكون برامج قائمة بحد ذاتها و إنما التغيرات التي تم إجراؤها على غيرها من مكونات نظام (برامج مستخدم ،جزء من نواة أو فضائية أخرى ) .هذا نوع من التغيرات التي تعتقد أنها فكرة تدخل المرتبطة بالبرمجيات الخبيثه التي تنتشر وفق أهدافها .

الاحتفاظ بالوقت[عدل]

غيرها من البرامج الأخرى لا علاقة بالوقت ماعدا في بعض الحالات لصنع قنابل منطقية إذا تعلق الزناد بعامل الوقت . في حالة روتكيت ،مهاجم يتحكم في النظام لتنفيذ بعض العمليات (سرقت معلومات ،حرمان من خدمات ... لخ) و عليه ضمن قدرته للوصول إلى هدفه .

تحكم إحتيالي عبر نظام المعلومات[عدل]

هذا يعني أنا المهاجم لديه الإمتيازات اللازمة لأداء العمليات عندما لا يكون قادرا على تشغيل نظام و التحكم فيه ،يحاول المهاجم للحفاظ على

السيطرة دون علم مستخدم النظام ،لذا يلزم تواصل بين النظام و صاحب روتكيت .

الهيكل الوظيفي لروتكيت[عدل]

و يقصد به عناصر متورطة عند استخدام روتكيت أول خطوة هو تثبيت روتكيت و الاحتفاظ بتحكمه بالنظام حيث أنه بحاجة إلى وجود وحدة حمايه بعد ذلك فإن المهاجم يستخدم روتكيت كوسيط مع النظام حيث أنه يحتوي على وحدة أساسية تستعمل كواجهة بين نظام و المهاجم باكدور

الحاقن[عدل]

و الواقع أن المهاجم تمكن من الحصول على نظام من خلال استغلال خلل البرمجيات أو كلمة مرور ضعيفه و من ثم يثبت روتكيت على نظام طبيعة الحاقن مهما كان روتكيت مراد تثبيته على فضاء المستخدم أو النواة أو سبرفيسور من الضروري الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط هذه الآلية التي يستخدمها المهاجم لإدراج روتكيت في نظام (عدوا تصيب وحدات النواة ، حقن جزء من برمجيات عبر ( مثلا dev/kmem/)و الواقع أن المهاجم تمكن من الحصول على النظام من خلال استغلال خلل في البرمجيات أو كلمة مرور الضعيفة و من ثم يثبت روتكيت على النظام طبيعة الحاقن يبقى نفسها مهما كان روتكيت مراد تثبيته على فضاء مستخدم أو النواة أو هيبيرفيسر . من الضروري دائما الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط .

وحدة الحماية[عدل]

هدفها هو جعل روتكيت صعب على النظام من الممكن جمع بين عدة استراتيجيات لتشمل الأمثلة التالية :

إخفاء الجذور الخفية[عدل]

يمكن التمييز بين الحالتين ،من جهة هو إخفائه في نظام عندما يكون في حالة نشيطة من ناحية أخرى إذا كان روتكيت في حالة نشاط مستمر و جزء من التعليمات البرمجية مقيمين على النظام هو أكثر خفية.

روتكيت أكثر مقاومة[عدل]

بافتراض أن روتكيت كشف أمره فهذه حاله يلزم على روتكيت توفير قدرات مقاومة على محاولات إزالة على سبيل مثال :بمجرد كشف عن روتكيت يمكن تهديد المستخدم بكسر بيوس من اللوحة الأم و يستند هذا الواقع على نظرية اللعبة :يسعى روتكيت على وضع المستخدم في حالة تجبره على إعادة تثبيت النظام بالكامل .

جعل روتكيت ثابت[عدل]

هو جعل روتكيت في حالة نشاط دائمه حتى في إعادة تشغيل كمبيوتر و بالتالي يتم حقن جزء من برمجيات في مكونات غير متطايرة من النظام

إخفاء نشاط المهاجم[عدل]

أولا إخفاء كل ما يتعلق من استخدامات المهاجم من معالج ،شبكة ،ملفات . ثانيا يتمثل في إخفاء سجلات أحداث المتعلقة بالمهاجم .

باب الخلفي[عدل]

يسمح للمهاجم الحفاظ على السيطرة و من ناحية الحفاظ على الخدمات و يعتمد على مايريد أي يفعله بالنظام . و أخيرا يتميز الباب الخلفي بسهم توجيه تفاعلات مع النظام و تنقسم إلى قسمين مستقلين عن بعضهما : من نظام المهاجم إلى نظام المستهدف حيث من وسائل الاتصال التي يستخدمها المهاجم إجراء محادثة مع روتكيت (إتصال مهاجم عبر حساب موجود على نظام و اتصالات تتم من خلال ذاكرة تخزين مؤقت عبر قناة خفيه من نظام البيني إلى خدمات روتكيت هذا قسم يميز مسار روتكيت عند رد على إستفسارات مهاجم لتلبية احتياجات المرتبطة بالأهداف

الخدمات[عدل]

روتكيت يوفر خدمات عديدة التي ينفذها المهاجم اللازمة على نظام البيني حيث نميز نوعين من خدمات : خدمات سلبيه و التجسس :من خلال خدمات التجسس يمكن للمهاجم الحصول على معلومات الحساسه و مثال نموذجي على ذلك كي لوجر التي تسمح له بقراءة الحروف التي تم ادخالها على لوحة مفاتيح نظام خدمات فعالة هذه عادة ما يستخدمها المهاجم لتنفيذ عمليات على عكس الأنظمة الأخرى (حرمان من الخدمة إزالة معلومات أو برمجيات ....) كما أنه يشمل على خدمات أخرى تمكن المهاجم لتردد على أنظمة أخرى لمواصلة المزيد من التدخل فيها .

مراجع[عدل]