BootKits مفهوم و إستراتيجية جديدة لـ Rootkits

من المعروف عند الجميع و من المعتاد هذة الأيام السماع عن الـ Rootkits فيوجد الكثير من هذة البرمجيات الخبيثة  و التى تختلف في انواعها و طرق إصابتها للنظام  و Rootkits اصبح شئ معروف جدا  لدى جميع شركات الحماية  و مكافحة الفيروسات و التى تعمل دائما على التصدى إلى الأنواع الجديدة من Malwares  Spywares , Torjans , Rootkits  و غيرها من البرمجيات الخبيثة .

و لكن قد يكون من الجديد او من النادر ان تسمع عن Bootkits  و هو الجيل الجديد و الأكثر تعقيدا و يمثل اكثر خطورة من Rootkits بمراحل  و كما تعودنا في مجتمع الحماية ان نلقي الضوء دائما على كل ما هو جديد و مفيد للقارئ و المستخدم العربي فسوف نقوم بشرح مبسط و واضح ان شاء اللًه تعالى و التعريف بالـBootkits و مخاطره .

ما هو الـ Bootkit ؟

Bootkit هو إاندماج او مزيج  ما بين “Bootable” + “Rootkit”  او “Bootable Rootkit”  لذلك سمي بالأسم Bootkit و اول من ساعد على التعريف بهذا المصطلح لأول مرة هما باحثين من الهند ” Nitin Kumar   و Vipin Kumar ”  من Nvlabs  و الذين قامو بأول عرض له في  Blackhat 2007 في Europe .

و ظهر بعد ذلك بعض الأنواع  و التطويرات الجديدة  لـBootkits من بعض الباحثين  و الذين قامو  بالأعتماد على نفس الفكرة الأصلية و لكن مع اضافة امكانيات اكثر و دعم لأنظمة اكثر و من هذة الأمثلة “Stoned Bootkit” و “Whistler Bootkit”

دعونا نشرح ببساطة فكرة عمل الـBootkit و إستراتيجيته :

Bootkit ببساطة جدا كما ذكرنا هو عبارة عن Bootable rootkit بمعنى انه روت كيت و لكن يعمل عند اقلاع النظام اي بمعنى انه يقوم بتشغيل نفسة  مصاحبا  للنظام او الـOperating system  فهو يقوم بعملية إستبدال لـBoot Loader بأخر خاص بالـRootkit فيقوم بعملية تشغيل تلقائي او Startup مباشرة من Bios  و يعمل مصاحب لـKernel الخاص بالنظام .

أساليب و مخاطر BootKits

الأمر معقد و ليس بالسهل و كتابة كود  و برمجة Bootkit امر اصعب بكثير من Rootkit و لكنه يعطي امكانيات و قوة و تخفي بشكل أكبر و صعوبة  في الكشف عنه .. الـBootkit يعمل داخل kernel فيجعل الملف الخبيث يعمل بصلاحيات “SYSTEM\NT-AUTHORITY”  الخاص بالنظام و يعطيه جميع صلاحيات النظام  كما يستيطع ايضا العمل حتى اذا كان النظام يعمل تحت تشفير مثل Truecrypt فسوف يقوم بتخطي هذة المشكلة و يعمل بنجاح .

ايضا Bootkit يستيطع تخطي برامج الحماية بشكل تام و يجعل الكود او الملف الخبيث يعمل دون ان يكتشفه برنامج الحماية و يعتبر هذا اكبر خطر يهدده الـ Bootkit  فعلى سبيل المثال اذا تم إستخدام Poison Ivy Rat + Bootkit  سوف تكون النتيجة = عمل بكافة صلاحيات النظام System + تخطي كامل لبرامج الحماية و عدم إكتشافه Poison Ivy عند عمله من برامج الحماية .

و يرجع ذلك لأنه الـBootkit سوف يستخدم اساليب جديدة تمنع برامج الحماية من كشف الملف الخبيث اذ حدثت الإصابة على سبيل المثال لو ذكرنا مثلا “Whistler Bootkit”

• ييستخدم Ring 0 Loader
• يجعل Malware Code يعمل بصلاحيات “SYSTEM\NT-AUTHORITY”
• يعمل ايضا في حالة safe mode الخاص بالـwindows
• يقوم بتنصيب الملفات الخبيثة على مساحة غير مقسمة او “unpartitioned” على القرص الصلب حيث لا يمكن لبرنامج الحماية او النظام للوصول إليها
• تخطي تشفير القرص الصلب مثل تشفير TrueCrypt
• يعمل على جميع بيئات x32 من انظمة وندوز مثل Vista و windows 7

كما نرى خطورة bootkit كبيرة فهي تساعد على تدمير كبير اذا تم إستخدامها في malwares و يصعب إكتشافها بسهولة بالطرق العادية و التقليدية .

و اشهر Bootkits حاليا في وقتنا الحالي هم “Stoned Bootkit” و “Whistler Bootkit” كما يوجد ايضا “vbootkit” و لكن الأخير يعمل فقط على نظام محدد ولا يدعم جميع انظمة الوندوز .

ايضا بعض Bootkits مفتوحة المصدر و الكود المصدري متوفر و متاح مثل Stoned Bootkit من برمجة Peter Kleissner و vbootkit من برمجة الباحثين Nitin Kumar   و Vipin Kumar و يمكن الأطلاع عليهم من الروابط التالية :

• http://www.stoned-vienna.com
• http://www.nvlabs.in

ايضا يمكن مراجعة و شرح لتنقية Stoned Bootkit من ملف PDF التالي :

http://www.stoned-vienna.com/downloads/Paper.pdf

كما يوجد بعض من الصور التى توضح كيفية العمل في الرابط السابق الخاص stoned bootkit ..

المراجع :

• http://en.wikipedia.org/wiki/Bootkit#bootkit
• http://www.stoned-vienna.com
• http://www.nvlabs.in
• http://blog.novirusthanks.org/2010/02/whistler-bootkit-a-new-powerful-windows-bootkit