- بواسطة x32x01 ||
ما هو الـ RootKit
هي كلمة مكونة من شقينRoot وهو مصطلح مأخوذ من نظام Linux أي الجذر وهو ما يقابل مصطلح ال Admin (المدير) في نظام Window، و kit تعني الأدوات، أي يصبح معنى RootKit ككل هي الأدوات التي تمنح أي برنامج ضار الحصول على صلاحيات الجذر Admin.
أي RootKit تشير إلى قدرة البرنامج الخبيث مهما كان نوعه على إخفاء نفسه عن أعين المستخدم أو برامج الحماية المعروفة، وطريقته في ذلك أنه يخفي نفسه في شكل برنامج أو مهمة أو خدمة موجودة حقاً في نظام التشغيل أو قد يخفي نفسه في نواة النظام أو الكثير من الطرق والأساليب المتقدمة جداً والمبتكرة، فيعتقد مضاد الفايروسات أنه مجرد ملف عادي من ملفات الويندوز، لكن ما إن يتم استدعاء تلك المهمة أو ذلك البرنامج حتى يتم تشغيل عمل البرنامج الضار الذي دخل تحت غطاء RootKit.
إذاً باختصار فالروت كيت أحد الأساليب المتطورة في إخفاء البرامج الضارة عن أعين المستخدم وأيضا عن أعين برامج الحماية، ومن هنا نستنتج أن مصطلح RootKit في حد ذاته ليس ببرنامج ضار ولكن يخفي في ثناياه برنامج ضار مثلاً قد يخفي Spyware أو Cryptojacking وهذا ما قد يفسر الصعوبة التي قد تواجهها برامج الحماية في الكشف عنه، لكن الأسوأ من كل هذا أن الروت كيت قد يؤثر بشكل مباشر على نواة نظام التشغيل مما يزيد من صعوبة رصده أو العثور عليه.
مما سبق نستنتج أن عائلة برامج ال RootKit هي الأخطر من نوعها في كل عائلة البرامج الضارة لأنها صعبة الكشف ناهيك عن الحذف، وقد تعمد أحياناً ال RootKit إلى تعطيل برامج الحماية أو تخريبها أو حذفها بشكل كامل، أو منع المستخدم من تثبيت أي نوع من برامج الحماية في المستقبل، وقد يكون من المستحيل كشفه أو حذفه إلا بحذف النظام ككل وإعادة تثبيته من جديد، لهذا نجد أن العديد من المطورين وشركات الحماية أنتجوا برامج مستقلة عن برامج الحماية متخصصة في الكشف عن RootKit والقضاء عليه عن طريق دراسة سلوكياته وتصرفاته.
تقسم عائلة ال rootkit إلى خمس أنواع رئيسية:
7-1) Hardware or firmware rootkit:
وهو نوع من البرامج الخبيثة التي تصيب العتاد الصلب كالشرائح الإلكترونية داخل الحاسب الآلي أو كرت الشبكة إلخ، أو قد تصيب ال firmware أي البرامج المكتوبة بلغات منخفضة المستوى والمسؤولة عن تشغيل العتاد الصلب كالـ BIOS (نظام الإدخال والإخراج الأساسي) والمسؤول عن إقلاع الكمبيوتر أو نظام ال router وغيرها، وكثيراً ما تقوم شركات بصناعة حواسيب أو أجهزة أو قطع مصابة بهذا النوع وذلك من أجل التجسس على الشعوب ...
7-2) Bootloader rootkit:
ال Bootloader تعني محمّل الإقلاع، وهي عبارة عن برنامج صغير يعمل كحلقة وصل بين نظام التشغيل (ويندوز – لينكس – أندرويد) والعتاد الصلب، فهو المسئول عن تشغيل ال Kernel نواة النظام ومن ثم تحميلها إلى الذاكرة.
قد يصيب ال MBR (Master Boot Recorder)، أما ال Bootloader rootkit فعند بدأ ال Bootloader بتحميل النظام يقوم البرنامج الخبيث بمهاجمته واستبدال بعض ملفات النظام الرئيسية بأخرى ملوثة، هذا يعني أن Bootloader rootkit يعمل ويهاجم النظام قبل بدأ النظام بالتحميل في الذاكرة.
7-3) Memory rootkit:
هذا النوع من البرامج الخبيثة يخبأ نفسه داخل الذاكرة RAM (ذاكرة الوصول العشوائي).
7-4) Kernel mode rootkits:
ال Kernel هي نواة النظام، حيث تقوم بدور حلقة الوصل بين عتاد الحاسوب الصلب وبرامجه، وهو جزء من النظام الأساسي أي هناك Kernel لويندوز مختلف عن Kernel للينكس، وبالتالي Kernel rootkits هي البرامج الخبيثة التي توجد في نواة النظام نفسها.
7-5) Application rootkit:
يقوم هذا النوع من ال rootkit بمهاجمة ملفات النظام الأساسية أو مكتبات النظام (ملفات ال DLL) أو برامجه الأساسية ودمج نفسها فيها أو استبدالها، يعد هذا النوع من ال rootkit الأسهل للكشف والحذف، وعند قولنا الأسهل فنقصد ضمن عائلة ال rootkit فقط وليس بشكل عام فحذف Application rootkit قد يعد أصعب حذفاً من أي نوع من أنواع البرامج الضارة الأخرى كلها.
كما قلنا أن هذا النوع من البرامج الضارة هو الأكثر ضرر والأكثر صعوبة في الحذف، وبرمجة هكذا نوع من البرامج الخبيثة يحتاج إلى مهارات عالية في البرمجة ومعرفة في اللغات البرمجية المنخفضة المستوى (لغة الآلة ولغة التجميع)، وليس أمر سهل كباقي الأنواع من البرامج الضارة التي يستخدمها أطفال الهاكرز فمع استخدام ميتاسبلويت أو نجرات يمكن إنتاج برنامج ضار وتشفيره بكل بساطة وخاصة في الوقت الأخير مع انتشار الدورات المجانية الغير تقنية والربحية في اليوتيوب فالآن يمكن صنع برنامج ضار أو فايروس بدون استعمال سطر برمجي واحد.
طرق الانتشار والتسلل إلى النظام ؟
بما أنها كما ذكرنا ليست برنامج خبيث بحد ذاته بل هي تشير إلى قدرة البرنامج الخبيث على إخفاء نفسه في النظام، فإن طرق دخولها إلى النظام وإصابته هي مثل طرق الإصابة بكل البرامج الخبيثة الأخرى التي رأينها سابقاً من أساليب هندسة اجتماعية أو مرافق الإيميلات أو أحصنة طروادة وغيرها.
هي كلمة مكونة من شقينRoot وهو مصطلح مأخوذ من نظام Linux أي الجذر وهو ما يقابل مصطلح ال Admin (المدير) في نظام Window، و kit تعني الأدوات، أي يصبح معنى RootKit ككل هي الأدوات التي تمنح أي برنامج ضار الحصول على صلاحيات الجذر Admin.
أي RootKit تشير إلى قدرة البرنامج الخبيث مهما كان نوعه على إخفاء نفسه عن أعين المستخدم أو برامج الحماية المعروفة، وطريقته في ذلك أنه يخفي نفسه في شكل برنامج أو مهمة أو خدمة موجودة حقاً في نظام التشغيل أو قد يخفي نفسه في نواة النظام أو الكثير من الطرق والأساليب المتقدمة جداً والمبتكرة، فيعتقد مضاد الفايروسات أنه مجرد ملف عادي من ملفات الويندوز، لكن ما إن يتم استدعاء تلك المهمة أو ذلك البرنامج حتى يتم تشغيل عمل البرنامج الضار الذي دخل تحت غطاء RootKit.
إذاً باختصار فالروت كيت أحد الأساليب المتطورة في إخفاء البرامج الضارة عن أعين المستخدم وأيضا عن أعين برامج الحماية، ومن هنا نستنتج أن مصطلح RootKit في حد ذاته ليس ببرنامج ضار ولكن يخفي في ثناياه برنامج ضار مثلاً قد يخفي Spyware أو Cryptojacking وهذا ما قد يفسر الصعوبة التي قد تواجهها برامج الحماية في الكشف عنه، لكن الأسوأ من كل هذا أن الروت كيت قد يؤثر بشكل مباشر على نواة نظام التشغيل مما يزيد من صعوبة رصده أو العثور عليه.
مما سبق نستنتج أن عائلة برامج ال RootKit هي الأخطر من نوعها في كل عائلة البرامج الضارة لأنها صعبة الكشف ناهيك عن الحذف، وقد تعمد أحياناً ال RootKit إلى تعطيل برامج الحماية أو تخريبها أو حذفها بشكل كامل، أو منع المستخدم من تثبيت أي نوع من برامج الحماية في المستقبل، وقد يكون من المستحيل كشفه أو حذفه إلا بحذف النظام ككل وإعادة تثبيته من جديد، لهذا نجد أن العديد من المطورين وشركات الحماية أنتجوا برامج مستقلة عن برامج الحماية متخصصة في الكشف عن RootKit والقضاء عليه عن طريق دراسة سلوكياته وتصرفاته.
تقسم عائلة ال rootkit إلى خمس أنواع رئيسية:
7-1) Hardware or firmware rootkit:
وهو نوع من البرامج الخبيثة التي تصيب العتاد الصلب كالشرائح الإلكترونية داخل الحاسب الآلي أو كرت الشبكة إلخ، أو قد تصيب ال firmware أي البرامج المكتوبة بلغات منخفضة المستوى والمسؤولة عن تشغيل العتاد الصلب كالـ BIOS (نظام الإدخال والإخراج الأساسي) والمسؤول عن إقلاع الكمبيوتر أو نظام ال router وغيرها، وكثيراً ما تقوم شركات بصناعة حواسيب أو أجهزة أو قطع مصابة بهذا النوع وذلك من أجل التجسس على الشعوب ...
7-2) Bootloader rootkit:
ال Bootloader تعني محمّل الإقلاع، وهي عبارة عن برنامج صغير يعمل كحلقة وصل بين نظام التشغيل (ويندوز – لينكس – أندرويد) والعتاد الصلب، فهو المسئول عن تشغيل ال Kernel نواة النظام ومن ثم تحميلها إلى الذاكرة.
قد يصيب ال MBR (Master Boot Recorder)، أما ال Bootloader rootkit فعند بدأ ال Bootloader بتحميل النظام يقوم البرنامج الخبيث بمهاجمته واستبدال بعض ملفات النظام الرئيسية بأخرى ملوثة، هذا يعني أن Bootloader rootkit يعمل ويهاجم النظام قبل بدأ النظام بالتحميل في الذاكرة.
7-3) Memory rootkit:
هذا النوع من البرامج الخبيثة يخبأ نفسه داخل الذاكرة RAM (ذاكرة الوصول العشوائي).
7-4) Kernel mode rootkits:
ال Kernel هي نواة النظام، حيث تقوم بدور حلقة الوصل بين عتاد الحاسوب الصلب وبرامجه، وهو جزء من النظام الأساسي أي هناك Kernel لويندوز مختلف عن Kernel للينكس، وبالتالي Kernel rootkits هي البرامج الخبيثة التي توجد في نواة النظام نفسها.
7-5) Application rootkit:
يقوم هذا النوع من ال rootkit بمهاجمة ملفات النظام الأساسية أو مكتبات النظام (ملفات ال DLL) أو برامجه الأساسية ودمج نفسها فيها أو استبدالها، يعد هذا النوع من ال rootkit الأسهل للكشف والحذف، وعند قولنا الأسهل فنقصد ضمن عائلة ال rootkit فقط وليس بشكل عام فحذف Application rootkit قد يعد أصعب حذفاً من أي نوع من أنواع البرامج الضارة الأخرى كلها.
كما قلنا أن هذا النوع من البرامج الضارة هو الأكثر ضرر والأكثر صعوبة في الحذف، وبرمجة هكذا نوع من البرامج الخبيثة يحتاج إلى مهارات عالية في البرمجة ومعرفة في اللغات البرمجية المنخفضة المستوى (لغة الآلة ولغة التجميع)، وليس أمر سهل كباقي الأنواع من البرامج الضارة التي يستخدمها أطفال الهاكرز فمع استخدام ميتاسبلويت أو نجرات يمكن إنتاج برنامج ضار وتشفيره بكل بساطة وخاصة في الوقت الأخير مع انتشار الدورات المجانية الغير تقنية والربحية في اليوتيوب فالآن يمكن صنع برنامج ضار أو فايروس بدون استعمال سطر برمجي واحد.
طرق الانتشار والتسلل إلى النظام ؟
بما أنها كما ذكرنا ليست برنامج خبيث بحد ذاته بل هي تشير إلى قدرة البرنامج الخبيث على إخفاء نفسه في النظام، فإن طرق دخولها إلى النظام وإصابته هي مثل طرق الإصابة بكل البرامج الخبيثة الأخرى التي رأينها سابقاً من أساليب هندسة اجتماعية أو مرافق الإيميلات أو أحصنة طروادة وغيرها.