ما هو الجذور الخفية؟ كيف تعمل الجذور الخفية؟ وأوضح الجذور الخفية.

في حين أنه من الممكن إخفاء البرامج الضارة بطريقة تخدع حتى منتجات مكافحة الفيروسات / برامج مكافحة التجسس التقليدية ، فإن معظم البرامج الضارة تستخدم بالفعل أدوات rootkits للاختباء بعمق على جهاز الكمبيوتر الذي يعمل بنظام Windows(Windows) ... وهي تزداد خطورة! يعد برنامج rootkit DL3 واحدًا من أكثر برامج rootkits تقدمًا على الإطلاق في البرية. كان rootkit مستقرًا ويمكن أن يصيب أنظمة تشغيل Windows 32 بت ؛ على الرغم من الحاجة إلى حقوق المسؤول لتثبيت الإصابة في النظام. ولكن تم تحديث TDL3 الآن وهو قادر الآن على إصابة إصدارات 64 بت من Windows(even 64-bit versions  Windows) !

ما هو الجذور الخفية

فايروس

يعد فيروس الجذور الخفية نوعًا خفيًا من البرامج الضارة  المصممة لإخفاء وجود عمليات أو برامج معينة على جهاز الكمبيوتر الخاص بك من طرق الكشف العادية ، وذلك للسماح لها أو لأي عملية ضارة أخرى بالوصول إلى جهاز الكمبيوتر الخاص بك.

تُستخدم Rootkits لنظام التشغيل Windows(Rootkits for Windows) عادةً لإخفاء البرامج الضارة من ، على سبيل المثال ، برنامج مكافحة فيروسات. يتم استخدامه لأغراض ضارة من قبل الفيروسات والديدان والأبواب الخلفية وبرامج التجسس. ينتج فيروس مع مجموعة أدوات الجذر ما يعرف باسم فيروسات التخفي الكاملة. الجذور الخفية أكثر شيوعًا في مجال برامج التجسس ، كما أنها أصبحت الآن أكثر شيوعًا من قبل مؤلفي الفيروسات أيضًا.

هم الآن نوع ناشئ من برامج التجسس الفائقة(Super Spyware) التي تخفي بفعالية وتؤثر على نواة نظام التشغيل مباشرة. يتم استخدامها لإخفاء وجود كائن خبيث مثل أحصنة طروادة أو كيلوغرز على جهاز الكمبيوتر الخاص بك. إذا كان التهديد يستخدم تقنية rootkit لإخفاءه ، فمن الصعب جدًا العثور على البرامج الضارة على جهاز الكمبيوتر الخاص بك.

الجذور الخفية في حد ذاتها ليست خطيرة. والغرض الوحيد منها هو إخفاء البرامج والآثار التي تُركت في نظام التشغيل. سواء كان هذا برنامجًا عاديًا أو برامج ضارة.

هناك ثلاثة أنواع مختلفة من الجذور الخفية(Rootkit) . النوع الأول ، " Kernel Rootkits " عادةً ما يضيف الكود الخاص بهم إلى أجزاء من نواة نظام التشغيل ، في حين أن النوع الثاني ، " Rootkits لوضع المستخدم(User-mode Rootkits) " يستهدف بشكل خاص Windows لبدء التشغيل بشكل طبيعي أثناء بدء تشغيل النظام ، أو حقنها في النظام عن طريق ما يسمى "بالقطارة". النوع الثالث هو MBR Rootkits أو Bootkits(MBR Rootkits or Bootkits) .

عندما تجد أن برنامج مكافحة الفيروسات ومكافحة(AntiVirus) التجسس لديك(AntiSpyware) فاشل ، فقد تحتاج إلى الحصول على مساعدة من أداة جيدة لمكافحة الجذور الخفية(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer من Microsoft Sysinternals هي أداة مساعدة متقدمة للكشف عن الجذور الخفية. تسرد مخرجاتها اختلافات واجهة برمجة تطبيقات (API)التسجيل(Registry) ونظام الملفات والتي قد تشير إلى وجود جذر خوادم لوضع المستخدم أو وضع kernel.

تقرير تهديد مركز الحماية من البرامج الضارة لـ Microsoft(Microsoft Malware Protection Center Threat Report) على  Rootkits

(Microsoft Malware Protection Center)أتاح مركز الحماية من البرامج الضارة لـ Microsoft لتنزيل تقرير التهديدات(Threat Report) الخاص به على الجذور الخفية(Rootkits) . يفحص التقرير واحدًا من أكثر أنواع البرمجيات الخبيثة التي تهدد المنظمات والأفراد اليوم - rootkit. يفحص التقرير كيفية استخدام المهاجمين للجذور الخفية ، وكيفية عمل الجذور الخفية على أجهزة الكمبيوتر المتأثرة. إليك خلاصة التقرير ، بدءًا من Rootkits - للمبتدئين.

Rootkit عبارة عن مجموعة من الأدوات التي يستخدمها المهاجم أو صانع البرامج الضارة للسيطرة على أي نظام مكشوف / غير آمن والذي يكون بخلاف ذلك محجوزًا عادةً لمسؤول النظام. في السنوات الأخيرة ، تم استبدال مصطلح "ROOTKIT" أو "ROOTKIT FUNCTIONALITY" ببرنامج MALWARE - وهو برنامج مصمم ليكون له تأثيرات غير مرغوب فيها على جهاز كمبيوتر سليم. تتمثل الوظيفة الأساسية للبرامج الضارة في سحب البيانات القيمة والموارد الأخرى من كمبيوتر المستخدم سراً وتوفيرها للمهاجم ، وبالتالي منحه سيطرة كاملة على الكمبيوتر المخترق. علاوة على ذلك ، يصعب اكتشافها وإزالتها ويمكن أن تظل مخفية لفترات طويلة ، ربما سنوات ، إذا مرت دون أن يلاحظها أحد.

لذلك بطبيعة الحال ، يجب إخفاء أعراض جهاز الكمبيوتر المخترق وأخذها في الاعتبار قبل أن تثبت النتيجة أنها قاتلة. على وجه الخصوص ، يجب اتخاذ تدابير أمنية أكثر صرامة للكشف عن الهجوم. ولكن ، كما ذكرنا ، بمجرد تثبيت هذه الجذور الخفية / البرامج الضارة ، فإن قدراتها الخفية تجعل من الصعب إزالتها ومكوناتها التي قد تقوم بتنزيلها. لهذا السبب ، أنشأت Microsoft تقريرًا عن (Microsoft)ROOTKITS .

يوضح التقرير المكون من 16 صفحة كيفية استخدام المهاجم للجذور الخفية وكيف تعمل هذه الجذور الخفية على أجهزة الكمبيوتر المتأثرة.

الغرض الوحيد من التقرير هو تحديد وفحص البرامج الضارة القوية التي تهدد العديد من المؤسسات ، ومستخدمي الكمبيوتر على وجه الخصوص. يذكر أيضًا بعض عائلات البرامج الضارة السائدة ويسلط الضوء على الطريقة التي يستخدمها المهاجمون لتثبيت مجموعات الجذور الخفية هذه لأغراضهم الأنانية على الأنظمة السليمة. في الجزء المتبقي من التقرير ، ستجد خبراء يقدمون بعض التوصيات لمساعدة المستخدمين على تخفيف التهديد من أدوات rootkits.

أنواع الجذور الخفية

هناك العديد من الأماكن حيث يمكن للبرامج الضارة تثبيت نفسها في نظام التشغيل. لذلك ، يتم تحديد نوع rootkit في الغالب من خلال موقعه حيث يقوم بتخريب مسار التنفيذ. هذا يشمل:

  1. الجذور الخفية لوضع المستخدم
  2. الجذور الخفية لوضع Kernel
  3. الجذور الخفية MBR / bootkits

يتم توضيح التأثير المحتمل لتسوية rootkit في وضع kernel عبر لقطة شاشة أدناه.

النوع الثالث ، تعديل سجل التمهيد الرئيسي(Master Boot Record) للتحكم في النظام وبدء عملية تحميل أقرب نقطة ممكنة في تسلسل التمهيد 3. إنه يخفي الملفات وتعديلات التسجيل وأدلة اتصالات الشبكة بالإضافة إلى المؤشرات المحتملة الأخرى التي يمكن أن تشير إلى وجودها.

عائلات البرامج الضارة(Malware) البارزة التي تستخدم وظائف Rootkit

  • Win32/Sinowal 13 - عائلة متعددة المكونات من البرامج الضارة تحاول سرقة البيانات الحساسة مثل أسماء المستخدمين وكلمات المرور لأنظمة مختلفة. يتضمن ذلك محاولة سرقة تفاصيل المصادقة لمجموعة متنوعة من حسابات FTP و HTTP والبريد الإلكتروني ، بالإضافة إلى بيانات الاعتماد المستخدمة في المعاملات المصرفية عبر الإنترنت والمعاملات المالية الأخرى.
  • Win32/Cutwail 15 - حصان طروادة(Trojan) يقوم بتنزيل الملفات العشوائية وتنفيذها. يمكن تنفيذ الملفات التي تم تنزيلها من القرص أو حقنها مباشرة في عمليات أخرى. في حين أن وظيفة الملفات التي تم تنزيلها متغيرة ، يقوم Cutwail(Cutwail) عادةً بتنزيل المكونات الأخرى التي ترسل رسائل غير مرغوب فيها. يستخدم rootkit في وضع kernel ويقوم بتثبيت العديد من برامج تشغيل الأجهزة لإخفاء مكوناته عن المستخدمين المتأثرين.
  • Win32/Rustock  - تم تطوير عائلة متعددة المكونات من أحصنة طروادة(Trojans) الخلفية التي تدعم الجذور الخفية في البداية للمساعدة في توزيع البريد الإلكتروني "البريد العشوائي" عبر شبكة الروبوتات(botnet) . الروبوتات عبارة عن شبكة كبيرة من أجهزة الكمبيوتر المخترقة يتحكم فيها المهاجم.

الحماية ضد الجذور الخفية

منع تثبيت الجذور الخفية هو الطريقة الأكثر فعالية لتجنب الإصابة عن طريق الجذور الخفية. لهذا ، من الضروري الاستثمار في تقنيات الحماية مثل منتجات مكافحة الفيروسات وجدار الحماية. يجب أن تتخذ مثل هذه المنتجات نهجًا شاملاً للحماية باستخدام الكشف التقليدي القائم على التوقيع ، والكشف التجريبي ، والقدرة الديناميكية والمتجاوبة للتوقيع ومراقبة السلوك.

يجب تحديث كل مجموعات التوقيع هذه باستخدام آلية التحديث الآلي. تتضمن حلول Microsoft(Microsoft) لمكافحة الفيروسات عددًا من التقنيات المصممة خصيصًا للتخفيف من الجذور الخفية ، بما في ذلك مراقبة سلوك النواة الحية التي تكتشف وتبلغ عن محاولات تعديل نواة النظام المتأثر ، وتحليل نظام الملفات المباشر الذي يسهل التعرف على برامج التشغيل المخفية وإزالتها.

إذا تم العثور على نظام مخترق ، فإن الأداة الإضافية التي تسمح لك بالتمهيد إلى بيئة جيدة معروفة أو موثوقة قد تكون مفيدة لأنها قد تقترح بعض تدابير الإصلاح المناسبة.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

في ظل هذه الظروف،

  1. أداة Standalone System Sweeper (جزء من Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. قد يكون Windows Defender Offline مفيدًا.

لمزيد من المعلومات ، يمكنك تنزيل تقرير PDF من " مركز التنزيل لـ Microsoft".(Microsoft Download Center.)



اروى باكثير

About the author

أنا مطور iOS بخبرة تزيد عن 10 سنوات. أنا متخصص في تطوير التطبيقات لأجهزة iPhone و iPad. لدي خبرة في بناء تدفقات المستخدمين ، وإنشاء مجموعات تطوير مخصصة (CDKs) ، والعمل مع أطر تطوير التطبيقات المختلفة. في عملي السابق ، قمت أيضًا بتطوير أدوات للمساعدة في إدارة متجر تطبيقات Apple ، والتي تتضمن أداة إدارة المنتج وأداة إرسال التطبيق.


Related posts