RootKits

 السلام عليكم 

في البوسط ديال اليوم انحاول نتعرفو على Rootkit شنو هي ؟ والاستراتيجية لي كيستخدمها المهاجم باش باش اوصل لجهاز الضحية ؟ وكيفية الوقاية  من هاد الهجوم ؟ وكيفاش غتعرف واش الجهاز ديالك مصاب ب Rootkit ؟ هادي اسئلة واخرى انحاولو نجاوبو عليها فهاد البوسط ان شاء الله .

شنو هي ال RootKits  هي برمجيات كتعمل بشكل مخفي وكتقوم باخفاء برمجيات اخرى بحال Virus وبرمجيات التجسس Spyware في جهاز الضحية وكتستخدم الطبقات الدنيا من انضمة الشغيل , وفي الغالب كتكون على شكل ملف كيوصلك في الاميل ولا كيجي مع برنامج تيليشارجيتيه وكستخدمو المهاجمين اساليب في الخداع باش اقوم الضحية بتشغيل داك الملف على الجهاز ديالو وكيتصاب مباشرة ب Rootkit , وRootkit بصفة عامة ماشي شي حاجة خايبة فيها بزااف دالمزايا وكتستخدم في اشياء ايجابية , لكن الانسان هو لي خايب لانه كيستخدها بطريقة سلبية اما Rootkit كتقنية فهي شي حاجة ايجابية وفيها فائدة .

اما بالنسبة لمصطلح RootKit فهو جا من انضمة تشغيل Unix والانضمة الشبيهة لها بحال Linux وكلمة Root كتعني مدير الحزم في انضمة Unix و Kit فهي كتعني العدة او مجموعة من الادوات , وعلى الرغم من هادشي فان Rootkit مكتقتصرش على انضمة Unix والانضمة الشبيهة لها بحال Linux فهي كتشمل انضمة تشغيل اخرى بحال MacOs و Windows بمختلف الاصدارات ديالهم .

ال Rootkit كتعطي للمهاجم كامل الصلاحيات للوصلو لموارد وملفات النضام ديال الجهاز الضحية فالمهاجم امكن ليه يقرى كل الملفات لي كايني في الجهاز بحال الملفات والصور والفيديوهات والتسجيلات الصوتية وامكن ارسل نسخ منها عبر الانترنيت لجهاز اخر , وايضا كتعطيه الصلاحية يشغل كل  ادوات الجهاز بحال الميكروفون ويسجل تسجيلات صوتية ويسبيفطها لجهاز اخبر عبر الانترنيت ولا يمكن ليه اشغل الكامير وياخد صور اولا فيديوهات ويسيفطها لجهاز اخر ويمكن ليه ايضا اشوف الحسابات لي مسجلة فهاد الجهاز ويشوف الباسوورد الى كانت مسجلة في المتصفح ديالك , وياض الى كان الجهاز متصل بالانترنيت فممكن المهاجم اشوف شاشة الجهاز يعني يراقب التحركات ديالك في الشاشة فين تدخل معمن تتكونيكطا فين تتفرج ولكن شريطة اكون اتصال بالانترنيت , وهادشي كيخلي Rootkit من اخطر انواع البرمجيات وكتشبه لواحد الدرجة Trojan احصنة طروادة لي دوينا عليها في من قبل .

السؤال شتة هي الاستراتجيات لي كيعتامدو عليها المهاجمين باش اقومو باصابة جهاز الضحية ب  Rootkit ؟

المهاجمين مكايعتامدوش على استراتجية محددة ولكن كل مهاجم كيعتامد على استراتجية معينة وغنتعرفو على بعض هاد الاستراتجيات :

من الاستراتجيات لي كيعتامدو عليها المهاجمين هي استغلال الثغراث في انضمة التشغيل الخاص بالجهاز الضحية فالمهاجم كيستغل ثغرات تتكون في نضام التشغيل باش اقوم بتنصيب Rootkit في الجهاز والقيام بالهجوم , هاد الاستراتجية صعيبة وتتحتاج لتقنيات وقدرات عالية فصعيب تلقى ثغرة فانضمة التشغيل لانه صائدو الثغرات كيكتشفو الثغرات وكيبلغو عليها وكتصاوب لكن هاد الاستراتيجية تتستخدم في الاختراقات الكبرى مثلا اختراق شركة عملاقة اولا اختراق منضمات كبيرة فهنا هاد الشركات والمنضمات الكبيرة تتاخد احتياطات صارمة جدا فميمكنش مثلا تخدم معاها استراتيجية الهندسة الاجتماعية فهنا الحل هو نضام الشغيل فكيقلبو على ثغرات ولا كيشريوها من Dark Web .

من الاستراتجيات الاخرى لي كيعتامدو عليها المهاجمين هي الهندسة الاجتماعية Social Engineering وكيعتامدو على اساليب الهندسة الاجتماعية  باش اقومو بخداع الضحية بتشغيل ملف كيرسلوه ليه في الاميل فهاد الاستراتيجية كيقومو بيها على الناس العاديين لي ماشي شركات ومعندهومش معرفة بالمجال فهاد الاستراتيجية ميمكنش تعاتمدها على شركة اولا واحد عارف في المجال مستحيل فهنا كيستخدمو اساليب ذكية جدا في الخداع وفي الاخير كيخدم الملف وكيتصاب الجهاز ب Rootkit , هادو من الاساليب لي كيتسخدموها وكايني اساليب اخرى لكن البوسط لا يسع ذكر كل الاستراتجيات .

شنو كيدير المهاجم بعد ما كيتصاب جهاز الضحية ب Rootkit ؟ 

اول حاجة كيقوم بها المهاجم هو كيحاول اخفي الاثار ديال الاختراق باش الضحية ميكتاشفش بلي تم اختراق للجهاز فكمثال كتقوم Rootkit بالاخفاء ديال اي عملية في Process وايضا كيقوم باخفاء الملفات لي حكها المهاجم في الجهاز وكيقوم ايضا بالتعديل على اوامر النضام باش تعطي نتائج مزورة للضحية باش ميعيق بتا شي تغيرات كتوقع في النضام .

من بعد اخفاء ادلة ديال حدوث اختراق للجهاز الان المهاجم كيبدا الخدمة وكيحاول احل بوابات خلفية Backdoors في النضام باش اقوم المهاجم بارسال البيانات منها وباش اتحكم في الجهاز ومن الطرق لي كيستخدمو في هاد القضية وهي كيفتح قناة اتصال SSH كتمنح للمهاجم الامكانية باش اوصل للجهاز وباش اتحكم بيه .

ومن بعد كيقوم المهاجم بمراقبة وبحث وتصنيف الملفات والوثائق لي كاينة في الجاهز وكيصنفها على حساب الاهمية بالنسبة ليه وكياخد نسخ من الملفات لي كتهمو وكيرسلها عبر الانترنيت .

ومن بعد كيشوف المهاجم الحسابات الالكترونية لي مفتوحة فالجهاز بحال حسابات مواقع التواصل ومعلومات البطاقات البنكية لي خدمها الضخية في الجهاز .

كيفاش تقوم بوقاية الجهاز ديالك من هاد الهجمات ؟ 

اول حاجة هي حاول تقوم بتحديث نضام التشغيل ديالك بصفة دورية باش تقوم بتغطية الثغرات وتفادا تخدم بنسخ من انضمة الشتغيل تم رفع الدعم عليها بحال مثلا في ويندوز Windows 7 .

حاول تفادا تقوم بتنصيب برامج غير معروفة المصدر ولا تم التحميل ديالها من اماكن غير رسمية وحاول تحمل الملفات من المواقع الرسمية فقط .

حاول متوقعش ضحية لاساليب الهندسة العكسية فمثلا حطيتي بوسط في فيسبوك محتاج كراك لبرنامج معين وكيوصلك اميل غير معروف وقال هاد الكراك صالح لهاد البرنامج .

حاول تخدم كلمة سر قوية للجهاز ديالك وميكون تا واحد عارفها .

متخليش الحاسوب ديالك مفتوح للناس لي مكتيقش فيهم حيت في ثواني ممكن اتيليشارجي ملف فيه Rootkit ويخدمو في الجهاز .

حاول تفادا البرامج لي ممعروفاش وعندها هاد الامتدادات .bat ولا .vbs  ولا .mdb ولا .wsf ...

الى هنا كنكونو وصلنا للنهاية ديال هاد البوسط كنتمنا تكونو ستافدتو منو ولو معلومة .

والسلام