ماهو الروتكيتس Rootkits ؟ و ماهي استراتيجيات المهاجم لإصابة الجهاز الهدف برات RAT أو بروتكيت Rootkit ؟  و ماذا يفعل المهاجم بعد إصابة الجهاز الهدف مباشرة ؟ و كيفية الوقاية من هذا الهجوم ؟ و ماهي الخطوات التي يجب عملها عند الإصابة أو الشك بالإصابة بروتكيت أو برات ؟

ماهو الروتكيتس Rootkits ؟

الـ روتكيتس Rootkits هي برمجيات تعمل بشكل متخفًي أو تقوم بإخفاء عمل برمجيات أخرى كالفيروسات Viruses و برمجيات التجسس Spyware على الحاسب مستخدمةً بعض الطبقات الدنيا من أنظمة التشغيل.
كما قلنا الروتكيتس هي برمجيات غالبا يكون الخبيث منها على شكل ملفات تنفيذية تصل مرفقة عبر البريد الالكتروني ضمن ملف مضغوط مثلا أو كملف مرسل عبر سكايب ويرافق ذلك استخدام أساليب الخداع بهدف أن يقوم الضحية بتشغيل الملف التنفيذي على جهازا ما مما يؤدي إلى إصابته بالروتكيت.
الروتكيت ليست دائماً خبيثة فقد تكون برمجية سليمة تستخدم كجزء من تطبيقات نظامية أخرى وقد تكون خبيثة تستخدم من قبل المهاجمين للوصول إلى النظام المستهدف و السيطرة عليه وعلى عمل جميع البرمجيات المنصبة عليه بدون أن يتم كشف المخترقين من قبل المستخدم أو برمجياته، إذ تقوم الروتكيتس عادة بإخفاء أي دليل على حدوث الهجوم أساسا.
جاء المصطلح روتكيت من أنظمة يونيكس UNIX أو الأنظمة الشبيهة بيونيكس مثل لينكس Linux و ماك أو إس إكس Mac OS X، تتألف الكلمة من الأجزاء روت Root الذي يعني مدير النظام في أنظمة يونيكس Unix أما الجزء الثاني هو كلمة كيت Kit تعني بالانجليزية العدّة (أو مجموعة الأدوات).
لكن برمجيات الروتكيتس لا تقتصر على أنظمة التشغيل المبنية على يونيكس Unix أو الشبيهة بها مثل لينكس Linux بمختلف اصداراته و ماك أو إس Mac OS X، وإنما تشمل أيضا أنظمة التشغيل ويندوز Windows بمختلف أنواعها.
إذا فالروتكيتس تمنح مستخدمها كامل الصلاحيات للولوج إلى النظام وملفات النظام بصلاحيات مدير النظام أي بكلمات أخرى تمنح مستخدمها إمكانية معاينة كامل الملفات والأفلام وملفات الصوت المخزنة على الحاسب وإرسال نسخ منها عبر الانترنت إلى مستخدم الروتكيتس، كما تسمح له بتشغيل ميكروفون الحاسب المصاب وتسجيل الصوت وإرساله إلى مستخدم الروتكيت أو تشغيل كاميرا الحاسب المصاب وتسجيل الصورة وإرسالها إلى صاحب الروتكيت أو كليهما (صوت وصورة) طالما كان الحاسب المصاب يعمل سواء كان المستخدم جالسا أمام الحاسب أو لم يكن.
وأيضا تعطي مستخدم الروتكيت إمكانية معاينة شاشة الجهاز المصاب عن بعد كما في البث المباشر طالما كان الجهاز متصلا بالانترنت. وقد تعطي مستخدم الروتكيت إمكانية معاينة حسابات المستخدم على الانترنت (إن لم يكن قد أخذ الاحتياطات مسبقا لحمايتها)وقد يمكنه ذلك من استخدام الجهاز المصاب لإرسال رسائل إلى أشخاص آخرين بهدف إصابتهم أو استخدام الجهاز المصاب لمحاولة اختراق أجهزة أخرى باستخدام برمجيات خبيثة يشغلها مستخدم الروتكيت عن بعد.
ويحدث كل هذا دون علم صاحب الحاسب بذلك وغالبا دون إمكانية أن يعرف صاحب الحاسب حدوث ذلك.
والقصص حول المصائب التي سببتها هذه البرمجيات كثيرة وهي بذلك تشبه كثيرا برمجيات أحصنة طروادة للتحكم عن بعد Remote Administration Trojans. بالمختصر تعتبر الروتكيتس Rootkits ومثلها الراتس RATs وأنواعها من أخطر البرمجيات الخبيثة وأسوأها آثارا بسبب خطورتها وبسبب صعوبة التعامل معها.
سنناقش فيما يلي عددا من النقاط التي نعتقد أنها ستفيدكم في فهم الأساليب الأكثر شيوعا بين المهاجمين لإصابة حواسب الضحايا بالروتكيتس (وأيضا بأحصنة طروادة للتحكم عن بعد Remote Administration Trojans والتي تعرف اختصارا بالـ راتس RATs)، وأيضا سنحاول توضيح ماذا يفعل المهاجم بعد أن ينجح في تنصيب الروتكيت على جهاز الضحية ثم سننتقل لمناقشة أساليب الوقاية من الإصابة بالروتكيتس وسنسرد أساليب إدارة الخطورة Risk Management المتعلقة بكارثة الإصابة بروتكيت وفي النهاية كيف نتصرف في حالة الشك أو اليقين بالإصابة بها.
قبل المتابعة يجب الإشارة بأنه يجب التعامل مع حالة الشك بالإصابة بالروتكيت كما في حال اليقين بالإصابة بالروتكيت، أي يكفي الشك بالإصابة لأخذ كامل الخطوات التي نأخذها في حال التأكد من الإصابة بها.

استراتيجيات المهاجم لإصابة الجهاز الهدف برات RAT أو بروتكيت Rootkit

يحتاج المهاجم إلى تنصيب الرات RAT وهو اختصار Remote Administration Tools أو الروتكيت Rootkit على الحاسب الهدف لذلك يحتاج للحصول على صلاحيات مدير للنظام لتنفيذ هجومه.
يعتمد المهاجمون استراتيجيات مختلفة للوصول لتنصيب الرات أو الروتكيت على الحاسب الهدف نورد هنا عددا من هذه الاستراتيجيات: 1- استغلال ثغرات في نظام التشغيل المتصل مع شبكة الانترنت يقوم المهاجم هنا باستغلال ثغرة ما في نظام تشغيل الجهاز المتصل بالانترنت ويقوم المهاجم بذلك عن بعد، يقوم المهاجم بعد استغلال الثغرة بتنصيب الرات أو الروتكيت ومتابعة هجومه، تقوم شركات الأمن الرقمي باكتشاف الثغرات والاعلان عنها مشجعة بذلك الشركات المسؤولة عن أنظمة التشغيل أو التطبيقات إلى سد الثغرات لكن المشكلة تحدث عندما يكتشف المخترقون الثغرات قبل أن تقوم الشركات بالاعلان عنها، أو عندما لا يقوم مدراء الأنظمة في المؤسسات أو الشركات أو الأفراد بسد الثغرات في أنظمة التشغيل التي يديرونها، ويتطلب هذا النوع من الهجوم إلى قدرات تقنية عالية.2-استغلال أساليب الهندسة الاجتماعية Social Engineeringاستغلال أساليب الهندسة الاجتماعية لخداع المستخدم وإقناعه بتشغيل ملف على جهازه (مثلا يقوم الضحية بتشغيل ملف مرفق في إيميل يبدو سليم لكنه في الحقيقة خبيث) يؤدي بالنتيجة إلى تنصيب الرات أو الروتكيت على الحاسب ليتابع المهاجم بعد ذلك هجومه، تحتاج هذه الاستراتيجية قدرات تقنية متواضعة بالمقارنة مع الاستراتيجية السابقة تعتبر هذه الطريقة من أكثر الطرق شيوعا للإصابة بالراتس او الروتكيتس.

ماذا يفعل المهاجم بعد إصابة الجهاز الهدف مباشرة

ماذا يفعل المهاجم بعد إصابة الجهاز الهدف مباشرة Attacker’s next steps1- يقوم المهاجم بمحاولة إخفاء آثار الاختراق كي لا يتيح للضحية ملاحظة أن جهازه مخترق وبحيث يعمل المهاجم بشكل سري وخفي. فاكتشاف حدوث التدخل أو أي نشاط أو حدث على الحاسب الضحية سيساعده على معالجة المشكلة. تقوم الروتكيتس عادة بهذا العمل وبما أن سجلات الوصول للموارد access logs هي أهم الملفات التي يلجأ لها الضحية لكشف الولوج الغير شرعي لحاسبه، لذلك يعمد المهاجم على حذف المعلومات التي تشير إلى دخوله إلى الحاسب من هذه السجلات وأي سجلات أخرى تشير للعمليات التي تم إجراؤها على الحاسب.فعلى سبيل المثال تقوم الروتكيت بحذف أي تسجيل أو بند في سجلات النظام لأي عملية process تم تشغيلها عليه، كما قد يستخدم لإخفاء بعض الملفات التي أنشأها المهاجم أو تعديل بعض أوامر النظام لتعطي نتائج مزورة للمستخدم بحيث لا يتم اكتشاف أي تغيير تم حدوثه على ملفات النظام.2- يقوم المهاجم بفتح بوابات خلفية Backdoors في النظام كي يقوم المهاجم عبرها بإرسال البيانات والتحكم بالجهاز وبالرات وبالروتكيت، من أكثر الأساليب شيوعا بالنسبة للروتكيتس هي فتح قناة اتصال إس إس إتش SSH إذ أن هذه القناة تمنح المهاجم إمكانية الوصول إلى الحاسب والتحكم به، بالإضافة لإمكانية تشفير البيانات التي تمر عبر قناة الاتصال هذه مما يساعد في منع تحليلها من قبل أنظمة كشف التدخل Intrusion Detection Systems IDSs وأجهزة تجنب التدخل Intrusion Prevention Systems IPSs.3- يقوم المهاجم بمعاينة الحاسب ومعاينة الملفات الموجودة ليعرف إن كان هناك ملفات مهمة وإن كان استمرار الهجوم موضوع مهم. 4- يقوم المهاجم بمتابعة الهجوم بالشكل الذي يناسبه أهدافه.5- يقوم المهاجم بمحاولة معاينة حسابات الضحية أونلاين (إذا كانت كلمات سرهم محفوظة في المتصفح مثلا أو عبر متابعة شاشة الضحية بشكل مباشر) لتقييم الفائدة التي لاستخدامه لصلاحيات وصول لموارد إدارية privileged access، قد يمنحه هذا إمكانية التدخل بالحاسب الهدف أو الشبكة.

الوقاية من هذا الهجوم

الوقاية من هذا الهجوم How to protect yourself from this attack بناء على ما ورد سابقا من استراتيجيات إصابة الضحية بهجوم رات RAT أو بهجوم روتكيت Rootkit ، نورد فيما يلي عددا من النصائح الموجهة للمستخدمين:1- احرص على تحديث نطام التشغيل بشكل دوري لتتمكن من تغطية الثغرات الأمنية. 2- قم باستخدام “حساب غير مدير” للاستخدام اليومي حتى تتجنب تحميل برامج غير مرغوب بها. وعند استخدامك “حساب مدير” كن حذرا عند تنصيب أية برامج إضافية.3- إستخدم كلمات سر قوية لمنع الآخرين من الوصول إلى جهازك الشخصي 4- لا تقع ضحية لأساليب الهندسة الاجتماعية Social Engineering5- احذر من الملفات المرفقة ضمن الايميل ووسائل الاتصال الأخرى وبالذات اللواحق التالية: exe .cmd .bat .vbs .js .mdb .doc .xls .lnk .zip .scr .wsf .rar. لا تقم بفتح هذه الروابط حتى بعد التأكد من مصدرها ومرسلها (إذ قد يكون مرسلها قد أصيب والمهاجم يحاول استغلال ثقتك بالضحية الأولى لإصابتك). إن كنت مضطرا لتحميل أحد هذه الملفات أو المرفقات قم باستخدام موقع VirusTotal للتأكد من عدم احتوائه إلى رات Rat أو روتكيت Rootkit. ثم بدل تشغيل الملف على جهازك مباشرة قم بتجربة الملف على حاسب افتراضي Virtual Machine بحيث تقلل بذلك إمكانية إصابة نظام التشغيل الأساسي لديك بالرات أو الروتكيت وتقتصر الإصابة عندها على الحاسب الافتراضي Virtual Machine التي يمكن بسهولة حذفه (مع الرات أو الروتكيت).إن استخدام برمجيات sandbox أو البيئة الافتراضية لتنصيب البرمجيات تساعد على عزل البرمجيات التي قد تكون مصابة بالرات أو بالروتكيت عن نظام التشغيل و بالتالي تعمل على منع إصابة النظام الأصلي به. 6- استخدم تطبيق جدار ناري Firewall معد بشكل صحيح ومناسب.7- قم بعمليات إصلاح أمنية دورية للنظام Updates.8- إن كنت من مطوري البرمجيات أو كان جهازك يتضمن مترجمات برمجية compilers قم بالحد من إمكانياتها على الأجهزة المستضيفة، العديد من برمجيات الرات RAT أو الروتكيت Rootkit تحتاج إلى مترجمات compiler و مكتبات libraries ليتم تنصيبها.9- لا تقم أبدا بتحميل تطبيقات أو برامج من مصادر غير موثوقة على الإنترنت أو من أقراص مضعوطة أو فلاش ميموري، وتأكد عند تحميل التطبيق من أن الـ Checksum الخاص بالتطبيق مطابق للـ Checksum المذكور في الموقع 10- تأكد دوما من قفل جهازك وعدم تركه بمتناول الآخرين.

الاستعداد لكارثة الإصابة Preparing for a catastrophy

تعتبر الإصابة سواء برات أو بروتكيت إحدى أسوأ الكوارث التي قد تصيب الحاسب بالوقت نفسه وهي أكثر أساليب الهجوم الالكتروني ولأن احتمال الإصابة بها وارد جدا نرى أن الاستعداد لكارثة من هذا النوع أمر مهم جدا لتفادي نتائجه.
لا نتحدث هنا عن أساليب الوقاية من الإصابة ولا عن أساليب العلاج عند الإصابة أو الشك بالإصابة نتحدث عن تقليل أضرار الإصابة بروتكيت في حال حدوثها رغم احتياطات الوقاية، أي علينا أن نعالج الموضوع كما يعالج اليابانيون موضوع الزلازل في بلادهم، فالزلازل تقع في اليابان ومع ذلك عدد ضحاياها وآثارها منخفض للغاية السبب هو أن اليابانيين وضعوا الآليات المناسبة للتعامل مع هذا النوع من الكوارث بحيث أنه عندما تقع الكارثة يكون كل شئ في مكانه لتقليل آثارها.
من الجدير بالذكر يسمى هذا النوع من التحليل تحليل الخطورة Risk Analysis أما تقييم الخطورة Risk Assessment وتسمى الاجراءات التي يتخذها المرء للتقليل من آثار الكارثة بتخفيف الخطورة Risk Mitigation والمصطلح الذي يشمل تحليل الخطورة وتقييمها والاجراءات الازمة لتقليل الخطورة وغيرها، من النواحي التي تعنى بالخطورة بمصطلح إدارة الخطورة Risk Management وهو فرع مهم جدا من فروع الإدارة وأيضا من فروع إدارة أمن المعلومات Information Security Management
في النهاية، إذا كان لديك إي استفسار يثير اهتمامك، أخبرنا في التعليقات بالأسفل، وسنكون جاهزين بالرد عليك في أقرب وقت ممكن، نراكم في موضوع آخر، فلا تنسونا من نشر المقال لتعم الفائدة.
المصدر(1)