ماهي أدوات التأصيل Rootkits
أدوات التأصيل (بالإنجليزية: Rootkit)هي مجموعة من البرامج تستعمل لإخفاء عمليات نشطة أو في طورالإنجاز على الكمبيوتر أو إخفاء بيانات نظام الملفات بالنسبة لنظام تشغيل . أدوات التأصيل تستخدم بشكل متزايد من قبل برمجيات خبيثة لمساعدة مهاجمين للحفاظ للوصول إلى النظام مع تجنب الكشف من طرف المستخدم أو أدوات المستخدم.كلمة أدوات التأصيل مركبة من كلمتين:
- روت و تعني جذر
- كيت هو ممثل من تجميع عدة أجزاء
عند تجميع كلمتين نحصل على أدوات التأصيل و يعني برامج نصية سكريبت التي تهاجم جذور المعالج «كرنيل» أي النواة
الفيروسات و أدوات التأصيل
فيروس الحاسوب هو برنامج خارجي صنع عمداً بغرض تغيير خصائص الملفات التي يصيبها لتقوم بتنفيذ بعض الأوامر إما بالإزالة أو التعديل أو التخريب وما شابهها من عمليات. أي ان فيروسات الكومبيوتر هي برامج تتم كتابتها بواسطة مبرمجين محترفين بغرض إلحاق الضرر بكومبيوتر آخر، أو السيطرة عليه أو سرقة بيانات مهمة، وتتم كتابتها بطريقة معينة.
مضاد الفيروسات و أدوات التأصيل
مضاد الفيروسات (أو برنامج مضاد للفيروسات) هو برنامج يستخدم لمنع واكتشاف وإزالة البرمجيات الخبيثة، بما فيها فيروسات الحاسب، والديدان، وأحصنة طروادة. فمثل هذه البرامج ويمكن أيضا منع وإزالة الأدوير، برامج التجسس، وغيرها من أشكال البرمجيات الخبيثة.
عادة ما توظف مجموعة متنوعة من الاستراتيجيات. تشمل الفحص المستند على الكشف عن نماذج معروفة من البرمجيات الخبيثة في كود قابل للتنفيذ. ومع ذلك، فمن الممكن للمستخدم أن يكون مصابا ببرمجيات خبيثة جديدة التي لا يوجد حتى الآن لها توقيع. لمواجهة هذا الذي يسمى تهديدات اليوم صفر، يمكن استخدام الاستدلال. نوع واحد من النهج الإرشادي، التوقيعات العامة، يمكن التعرف على الفيروسات الجديدة، أو مختلف أشكال الفيروسات الموجودة ليبحث عن أكواد البرمجيات الخبيثة المعروفة (أو تكون هناك اختلافات طفيفة في هذا الكود) في الملفات.بعض برامج الحماية من الفيروسات ويمكنها أيضا التنبؤ بما سوف يحدث تفعل إذا فتح الملف بمحاكاتها في صندوق رمل وتحليل ما تقوم به لمعرفة ما إذا كانت تنفذ أية إجراءات ضارة. إذا نفذت هذا، يمكن أن يعني هذا أن الملف ضار. لا تنفع مضادت الفيروسات مع أدوات التأصيل نضرا لبنيتها و ميزتها في التخفي و خاصة إذا كانت قد سبق و دخلت جهاز الكمبيوتر لذا من الامور التي يجب مراقبتها و تحديثها بالإضافة الي مضاد الفيروسات اولا هو الجدار الناري.
مثال تطبيقي
افترض أنا المهاجم وضع سكريبت يسمى نت ستات نت ستات حيث أن هذه الخدمة حقا موجودة على الكمبيوتر و أن نت ستات خبيث قد تسلل بالفعل على الكمبيوتر لا للقضاء على الخدمة الأصلية نت ستات ولكن يغير إسمه إلى نت ستات أل و بهذه الطريقة يؤجل استخدام الخدمة الأصلية إلى وقت لاحق. في لحظة يتم تنشيط الخدمة فإن السيناريو الخبيث سينشط الخدمة الأصلية لكن يحرف هذه الخدمة. طبعا المستخدم لن يلاحظ أي شيء على إطلاق لأن كل شيء يعمل بشكل طبيعي و الفرق أن نت ستات خبيث ثبث و أخفى تروايان Troyen حيث يخبئ له باكدور Backdoor وراصد لوحة مفاتيح راصد لوحة مفاتيح إضافة لذلك فإن أدوات التأصيل يثبت عدة نت ستات على تتالي لو تمكنا من اكتشاف أي أحد منهم و تمكنا استئصاله و لكن باقي نت ستات ستنشط تلقائيا . مثلا بالنسبة إلى نظام تشغيل ويندوز لا يمكن كشف أدوات التأصيل بمضاد الفيروسات مضاد الفيروسات إذا تم اكتشاف أدوات التأصيل على جهاز كمبيوتر لم يبقَ شيء لقيام به بخلاف إعادة تثبيت نظام تشغيل ويندوز .
المستهدف
على عكس ما يعتقد معظم الناس ليست الشركات هي المستهدفة ولا حتى الشركات الكبرى و لكن بصفة خاصة الفرد بسبب سذاجتهم أو جهلهم بالمخاطر الأمنية
الهدف
هدف مافيا كمبيوتر هو تجسس على جهاز كمبيوتر الخاص بك لاستعادة كلمات سر الخاص بك و السمارت المصرفية إلكترونية أو مختلف رموز الوصول أو استعمال جزء من مساحة قرص ثابت لتخزين محتوى غير قانوني أو استخدامه كقاعدة لإرسال سبام أي البريد غير مرغوب فيه بالإضافة إلى استخدام القرص ثابت الخاص بك كوصلات لقيام بهجمات من نوع DD0S8 حيث سيحول جهازك إلى كمبيوتر زومبي 9 الأسوء أنك لن تلاحظ استخدام غير المشروع لقرص الصلب الخاص بك.
عناصر مميزة لأدوات التأصيل
مجموعة من التغيرات
من ناحية أدوات التأصيل نادرا ما يكون برنامج واحد و لكن غالبا مايتكون من عدة عناصر لأدوات التأصيل، من ناحية أخرى فإن عناصر متعددة لأدوات التأصيل نادرا ما تكون برامج قائمة بحد ذاتها و إنما التغيرات التي تم إجراؤها على غيرها من مكونات نظام (برامج مستخدم، جزء من نواة أو فضائية أخرى ) .هذا نوع من التغيرات التي تعتقد أنها فكرة تدخل المرتبطة بالبرمجيات الخبيثه التي تنتشر وفق أهدافها .
الاحتفاظ بالوقت
غيرها من البرامج الأخرى لا علاقة بالوقت ماعدا في بعض الحالات لصنع قنابل منطقية إذا تعلق الزناد بعامل الوقت . في حالة أدوات التأصيل، مهاجم يتحكم في النظام لتنفيذ بعض العمليات (سرقت معلومات، حرمان من خدمات ... لخ) و عليه ضمن قدرته للوصول إلى هدفه .
تحكم إحتيالي عبر نظام المعلومات
هذا يعني أنا المهاجم لديه الامتيازات اللازمة لأداء العمليات عندما لا يكون قادرا على تشغيل نظام و التحكم فيه، يحاول المهاجم للحفاظ على السيطرة دون علم مستخدم النظام، لذا يلزم تواصل بين النظام و صاحب أدوات التأصيل .
الهيكل الوظيفي للأدوات التأصيل
و يقصد به عناصر متورطة عند استخدام أدوات التأصيل أول خطوة هو تثبيت أدوات التأصيل و الاحتفاظ بتحكمه بالنظام حيث أنه بحاجة إلى وجود وحدة حمايه بعد ذلك فإن المهاجم يستخدم أدوات التأصيل كوسيط مع النظام حيث أنه يحتوي على وحدة أساسية تستعمل كواجهة بين نظام و المهاجم باكدور
الحاقن
و الواقع أن المهاجم تمكن من الحصول على نظام من خلال استغلال خلل البرمجيات أو كلمة مرور ضعيفه و من ثم يثبت أدوات التأصيل على نظام طبيعة الحاقن مهما كان أدوات التأصيل مراد تثبيته على فضاء المستخدم أو النواة أو سبرفيسور من الضروري الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط هذه الآلية التي يستخدمها المهاجم لإدراج أدوات التأصيل في نظام (عدوا تصيب وحدات النواة، حقن جزء من برمجيات عبر ( مثلا dev/kmem/)و الواقع أن المهاجم تمكن من الحصول على النظام من خلال استغلال خلل في البرمجيات أو كلمة مرور الضعيفة و من ثم يثبت أدوات التأصيل على النظام طبيعة الحاقن يبقى نفسها مهما كان أدوات التأصيل مراد تثبيته على فضاء مستخدم أو النواة أو هيبيرفيسر . من الضروري دائما الوصول إلى النظام و من ثم تعديل هياكل معينه للنظام مرة واحدة فقط .
وحدة الحماية
هدفها هو جعل أدوات التأصيل صعب على النظام من الممكن جمع بين عدة استراتيجيات لتشمل الأمثلة التالية :
إخفاء الجذور الخفية
يمكن التمييز بين الحالتين، من جهة هو إخفائه في نظام عندما يكون في حالة نشيطة من ناحية أخرى إذا كان أدوات التأصيل في حالة نشاط مستمر و جزء من التعليمات البرمجية مقيمين على النظام هو أكثر خفية.
أدوات التأصيل أكثر مقاومة
بافتراض أن أدوات التأصيل كشف أمره فهذه حاله يلزم على أدوات التأصيل توفير قدرات مقاومة على محاولات إزالة على سبيل مثال :بمجرد كشف عن أدوات التأصيل يمكن تهديد المستخدم بكسر بيوس من اللوحة الأم و يستند هذا الواقع على نظرية اللعبة :يسعى أدوات التأصيل على وضع المستخدم في حالة تجبره على إعادة تثبيت النظام بالكامل .
جعل أدوات التأصيل ثابت
هو جعل أدوات التأصيل في حالة نشاط دائمة حتى في إعادة تشغيل كمبيوتر و بالتالي يتم حقن جزء من برمجيات في مكونات غير متطايرة من النظام
إخفاء نشاط المهاجم
أولا إخفاء كل ما يتعلق من استخدامات المهاجم من معالج،شبكة، ملفات . ثانيا يتمثل في إخفاء سجلات أحداث المتعلقة بالمهاجم .
باب الخلفي
يسمح للمهاجم الحفاظ على السيطرة و من ناحية الحفاظ على الخدمات و يعتمد على مايريد أي يفعله بالنظام . و أخيرا يتميز الباب الخلفي بسهم توجيه تفاعلات مع النظام و تنقسم إلى قسمين مستقلين عن بعضهما : من نظام المهاجم إلى نظام المستهدف حيث من وسائل الاتصال التي يستخدمها المهاجم إجراء محادثة مع أدوات التأصيل (إتصال مهاجم عبر حساب موجود على نظام و اتصالات تتم من خلال ذاكرة تخزين مؤقت عبر قناة خفيه من نظام البيني إلى خدمات أدوات التأصيل هذا قسم يميز مسار أدوات التأصيل عند رد على إستفسارات مهاجم لتلبية احتياجات المرتبطة بالأهداف
الخدمات
أدوات التأصيل يوفر خدمات عديدة التي ينفذها المهاجم اللازمة على نظام البيني حيث نميز نوعين من خدمات : خدمات سلبيه و التجسس :من خلال خدمات التجسس يمكن للمهاجم الحصول على معلومات الحساسه و مثال نموذجي على ذلك كي لوجر التي تسمح له بقراءة الحروف التي تم ادخالها على لوحة مفاتيح نظام خدمات فعالة هذه عادة ما يستخدمها المهاجم لتنفيذ عمليات على عكس الأنظمة الأخرى (حرمان من الخدمة إزالة معلومات أو برمجيات ....) كما أنه يشمل على خدمات أخرى تمكن المهاجم لتردد على أنظمة أخرى لمواصلة المزيد من التدخل فيها .