في معظم الأحيان، نواجه هجمات الكترونية مثل اختراق البيانات والحسابات المخترقة. لذلك، أصبحت هذه الهجمات إحدى القضايا التي يجب الانتباه إليها. في هذه الحالة، يتساءل الأشخاص أيضًا عن أنواع البرامج المستخدمة في الهجمات الالكترونية. Rootkit هو أيضًا أحد البرامج الضارة. إذن ما هو RootKit؟
من المهم جدًا أن يكون الجهاز والبيانات في أمان. لهذا السبب، يفضل المستخدمون تثبيت برنامج مكافحة الفيروسات على أجهزتهم. بالإضافة إلى ذلك، يحرص الأشخاص على عدم تنزيل أي برامج أو برامج من مصادر لا يعرفونها. ومع ذلك، لا تزال بعض البرامج الضارة تعطل هذه الإجراءات. في هذه المقالة، سنقدم معلومات حول Rootkit، وهو أحد أنواع البرامج الضارة.
ما هو RootKit
اختصار هذه الكلمة هو “مجموعة المستخدمين الجذر”. يشير جذر الكلمة إلى حساب المسؤول على أنظمة التشغيل المثبت عليها. تصف مجموعة الكلمات مكون البرنامج الذي ينفذ هذه العملية. Rootkit هو برنامج ضار يتسلل إلى نظام تشغيل الكمبيوتر ويتحكم الجواسيس عن بعد في الكمبيوتر. يوجد هذا النوع من البرامج في الغالب في أنظمة تشغيل ويندوز و Linux و Unix.
غالبًا ما تقوم RootKit بإيقاف البرامج التي تحمي من البرامج الضارة، مثل برامج مكافحة الفيروسات. نتيجة لذلك، تمنع اكتشاف البرامج الضارة. تعتبر برامج Rootkit خطرة مثل أي برامج ضارة أخرى. لأن برنامج الفيروسات، بعد الوصول إلى الكمبيوتر، يكرر نفسه ويستفيد من النظام. ومع ذلك، بعد وصول Rootkit إلى النظام، فإنه يسمح للأشخاص الضارين عن بعد بالسيطرة الكاملة على جهاز الكمبيوتر الخاص بك.
يتم إخفاء جميع RootKit تقريبًا في نواة نظام التشغيل. نتيجة لذلك، تمنع برامج مكافحة الفيروسات من ملاحظتها. Rootkit، المخفي في نواة النظام، يغير نفسه أحيانًا وأحيانًا يجعل وجوده على اتصال بنواة النظام.
تحاول أنواع البرامج مثل RootKit إتلاف الجهاز بعدة طرق مختلفة لأنه يتولى الإدارة في نظام التشغيل. على سبيل المثال، يقوم بنقل البرمجيات الخبيثة التي يحملها معه إلى النظام ويخفيها ويخلق خطرًا كبيرًا. بالإضافة إلى ذلك، يقوم بتشغيل البرامج في ويندوز بالطريقة التي يريدها. كما يسمح لواجهات برمجة التطبيقات بالاستيلاء على الاستخدام. عندما نفكر في كل هذه الأمور، يمكننا القول إن Rootkit هو نوع من البرامج يحتوي على درجة عالية جدًا من الخطر.
كيف يعمل RootKit
بعد الإجابة على سؤال ما هو Rootkit في مقالتنا، نحتاج إلى تقديم معلومات حول كيفية عمل هذا البرنامج. RootKit ليس لديها نظام نشر ذاتي. لذلك، يستخدمون طرقًا مختلفة وسرية للوصول إلى أجهزة الكمبيوتر. المستخدمون الذين يعتقدون أن هذا البرنامج غير موجود على أجهزتهم، تقوم RootKit بتثبيت أنفسهم على النظام بمجرد أن يسمح Rootkit بتثبيت البرامج على أنظمتهم. كما أنهم يخفون أنفسهم حتى ينشطهم المتسللون.
RootKit. المستخدمون الضارون مثل لصوص كلمات المرور ولصوص بيانات الاعتماد المصرفي وعوامل إيقاف برامج مكافحة الفيروسات وهجمات رفض الخدمة وبرامج تسجيل المفاتيح. الى جانب ذلك، RootKit. الملفات الضارة أو حملات التصيد الاحتيالي عبر البريد الالكتروني أو ملفات PDF الضارة أو برامج التشغيل غير الآمنة أو مستندات Microsoft Word الضارة أو تنزيل المحتوى من مواقع الويب الخطرة.
ما هي أنواع RootKit
يمكننا القول أن هناك ثلاثة أنواع من RootKit تعمل. هؤلاء؛ وضع المستخدم، ووضع النواة، وRootKit التي تتدخل في الأجهزة. بمعنى آخر، تعمل Rootkit كوضع مستخدم أو وضع kernel، اعتمادًا على وظائفها واللغات التي كُتبت بها. أولاً، دعنا نتحدث عن أنواع RootKit لوضع kernel الأساسي ووضع المستخدم.
RootKit لوضع Kernel
اسم آخر لهذا النوع من RootKit هو “Kernel Mode Rootkit”. تم تصميم هذا النوع من RootKit لتعديل وظائف نظام التشغيل. البرنامج الذي يعمل في وضع kernel موجه للأجهزة والسرعة. بالإضافة إلى ذلك، فإنه يحتوي على برامج التشغيل الخاصة به. كما أن لديها اتصالات أعلى مع نواة النظام. تسمى الطبقة التي تتداخل مع نظام التشغيل وتحتوي على مخاطر عالية وضع kernel.
البرنامج الذي يعمل في قسم وضع kernel هو؛ برامج مكافحة الفيروسات وبرامج مكافحة الغش وبرامج تصحيح الأخطاء مثل WinDBg. تحاول مجموعات الجذر في وضع kernel إضافة التعليمات البرمجية الخاصة بها إلى kernel في نظام التشغيل أو إتلاف نواة النظام وإدخال نظامها الخاص.
إذا واجهت RootKit في طبقة وضع kernel مشكلة في الوصول إلى النظام، أو إذا تم اعتراض مكونات نظام التشغيل التي تحمي ملفات النظام، فستتلقى رسالة خطأ. رسالة الخطأ هذه هي “Kernel_Security_Check_Failure” على Windows و “Kernel Panic!” على Linux. في الشكل. ومع ذلك، لا تشير كلتا رسالتي الخطأ هاتين إلى وجود برنامج rootkit على جهازك.
RootKit لوضع المستخدم
تعمل أنواع RootKit التي لا تحتاج إلى الوصول إلى الأجهزة وليس لديها برنامج تشغيل خاص في وضع المستخدم. تعمل البرامج التي تحتوي على لغة برمجة عالية المستوى أيضًا في قسم وضع المستخدم في النظام. تستخدم هذه البرامج واجهات برمجة تطبيقات النظام لأداء الوظائف التي يريدونها.
يتم بدء تشغيل RootKit في وضع المستخدم عند بدء تشغيل النظام مثل أي برنامج آخر. برنامج يعمل في وضع المستخدم؛ المحاسبة ومتصفح الانترنت وبرامج التنظيف. بالإضافة إلى ذلك، توجد طبقة الخطر المنخفض المستوى في طبقة وضع المستخدم.
Bootkit / Bootloader RootKit
يصيب هذا النوع من rootkit سجل التمهيد الرئيسي (MBR) لمحرك الأقراص الثابتة أو جهاز تخزين آخر متصل بالنظام المستهدف. Rootkit يفسد عملية التمهيد ويحتفظ بالسيطرة على النظام بعد التمهيد. نتيجة لذلك، يصبح متاحًا لمهاجمة الأنظمة باستخدام تشفير القرص الكامل.
RootKit للبرامج الثابتة
هذا النوع من rootkit يعني “Firmware rootkit”. يستفيد هذا النوع من RootKit من البرامج المضمنة في البرامج الثابتة للنظام. يتم تثبيت rootkit للبرامج الثابتة على صور البرامج الثابتة المستخدمة بواسطة أنظمة الإدخال / الإخراج الأساسية أو أجهزة التوجيه أو بطاقات الشبكة أو الأجهزة الطرفية الأخرى أو الأجهزة.
RootKit للذاكرة
برنامج rootkit للذاكرة، المعروف أيضًا باسم rootkit للذاكرة، يقوم بتثبيت نفسه على جهاز تخزين دائم للنظام. لذلك، يبقى في النظام لفترة طويلة. يقوم برنامج rootkit للذاكرة بتثبيت نفسه في ذاكرة الكمبيوتر أو ذاكرة الوصول العشوائي. يظل نوع Memory rootkit في الغالب بعد إعادة تشغيل الكمبيوتر حتى يتم مسح ذاكرة الوصول العشوائي للنظام.
RootKit الافتراضية
RootKit الافتراضية، المشار إليها باسم rootkit الافتراضية، هي نوع من البرامج الضارة التي تعمل كبرنامج HyperVisor. يبدو أن الأجهزة الافتراضية التي يتحكم فيها برنامج Hypervisor تعمل بشكل طبيعي وبدون تدهور في الأداء. نظرًا لأنه يعمل كما لو لم يكن هناك تدهور في الأداء، فلن يتم اكتشاف التحركات الخبيثة للجذور الخفية بسهولة.
ما هي العوامل التي تشير إلى وجود برنامج Rootkit؟
عندما يصيب rootkit النظام، فإنه يبذل قصارى جهده لإخفاء نفسه. والغرض منه السيطرة على نظام التشغيل الذي يصل إليه وإلحاق الضرر بالجهاز. على الرغم من صعوبة اكتشاف برنامج rootkit، إلا أن هناك بعض العوامل التي تشير إلى تعرض نظامك للاختراق.
أحد العوامل هو أن Antimalware، الخيار الأول لمكافحة البرامج الضارة، يتوقف عن العمل. إذا توقف البرنامج عن العمل، فهذا مؤشر على وجود إصابة نشطة بRootKit. يعد التغيير التلقائي لإعدادات Windows عاملاً آخر. إذا لاحظت اختلافًا في إعدادات Windows على الرغم من أنك لم تغيرها، فيجب أن تعتقد أن جهازك مصاب ببرنامج rootkit.
يعد تغيير شاشة القفل أو إخفاء صور الخلفية أو تغيير العناصر المثبتة على شريط مهام الجهاز مؤشرات على وجود برنامج rootkik. الجهاز يتباطأ دون جدوى، والاستخدام العالي لوحدة المعالجة المركزية وإعادة توجيه المتصفح هي أيضًا من بين مؤشرات برنامج rootkit.
بالإضافة إلى ذلك، فإن تعطل الجهاز يعد أيضًا مؤشرًا على الإصابة بRootKit. عندما يتعذر على المستخدمين الوصول إلى أجهزتهم أو عندما لا يستجيب الجهاز للإدخال من الماوس أو لوحة المفاتيح، فسيتعين عليك تخمين أن برنامج rootkit يتداخل معه.
ما هي أمثلة هجمات RootKit؟
التحركات التي تسمح للجذور الخفية بالدخول إلى الجهاز تفتح رسائل البريد الالكتروني العشوائية وتنزيل البرامج الضارة عن غير قصد. المهاجمون الذين يرغبون في نقل برنامج rootkit إلى النظام يستخدمون keyloggers التي تلتقط معلومات تسجيل الدخول. إذا تم تثبيت برنامج rootkit على النظام، فإن المتسللين يمكنهم الوصول إلى معلومات المستخدم الحساسة. هم أيضا خطفوا نظام التشغيل.
يقوم برنامج rootkit بتثبيت نفسه في التطبيقات الشائعة الاستخدام مثل برامج معالجة النصوص وجداول البيانات. في كل مرة يفتح المهاجمون تطبيقات مصابة، يستخدمون أدوات rootkits للتطبيق للوصول إلى معلومات المستخدم.
تتعرض أجهزة إنترنت الأشياء التي تفتقر إلى التدابير الأمنية لأجهزة الكمبيوتر المركزية لتهديدات أمنية كبيرة. يكتشف المهاجمون ويستغلون الثغرات الأمنية عن طريق إضافة أدوات rootkits إلى أقسام نهاية تسجيل الدخول. هذا يسمح للجذور الخفية بالانتشار إلى الشبكة، والاستيلاء على أجهزة الكمبيوتر والتحكم فيها من الخارج وتحويلها إلى أجهزة كمبيوتر زومبي.
سوف تقوم RootKit التي تدخل النظام بمهاجمة نظام تشغيل RootKit لوضع Kernel. يؤدي هذا الهجوم إلى خلل في نظام التشغيل، وإبطاء أداء النظام، والوصول إلى الملفات وحذفها. يتم استخدام RootKit لوضع Kernel في الغالب في فك ضغط ملف البريد العشوائي وفي حالة تنزيل الملفات من مصدر غير موثوق به.
ما هي عواقب هجوم RootKit؟
هناك بعض النتائج المترتبة على هذا النوع من البرامج التي تلحق الضرر بالجهاز ونظام تشغيل الجهاز بمعدل مرتفع ويصبح مسؤولاً. تصيب rootkit الجهاز ببرامج ضارة. يعرض برنامج rootkit للخطر أداء الجهاز أو النظام وخصوصية المعلومات. RootKit. الفيروسات وبرامج حصان طروادة والفيروسات المتنقلة وبرامج الإعلانات المتسللة وبرامج الفدية وبرامج التجسس وغيرها من البرامج الضارة المثبتة على جهاز كمبيوتر أو شبكة أو نظام.
يقوم برنامج rootkit بتثبيت نفسه على شبكة أو نظام. تحدث عملية الإعداد هذه أثناء تسجيل الدخول أو برنامج نظام التشغيل أو ثغرة أمنية. تسلل RootKit إلى النظام أو الشبكة؛ يسرق الملفات ويحذفها ويملك الصلاحية لتشغيل البرنامج تلقائيًا.
تستخدم RootKit في الغالب نظام الاستماع على لوحة المفاتيح (Keylogger) الذي يلتقط ضغطات المفاتيح دون إذن المستخدم. بالإضافة إلى ذلك، عندما يقوم الأشخاص بتسجيل الدخول إلى رسائل البريد الالكتروني الخاصة بهم، فإنهم يرسلون رسائل بريد الكتروني غير مرغوب فيها تسمح بتثبيت Rootkit. نتيجة لذلك، يقوم برنامج rootkit بسرقة المعلومات الشخصية مثل أرقام بطاقات الائتمان أو البيانات المصرفية عبر الانترنت حتى يتمكن مجرمو الانترنت من رؤيتها.
الغرض من RootKit هو الدخول إلى الشبكة أو النظام أو الكمبيوتر، واستخراج الأموال من البيانات ونقل المعلومات إلى مصدر غير مصرح به. لهذه الأغراض، يقوم برنامج rootkit بتثبيت برامج ضارة يمكنها الوصول إلى معلومات حساسة أو خاصة. كاشطات الشاشة و keyloggers و adware و spyware و backdoors و bots هي طرق يستخدمها rootkit للوصول إلى البيانات الحساسة.
بعد وصول rootkit إلى المنطقة المطلوبة على الجهاز، يقوم بتغيير تكوين النظام. أثناء القيام بهذا التكوين، فإنه ينشئ وضعًا متخفيًا يجعل من الصعب على برنامج الأمان اكتشافه. بالإضافة إلى ذلك، فإن RootKit تخلق ضررًا دائمًا يجعل من الصعب أو المستحيل إيقاف تشغيل النظام حتى عند إعادة تشغيل النظام. يقوم rootkit بالوصول باستمرار إلى الجهاز ويغير إعدادات ترخيص الأمان لتسهيل الوصول.
كيفية إزالة RootKit؟
ستكون احتمالية وقوع هجمات ضارة عالية عندما تجعل RootKit النظام خطيرًا. يصعب إزالة Rootkit عند دخوله إلى نواة نظام التشغيل أو قسم التمهيد لجهاز التخزين. على الرغم من أن بعض برامج antirootkit تدير إزالة RootKit، إلا أنه من الصعب أحيانًا إزالة RootKit تمامًا. ومع ذلك، لا يزال بإمكان المستخدمين اتخاذ بعض الخطوات لإصلاح النظام المخترق.
يتمثل أحد الحلول في إعادة تثبيت نظام التشغيل التالف لإزالة RootKit. تدمير محمل الإقلاع، يضمن برنامج rootkit أيضًا حصولك على نظام تشغيل آمن. ستؤدي إعادة تشغيل نظام التشغيل المصاب بـ Memory Rootkit أيضًا إلى إزالة RootKit. ومع ذلك، سيكون من الصعب إزالة rootkit، المتصل بشبكة القيادة والتحكم على الانترنت العام أو الانترنت المحلي.
للتلخيص، هناك طريقتان أساسيتان لتنظيف مجموعة rootkit المصابة على جهازك. أحدها هو برنامج antirootkit المصمم لتنظيف RootKit. في الحالات التي لا تعمل فيها هذه البرامج، ستكون إعادة تثبيت نظام التشغيل لجهازك حلاً آخر.
ما الذي يمكن فعله لمنع هجمات RootKit؟
على الرغم من صعوبة اكتشاف هجوم rootkit، إلا أنه سيكون من الجيد اتخاذ بعض الاحتياطات لمنع هذا الهجوم. إنها لفكرة جيدة أن تقوم بتثبيت برنامج قوي لمكافحة الفيروسات والبرامج الضارة على جهازك.
يبحث مهاجمو RootKit باستمرار في أنظمة التشغيل عن الثغرات الأمنية. نظرًا لأن بائعي أنظمة التشغيل على دراية بهذا الموقف، فإنهم يصدرون تحديثًا أمنيًا عندما يلاحظون وجود ثغرات أمنية. في هذه الحالة، سيكون من الجيد للأشخاص بدء عملية التحديث هذه على الفور عندما يتلقون تحديثًا جديدًا لجهازهم.
مطلوب برنامج مراقبة الشبكة لإخطار تقنية المعلومات على الفور عند وجود نشاط مرتفع بشكل غير متوقع في أي جزء من الشبكة، أو عندما تكون عُقد الشبكة غير متصلة فجأة أو يكون هناك نشاط غير طبيعي للشبكة.
يمكن للشركات التي تضع سياسات أمنية قوية وتراقب الامتثال أن تقلل من تهديد RootKit إلى حد ما. على سبيل المثال، إذا رأى مستخدم يدخل إلى النظام في إحدى المدن أثناء النهار فجأة أن النظام نشط في مدينة أخرى أثناء الليل، فمن الأفضل أن يتقدم إلى تقنية المعلومات مرة أخرى.
تقييم عام
Rootkit هو أحد أخطر أنواع البرامج. بعد الاستيلاء على نظام الكمبيوتر الخاص بك، فإنه يتلف جهازك بوصول وتعديلات مختلفة. أثناء إجراء هذه التغييرات، يصبح مديرًا. لا يمكنه إجراء تغييرات على جهازك فحسب، بل يمكنه أيضًا التقاط بياناتك الشخصية بطرق مختلفة.
واجهت برامج مكافحة الفيروسات التي تم تطويرها في السنوات الماضية صعوبات في اكتشاف RootKit. ومع ذلك، فإن بعض برامج مكافحة الفيروسات الموجودة اليوم لديها القدرة على مسح وإزالة RootKit المخفية في النظام. بالإضافة إلى ذلك، فإن البرنامج الذي يكتشف RootKit فعال أيضًا في اكتشاف وإزالة هذه البرامج الضارة.
ينتهي دليلنا الخاص بRootKit التي أعددناها لك هنا. يمكنك أيضًا مشاركة أسئلتك وأفكارك حول rootkit معنا
