Anonim

يمكن تسمية Rootkits أكثر أشكال التعليمات البرمجية الضارة (البرامج الضارة) تعقيدًا تقنيًا وواحدًا من أكثرها صعوبة في اكتشافها والقضاء عليها. من بين جميع أنواع البرمجيات الخبيثة ، ربما تحصل الفيروسات والديدان على أكبر قدر من الدعاية لأنها منتشرة بشكل عام. من المعروف أن العديد من الأشخاص قد تأثروا بفيروس أو دودة ، ولكن هذا لا يعني بالتأكيد أن الفيروسات والديدان هي أكثر البرامج الضارة تدميرا. هناك أنواع أكثر خطورة من البرامج الضارة ، لأنه كقاعدة تعمل في وضع التخفي ، يصعب اكتشافها وإزالتها ويمكن أن تمر دون أن يلاحظها أحد لفترات طويلة جدًا من الوقت ، والحصول بصمت على الوصول وسرقة البيانات وتعديل الملفات على جهاز الضحية .


مثال على هذا العدو الخفي هي مجموعة الجذور الخفية - مجموعة من الأدوات التي يمكنها استبدال أو تغيير البرامج القابلة للتنفيذ ، أو حتى نواة نظام التشغيل نفسه ، من أجل الوصول إلى مستوى المسؤول في النظام ، والذي يمكن استخدامه للتثبيت برامج التجسس ، كلوغرز وغيرها من الأدوات الخبيثة. بشكل أساسي ، يسمح برنامج rootkit للمهاجمين بالوصول الكامل عبر جهاز الضحية (وربما إلى الشبكة بالكامل التي ينتمي إليها الجهاز). أحد الاستخدامات المعروفة لجذور الخفية التي تسببت في فقد / تلف كبير هي سرقة الكود المصدري لمحرك لعبة Valve's Half-Life 2: Source.


ليست Rootkits شيئًا جديدًا - فقد كانت موجودة منذ سنوات ، ومن المعروف أنها قد أحدثت العديد من أنظمة التشغيل (Windows ، UNIX ، Linux ، Solaris ، إلخ). إذا لم يكن ذلك لحدث واحد أو اثنين من الحوادث الجماعية لحوادث الجذور الخفية (انظر قسم الأمثلة الشهيرة) ، والتي لفتت انتباه الجمهور إليها ، فربما تكون قد نجت مرة أخرى من الوعي ، باستثناء دائرة صغيرة من المتخصصين في مجال الأمن. اعتبارا من اليوم ، لم تطلق الجذور الخفية إمكاناتها التدميرية الكاملة لأنها ليست واسعة الانتشار مثل غيرها من البرامج الضارة. ومع ذلك ، يمكن أن يكون هذا القليل من الراحة.


آليات الجذر المكشوف

على غرار حصان طروادة والفيروسات والديدان ، تقوم الجذور الخفية بتركيب نفسها عن طريق استغلال العيوب الموجودة في أمن الشبكة ونظام التشغيل ، وغالبًا دون تدخل من المستخدم. على الرغم من وجود rootkits التي يمكن أن تأتي كمرفق بريد إلكتروني أو في حزمة مع برامج شرعية ، إلا أنها غير ضارة حتى يفتح المستخدم المرفق أو يقوم بتثبيت البرنامج. ولكن على عكس الأشكال الأقل تطوراً من البرمجيات الخبيثة ، فإن الجذور الخفية تتغلغل بعمق في نظام التشغيل وتبذل جهودًا خاصة لإخفاء وجودها - على سبيل المثال ، عن طريق تعديل ملفات النظام.

في الأساس ، هناك نوعان من الجذور الخفية: الجذور الخفية لمستوى النواة والجذور الخفية لمستوى التطبيق. إضافة الجذور الخفية لمستوى Kernel إلى رمز أو تعديل نواة نظام التشغيل. يتم تحقيق ذلك عن طريق تثبيت برنامج تشغيل جهاز أو وحدة قابلة للتحميل ، مما يغير مكالمات النظام لإخفاء وجود مهاجم. وبالتالي ، إذا نظرت في ملفات السجل الخاصة بك ، فلن ترى أي نشاط مشبوه على النظام. الجذور الخفية على مستوى التطبيق أقل تطوراً ، وعادة ما تكون أسهل في اكتشافها لأنها تعدل الملفات التنفيذية للتطبيقات ، بدلاً من نظام التشغيل نفسه. نظرًا لأن نظام التشغيل Windows 2000 يبلغ المستخدم عن كل تغيير لملف قابل للتنفيذ ، فإنه يجعل من الصعب على المهاجم عدم المرور.


لماذا تشكل الروتكيت مخاطرة

Rootkits يمكن أن يكون بمثابة مستتر وعادة ما لا تكون وحدها في مهمتها - وغالبا ما تكون مصحوبة ببرامج التجسس ، أو أحصنة طروادة أو الفيروسات. يمكن أن تختلف أهداف الجذور الخفية من فرحة خبيثة بسيطة لاختراق كمبيوتر شخص آخر (وإخفاء آثار الوجود الأجنبي) ، إلى بناء نظام كامل للحصول على بيانات سرية بطريقة غير قانونية (أرقام بطاقات الائتمان ، أو شفرة المصدر كما في حالة Half - الحياة 2).

بشكل عام ، فإن الجذور الخفية على مستوى التطبيق أقل خطورة وأسهل في الكشف عنها. ولكن إذا كان البرنامج الذي تستخدمه لتتبع أموالك ، يتم "تصحيحه" بواسطة برنامج rootkit ، فقد تكون الخسارة النقدية كبيرة - أي يمكن للمهاجم استخدام بيانات بطاقة الائتمان الخاصة بك لشراء عنصرين وإذا لم تقم بذلك " ر لاحظ نشاطًا مريبًا على رصيد بطاقتك الائتمانية في الوقت المناسب ، فمن المرجح أنك لن ترى المال مرة أخرى على الإطلاق.


بالمقارنة مع الجذور الخفية مستوى النواة ، الجذور الخفية مستوى التطبيق تبدو حلوة وغير ضارة. لماذا ا؟ لأنه من الناحية النظرية ، فإن الجذور الخفية لمستوى النواة تفتح كل الأبواب أمام النظام. بمجرد فتح الأبواب ، يمكن أن تنزلق أشكال البرامج الضارة الأخرى إلى النظام. إن الإصابة بعدوى الجذور الخفية لمستوى النواة وعدم القدرة على اكتشافها وإزالتها بسهولة (أو على الإطلاق ، كما سنرى لاحقًا) يعني أنه يمكن لأي شخص آخر السيطرة الكاملة على جهاز الكمبيوتر الخاص بك ويمكن استخدامه بأي طريقة يرضيها - على سبيل المثال ، لبدء هجوم على أجهزة أخرى ، مما يجعل الانطباع بأن الهجوم مصدره جهاز الكمبيوتر الخاص بك ، وليس من مكان آخر.


كشف وإزالة الجذور الخفية

ليس من السهل اكتشاف أنواع أخرى من البرامج الضارة وإزالتها ، ولكن الجذور الخفية لمستوى النواة كارثة معينة. بمعنى ما ، إنها Catch 22 - إذا كان لديك برنامج rootkit ، فمن المحتمل أن يتم تعديل ملفات النظام التي يحتاجها برنامج مكافحة الجذور الخفية وبالتالي لا يمكن الوثوق بنتائج الفحص. ما هو أكثر من ذلك ، إذا كان برنامج rootkit قيد التشغيل ، فيمكنه تعديل قائمة الملفات أو قائمة العمليات قيد التشغيل التي تعتمد عليها برامج مكافحة الفيروسات ، وبالتالي توفير بيانات مزيفة. أيضًا ، يمكن أن يقوم برنامج rootkit الجاري بإلغاء تحميل عمليات برنامج مكافحة الفيروسات من الذاكرة ، مما يؤدي إلى إيقاف التطبيق أو إنهائه بشكل غير متوقع. ومع ذلك ، من خلال القيام بذلك يظهر وجوده بشكل غير مباشر ، لذلك يمكن للمرء أن يتشكك عندما يحدث خطأ ما ، خاصةً مع البرنامج الذي يحافظ على أمان النظام.

تتمثل الطريقة الموصى بها للكشف عن وجود برنامج rootkit في التمهيد من وسائط بديلة معروفة بأنها نظيفة (أي نسخة احتياطية أو قرص مضغوط إنقاذ) وتحقق من النظام المشبوه. ميزة هذه الطريقة هي أن برنامج rootkit لن يعمل (وبالتالي لن يكون بإمكانه إخفاء نفسه) ولن يتم العبث بنشاط بملفات النظام.


هناك طرق لاكتشاف و (محاولة) إزالة الجذور الخفية. تتمثل إحدى الطرق في الحصول على بصمات أصابع MD5 نظيفة لملفات النظام الأصلية لمقارنة بصمات أصابع ملفات النظام الحالية. هذه الطريقة ليست موثوقة للغاية ، لكنها أفضل من لا شيء. يعد استخدام مصحح أخطاء kernel أكثر موثوقية ، ولكنه يتطلب معرفة متعمقة بنظام التشغيل. حتى غالبية مسؤولي النظام نادراً ما يلجأون إليها ، خاصةً عندما تكون هناك برامج جيدة مجانية لاكتشاف الجذور الخفية ، مثل RootkitRevealer من مارك روسينوفيتش. إذا ذهبت إلى موقعه ، ستجد تعليمات مفصلة حول كيفية استخدام البرنامج.


إذا اكتشفت برنامج rootkit على جهاز الكمبيوتر الخاص بك ، فإن الخطوة التالية هي التخلص منه (أسهل من القيام به). مع بعض الجذور الخفية ، فإن الإزالة ليست خيارًا ، إلا إذا كنت تريد إزالة نظام التشغيل بالكامل أيضًا! الحل الأكثر وضوحًا - حذف الملفات المصابة (بشرط أن تعرف أي الملفات بالضبط مُخفية) غير قابل للتطبيق تمامًا ، عندما يتعلق الأمر بملفات النظام الحيوية. إذا حذفت هذه الملفات ، فمن المحتمل أنك لن تتمكن من تشغيل Windows مرة أخرى. يمكنك تجربة اثنين من تطبيقات إزالة الجذور الخفية ، مثل UnHackMe أو F-Secure BlackLight Beta ، لكن لا تعتمد عليها كثيرًا حتى تتمكن من إزالة الآفة بأمان.

قد يبدو الأمر وكأنه علاج للصدمة ، ولكن الطريقة الوحيدة المؤكدة لإزالة الجذور الخفية هي بتهيئة القرص الصلب وإعادة تثبيت نظام التشغيل مرة أخرى (من وسائط التثبيت النظيفة ، بالطبع!). إذا كان لديك أدنى فكرة عن المكان الذي حصلت منه على برنامج rootkit (هل كان مضمنًا في برنامج آخر ، أو هل أرسله إليك شخص ما عبر البريد الإلكتروني؟) ، حتى لا تفكر في تشغيل مصدر الإصابة أو عدم إصابته مرة أخرى!


أمثلة شهيرة للجذور الخفية

كانت Rootkits تستخدم بشكل خفي منذ سنوات ، ولكن حتى العام الماضي فقط عندما ظهرت في عناوين الأخبار. أثارت حالة Sony-BMG مع تقنية إدارة الحقوق الرقمية (DRM) التي تحمي نسخ القرص المضغوط غير المصرح به عن طريق تثبيت برنامج rootkit على جهاز المستخدم انتقادات حادة. كانت هناك دعاوى قضائية وتحقيق جنائي. كان على Sony-BMG سحب أسطواناتها المدمجة من المتاجر واستبدال النسخ المشتراة بنسخ نظيفة ، وفقًا لتسوية الحالة. اتهمت شركة Sony-BMG بإخفاء ملفات النظام سرا في محاولة لإخفاء وجود برنامج حماية النسخ الذي يستخدم أيضًا لإرسال البيانات الخاصة إلى موقع Sony. إذا تم إلغاء تثبيت البرنامج من قبل المستخدم ، فقد أصبح محرك الأقراص المضغوطة غير صالح للعمل. في الواقع ، انتهك برنامج حماية حقوق الطبع والنشر هذا جميع حقوق الخصوصية ، واستخدم أساليب غير قانونية نموذجية لهذا النوع من البرامج الضارة ، وقبل كل شيء ، ترك جهاز الكمبيوتر الخاص بالضحية عرضة لمختلف أنواع الهجمات. كان من المعتاد بالنسبة لشركة كبيرة ، مثل Sony-BMG ، أن تمضي في الطريق المتعجرف أولاً بالقول إنه إذا كان معظم الناس لا يعرفون ماهية الجذور الخفية ، ولماذا يهتمون بأن لديهم واحدة. حسنًا ، إذا لم يكن هناك رجال مثل مارك روسينوفيتش ، الذي كان أول من قرع الجرس حول الجذور الخفية من سوني ، فكان من الممكن أن تنجح الخدعة وأن ملايين أجهزة الكمبيوتر كانت مصابة - إنها جريمة عالمية في الدفاع المزعوم عن شركة فكرية خاصية!

على غرار حالة Sony ، ولكن عندما لا يكون من الضروري الاتصال بالإنترنت ، فإن حالة Norton SystemWorks. صحيح أن الحالتين لا يمكن مقارنتهما من وجهة نظر أخلاقية أو تقنية نظرًا لأنه على الرغم من قيام برنامج rootkit من Norton (أو تقنية تشبه الجذور الخفية) بتعديل ملفات نظام Windows لاستيعاب سلة المحذوفات من Norton ، لا يمكن اتهام Norton بالكاد بالنوايا الخبيثة لتقييدها حقوق المستخدم أو الاستفادة من الجذور الخفية ، كما هو الحال مع سوني. كان الغرض من إخفاء الهوية هو الإخفاء عن كل شخص (مستخدمين ، مسؤولين ، وما إلى ذلك) وكل شيء (برامج أخرى ، Windows نفسه) حذف دليل نسخ احتياطي للملفات ، ويمكن استعادته لاحقًا من دليل النسخ الاحتياطي هذا. كانت وظيفة "سلة المحذوفات المحمية" هي إضافة شبكة أمان أخرى مقابل الأصابع السريعة التي تحذف أولاً ثم التفكير فيما إذا كانت قد حذفت الملف (الملفات) الصحيح ، مما يوفر طريقة إضافية لاستعادة الملفات التي تم حذفها من "سلة المحذوفات" ( أو التي تجاوزت سلة المحذوفات).

هذان المثالان لا يكادان أكثر حالات نشاط الجذور الخفية خطورة ، ولكن تجدر الإشارة إلى أنه بسبب جذب الانتباه إلى هذه الحالات بالذات ، تم جذب الاهتمام العام إلى الجذور الخفية ككل. نأمل ، الآن المزيد من الناس لا يعرفون فقط ما هي الجذور الخفية ، ولكن الرعاية إذا كان لديهم واحد ، وتكون قادرة على اكتشاف وإزالتها!

ما هو الجذور الخفية؟