BootKits مفهوم و إستراتيجية جديدة لـ Rootkits
الكاتب: أحمد ابوالعلا | يوم: 07 سبتمبر, 2010 | التعليقات: 10 | القراءات: - عدد المشاهدات 22٬384
من المعروف عند الجميع و من المعتاد هذة الأيام السماع عن الـ Rootkits فيوجد الكثير من هذة البرمجيات الخبيثة و التى تختلف في انواعها و طرق إصابتها للنظام و Rootkits اصبح شئ معروف جدا لدى جميع شركات الحماية و مكافحة الفيروسات و التى تعمل دائما على التصدى إلى الأنواع الجديدة من Malwares Spywares , Torjans , Rootkits و غيرها من البرمجيات الخبيثة .
و لكن قد يكون من الجديد او من النادر ان تسمع عن Bootkits و هو الجيل الجديد و الأكثر تعقيدا و يمثل اكثر خطورة من Rootkits بمراحل و كما تعودنا في مجتمع الحماية ان نلقي الضوء دائما على كل ما هو جديد و مفيد للقارئ و المستخدم العربي فسوف نقوم بشرح مبسط و واضح ان شاء اللًه تعالى و التعريف بالـBootkits و مخاطره .
ما هو الـ Bootkit ؟
Bootkit هو إاندماج او مزيج ما بين “Bootable” + “Rootkit” او “Bootable Rootkit” لذلك سمي بالأسم Bootkit و اول من ساعد على التعريف بهذا المصطلح لأول مرة هما باحثين من الهند ” Nitin Kumar و Vipin Kumar ” من Nvlabs و الذين قامو بأول عرض له في Blackhat 2007 في Europe .
و ظهر بعد ذلك بعض الأنواع و التطويرات الجديدة لـBootkits من بعض الباحثين و الذين قامو بالأعتماد على نفس الفكرة الأصلية و لكن مع اضافة امكانيات اكثر و دعم لأنظمة اكثر و من هذة الأمثلة “Stoned Bootkit” و “Whistler Bootkit”
دعونا نشرح ببساطة فكرة عمل الـBootkit و إستراتيجيته :
Bootkit ببساطة جدا كما ذكرنا هو عبارة عن Bootable rootkit بمعنى انه روت كيت و لكن يعمل عند اقلاع النظام اي بمعنى انه يقوم بتشغيل نفسة مصاحبا للنظام او الـOperating system فهو يقوم بعملية إستبدال لـBoot Loader بأخر خاص بالـRootkit فيقوم بعملية تشغيل تلقائي او Startup مباشرة من Bios و يعمل مصاحب لـKernel الخاص بالنظام .
أساليب و مخاطر BootKits
الأمر معقد و ليس بالسهل و كتابة كود و برمجة Bootkit امر اصعب بكثير من Rootkit و لكنه يعطي امكانيات و قوة و تخفي بشكل أكبر و صعوبة في الكشف عنه .. الـBootkit يعمل داخل kernel فيجعل الملف الخبيث يعمل بصلاحيات “SYSTEM\NT-AUTHORITY” الخاص بالنظام و يعطيه جميع صلاحيات النظام كما يستيطع ايضا العمل حتى اذا كان النظام يعمل تحت تشفير مثل Truecrypt فسوف يقوم بتخطي هذة المشكلة و يعمل بنجاح .
ايضا Bootkit يستيطع تخطي برامج الحماية بشكل تام و يجعل الكود او الملف الخبيث يعمل دون ان يكتشفه برنامج الحماية و يعتبر هذا اكبر خطر يهدده الـ Bootkit فعلى سبيل المثال اذا تم إستخدام Poison Ivy Rat + Bootkit سوف تكون النتيجة = عمل بكافة صلاحيات النظام System + تخطي كامل لبرامج الحماية و عدم إكتشافه Poison Ivy عند عمله من برامج الحماية .
و يرجع ذلك لأنه الـBootkit سوف يستخدم اساليب جديدة تمنع برامج الحماية من كشف الملف الخبيث اذ حدثت الإصابة على سبيل المثال لو ذكرنا مثلا “Whistler Bootkit”
- ييستخدم Ring 0 Loader
- يجعل Malware Code يعمل بصلاحيات “SYSTEM\NT-AUTHORITY”
- يعمل ايضا في حالة safe mode الخاص بالـwindows
- يقوم بتنصيب الملفات الخبيثة على مساحة غير مقسمة او “unpartitioned” على القرص الصلب حيث لا يمكن لبرنامج الحماية او النظام للوصول إليها
- تخطي تشفير القرص الصلب مثل تشفير TrueCrypt
- يعمل على جميع بيئات x32 من انظمة وندوز مثل Vista و windows 7
كما نرى خطورة bootkit كبيرة فهي تساعد على تدمير كبير اذا تم إستخدامها في malwares و يصعب إكتشافها بسهولة بالطرق العادية و التقليدية .
و اشهر Bootkits حاليا في وقتنا الحالي هم “Stoned Bootkit” و “Whistler Bootkit” كما يوجد ايضا “vbootkit” و لكن الأخير يعمل فقط على نظام محدد ولا يدعم جميع انظمة الوندوز .
ايضا بعض Bootkits مفتوحة المصدر و الكود المصدري متوفر و متاح مثل Stoned Bootkit من برمجة Peter Kleissner و vbootkit من برمجة الباحثين Nitin Kumar و Vipin Kumar و يمكن الأطلاع عليهم من الروابط التالية :
- http://www.stoned-vienna.com
- http://www.nvlabs.in
ايضا يمكن مراجعة و شرح لتنقية Stoned Bootkit من ملف PDF التالي :
http://www.stoned-vienna.com/downloads/Paper.pdf
كما يوجد بعض من الصور التى توضح كيفية العمل في الرابط السابق الخاص stoned bootkit ..
المراجع :
أحمد ابوالعلا : باحث امن معلومات مصري , متخصص في إختبار نظم الحماية و تجربة الأختراق و مهتم بإختبار تطبيقات الويب, قام باكتشاف العديد من الثغرات في مواقع و شركات عالمية مثل Ebay, Adobe , Apple , Twitter , Yahoo, Microsoft , Google و تم ادراج اسمه عده مرات بحائط الشرف تقديراً لجهوده.
التعليقات:
اترك تعليقاً | عدد التعليقات: (10)
بارك الله فيك يا أحمد ,,
ما شاء الله موضوع رائع جدا يا أحمد بس يا ريت تذكر طرق برمجة البوت كيت
واكتر حاجه لفتة إنتباهي في كلامك هي :
# يقوم بتنصيب الملفات الخبيثة على مساحة غير مقسمة او “unpartitioned” على القرص الصلب حيث لا يمكن لبرنامج الحماية او النظام للوصول إليها..
قويه جدا بصراحه 😀
بارك الله فيك وفي إنتظار مزيدك ..
مشكور يا بطل وكل عام وانت بخير
شكراا لك يا اخ واله نوع جديد من الهجوم تسلم
ما شاء الله شرح رائع, احس مش ممكن يكون للـ Bootkits اغراض سلمية 🙂
السلام عليكم ورحمة الله
موضوع ماشاءالله قوى جدا لقد ذكرت فى موضوعك انه يعمل على جميع انظمة windows 32
فهل معنى ذالك انها لا تعمل على 64 ؟؟
وياريت توضح ما الهدف بعد اصاحبة جهازك بالبوت كيت وكيف يتم اكتشافة اذا امكن ؟
تقبل مرورى
بسم الله الرحمن الرحيمـ
انا متابع جديد لهذآ الموقع الفاضل وهذي اول مقاله اقرأها هنا
انا شاب صغير في مقتبل العمر احب هذي الاشياء التقنيه البرمجيه وطموحي ان اصبح مبرمج
قريت الموضوع وكلي شغف
ولكـن طلعت من الموضوع وانا مو فاهم اغلبه
فالرغم من اهتمامي لهذا المجال الا اني قرأت مصطلحات لأول مرهـ اقرأها في حياتي
لا اعلمـ اهو عيب مني فأتركـ الموقع وارحل الا ان اتعلمـ ام ماذا
Stoned Bootkit
Whistler Bootkit
Boot Loader
Bios
SYSTEM\NT-AUTHORITY
kernel
Truecrypt
Poison Ivy Rat
Poison Ivy
safe mode
unpartitioned
TrueCrypt
malwares
vbootkit
stoned bootkit
هذي كلها ما فهمتها
ثانياً ما فهمت هل الـ Bootkit خيث او لا
لأنكـ كاتب ان له مطورين .. !! ومعلن عن اسمائهمـ .. !!
واذا كان خبيث لماذا توجد اسماء ومصادر مفتوحه .. ؟؟
ام انه سلآح ذو حديين .. ؟؟
شاكر لكمـ
[…] سابقاً في مقاله منفصلة عن Bootkits و مخاطرها و ماذا يمكن ان تفعل و كم هي معقده و متطورة […]
ما شاء الله مفتوح المصدر والشفرة متوفرة للتحميل وهذا الرابط
وبعد كل هذا نشتكى من المخاطر
نعلم الحرامى كيف يسرق ثم نشتكى من السرقة
that’s great brooo thanks