Tag

Application rootkit Archives – IT Solutions

؟ RootKit ما هو

هي كلمة مكونة من شقين “Root” وهو مصطلح مأخوذ من نظام Linux أي “الجذر” وهو ما يقابل مصطلح ال Admin (المدير) في نظام Window، و “kit” تعني الأدوات، أي أن معنى RootKit ككل هي الأدوات التي تمنح أي برنامج ضار الحصول على صلاحيات “الجذر” Admin.
أي RootKit تشير إلى قدرة البرنامج الخبيث مهما كان نوعه على إخفاء نفسه عن أعين المستخدم أو برامج الحماية المعروفة، وطريقته في ذلك أنه يخفي نفسه في شكل برنامج أو مهمة أو خدمة موجودة حقاً في نظام التشغيل، أو قد يخفي نفسه في نواة النظام أو الكثير من الطرق والأساليب المتقدمة جداً والمبتكرة، فيعتقد مضاد الفايروسات أنه مجرد ملف عادي من ملفات الـWindows، لكن ما إن يتم استدعاء تلك المهمة أو ذلك البرنامج حتى يتم تشغيل عمل البرنامج الضار الذي دخل تحت غطاء RootKit.
إذاً باختصار فالروت كيت أحد الأساليب المتطورة في إخفاء البرامج الضارة عن أعين المستخدم وأيضا عن أعين برامج الحماية، ومن هنا نستنتج أن مصطلح RootKit في حد ذاته ليس ببرنامج ضار، لكن يُخفي في ثناياه برنامج ضار مثلاً قد يخفي Spyware أو Cryptojacking وهذا ما قد يفسر الصعوبة التي قد تواجهها برامج الحماية في الكشف عنه، لكن الأسوأ من كل هذا أن الروت كيت قد يؤثر بشكل مباشر على نواة نظام التشغيل مما يزيد من صعوبة رصده أو العثور عليه.


مما سبق نستنتج أن عائلة برامج ال RootKit هي الأخطر من نوعها في كل عائلة البرامج الضارة لأنها صعبة الكشف ناهيك عن الحذف، وقد تعمد أحياناً الـ RootKit إلى تعطيل برامج الحماية أو تخريبها أو حذفها بشكل كامل، أو منع المستخدم من تثبيت أي نوع من برامج الحماية في المستقبل، وقد يكون من المستحيل كشفه أو حذفه إلا بحذف النظام ككل وإعادة تثبيته من جديد، لهذا نجد أن العديد من المطورين وشركات الحماية أنتجوا برامج مستقلة عن برامج الحماية متخصصة في الكشف عن RootKit والقضاء عليه عن طريق دراسة سلوكياته وتصرفاته.
تُقسم عائلة الـ rootkit إلى خمس أنواع رئيسية:

🔹 Hardware or firmware rootkit:

وهو نوع من البرامج الخبيثة التي تُصيب العتاد الصلب كالشرائح الإلكترونية داخل الحاسب الآلي أو كرت الشبكة.. إلخ، أو قد تصيب ال firmware أي البرامج المكتوبة بلغات منخفضة المستوى والمسؤولة عن تشغيل العتاد الصلب كالـ BIOS (نظام الإدخال والإخراج الأساسي) والمسؤول عن إقلاع الكمبيوتر أو نظام الـ router وغيرها، وكثيراً ما تقوم شركات بصناعة حواسيب أو أجهزة أو قطع مصابة بهذا النوع وذلك من أجل التجسس على الشعوب …

🔹 Bootloader rootkit:

الــ Bootloader يعني محمّل الإقلاع، وهو عبارة عن برنامج صغير يعمل كحلقة وصل بين نظام التشغيل (ويندوز – لينكس – أندرويد) والعتاد الصلب، فهو المسئول عن تشغيل الـ “Kernel” نواة النظام ومن ثم تحميلها إلى الذاكرة.
قد يصيب ال MBR (Master Boot Recorder)، أما الـ Bootloader rootkit فعند بدأ الـ Bootloader بتحميل النظام يقوم البرنامج الخبيث بمهاجمته واستبدال بعض ملفات النظام الرئيسية بأخرى ملوثة، هذا يعني أن Bootloader rootkit يعمل ويهاجم النظام قبل بدأ النظام بالتحميل في الذاكرة.

🔹 Memory rootkit:

هذا النوع من البرامج الخبيثة يخبأ نفسه داخل الـ RAM (ذاكرة الوصول العشوائي).

🔹 Kernel mode rootkits:

ال Kernel هي نواة النظام، حيث تقوم بدور حلقة الوصل بين عتاد الحاسوب الصلب وبرامجه، وهو جزء من النظام الأساسي أي هناك Kernel لـ Windows مختلف عن Kernel لــ Linux ، وبالتالي Kernel rootkits هي البرامج الخبيثة التي توجد في نواة النظام نفسها.

🔹 Application rootkit:

يقوم هذا النوع من ال rootkit بمهاجمة ملفات النظام الأساسية أو مكتبات النظام (ملفات ال DLL) أو برامجه الأساسية ودمج نفسها فيها أو استبدالها، يُعد هذا النوع من الـ rootkit الأسهل للكشف والحذف، وعند قولنا الأسهل فنقصد ضمن عائلة الـ rootkit فقط وليس بشكل عام فحذف Application rootkit قد يعد أصعب حذفاً من أي نوع من أنواع البرامج الضارة الأخرى كلها.
كما قلنا أن هذا النوع من البرامج الضارة هو الأكثر ضرراً والأكثر صعوبة في الحذف، وبرمجة هكذا نوع من البرامج الخبيثة يحتاج إلى مهارات عالية في البرمجة ومعرفة في اللغات البرمجية المنخفضة المستوى (لغة الآلة ولغة التجميع)، وليس أمر سهل كباقي الأنواع من البرامج الضارة التي يستخدمها “أطفال الهاكرز” فمع استخدام “ميتاسبلويت” أو “نجرات” يُمكن إنتاج برنامج ضار وتشفيره بكل بساطة وخاصة في الوقت الأخير مع انتشار الدورات المجانية الغير تقنية والربحية في اليوتيوب فالآن يُمكن صنع برنامج ضار أو فايروس بدون استعمال سطر برمجي واحد.
◻ طرق الإنتشار والتسلل إلى النظام ؟
بما أنها كما ذكرنا ليست برنامج خبيث بحد ذاته، بل تُشير إلى قدرة البرنامج الخبيث على إخفاء نفسه في النظام، فإن طرق دخولها إلى النظام وإصابته هي مثل طرق الإصابة بكل البرامج الخبيثة الأخرى، من أساليب هندسة اجتماعية أو مرافق الإيميلات أو أحصنة طروادة وغيرها.

error: Content is protected !!