ما هو الجذور الخفية؟ كيف تعمل الجذور الخفية؟ شرح الجذور الخفية.

What Is Rootkit How Do Rootkits Work



تشرح هذه المقالة ماهية فيروس الجذور الخفية ، وكيفية عمل الجذور الخفية وأنواع الجذور الخفية في Windows - النواة والجذور الخفية لوضع المستخدم. وأوضح Bootkit مقابل Rootkit.

الجذور الخفية هي نوع من البرامج التي تسمح للمهاجمين بالتحكم في جهاز كمبيوتر الضحية. يمكن استخدام rootkit للتحكم عن بعد بجهاز الضحية ، أو سرقة البيانات الحساسة ، أو حتى شن هجمات على أجهزة الكمبيوتر الأخرى. يصعب اكتشاف الجذور الخفية وإزالتها ، وغالبًا ما تتطلب أدوات وخبرات خاصة. كيف تعمل الجذور الخفية؟ تعمل الجذور الخفية من خلال استغلال الثغرات الأمنية في نظام التشغيل أو البرنامج. بمجرد تثبيت rootkit ، يمكن استخدامه للوصول إلى جهاز الضحية. يمكن استخدام Rootkits للتحكم عن بعد بجهاز الضحية أو سرقة البيانات الحساسة أو حتى شن هجمات على أجهزة كمبيوتر أخرى. يصعب اكتشاف الجذور الخفية وإزالتها ، وغالبًا ما تتطلب أدوات وخبرات خاصة. ما هي مخاطر الجذور الخفية؟ يمكن استخدام Rootkits للتحكم عن بعد بجهاز الضحية أو سرقة البيانات الحساسة أو حتى شن هجمات على أجهزة كمبيوتر أخرى. يصعب اكتشاف الجذور الخفية وإزالتها ، وغالبًا ما تتطلب أدوات وخبرات خاصة. كيف يمكنني حماية نفسي من الجذور الخفية؟ هناك بعض الأشياء التي يمكنك القيام بها لحماية نفسك من الجذور الخفية. أولاً ، حافظ على تحديث نظام التشغيل والبرامج لديك. سيساعد هذا على إغلاق أي ثغرات يمكن للجذور الخفية استغلالها. ثانيًا ، استخدم أحد برامج مكافحة الفيروسات والبرامج الضارة ذات السمعة الطيبة. يمكن أن تساعد هذه البرامج في الكشف عن الجذور الخفية وإزالتها. أخيرًا ، كن حذرًا بشأن مواقع الويب التي تزورها ومرفقات البريد الإلكتروني التي تفتحها. يمكن أن تنتشر الجذور الخفية من خلال مرفقات البريد الإلكتروني الضارة أو مواقع الويب المصابة.



في حين أنه من الممكن إخفاء البرامج الضارة بطريقة من شأنها أن تخدع حتى منتجات مكافحة الفيروسات / مكافحة برامج التجسس التقليدية ، فإن معظم البرامج الضارة تستخدم بالفعل أدوات rootkits للاختباء بعمق داخل جهاز الكمبيوتر الذي يعمل بنظام Windows ... وهي تزداد خطورة! في Rootkit DL3 - أحد أكثر برامج rootkits تقدمًا في العالم. كان rootkit مستقرًا ويمكن أن يصيب أنظمة تشغيل Windows 32 بت ؛ على الرغم من أن حقوق المسؤول مطلوبة لتثبيت الإصابة على النظام. ولكن تم تحديث TDL3 الآن ويمكن أن تصيب الآن حتى إصدارات 64 بت من Windows !







ما هو الجذور الخفية

فايروس





فيروس الجذور الخفية نوع البرامج الضارة والذي تم تصميمه لإخفاء وجود عمليات أو برامج معينة على جهاز الكمبيوتر الخاص بك عن طرق الكشف التقليدية لمنحه أو لأي عملية ضارة أخرى وصولاً مميزًا إلى جهاز الكمبيوتر الخاص بك.



الجذور الخفية لنظام التشغيل Windows يشيع استخدامها لإخفاء البرامج الضارة ، مثل برامج مكافحة الفيروسات. يتم استخدامه لأغراض ضارة من قبل الفيروسات والديدان والأبواب الخلفية وبرامج التجسس. ينتج عن فيروس مدمج مع rootkit ما يسمى بالفيروسات المخفية بالكامل. تعد الجذور الخفية أكثر انتشارًا في مجال برامج التجسس ، كما يتم استخدامها بشكل متزايد من قبل كتاب الفيروسات.

حاليًا ، هي نوع جديد من برامج التجسس الفائقة التي تخفي بشكل فعال جوهر نظام التشغيل وتؤثر عليه بشكل مباشر. يتم استخدامها لإخفاء وجود كائن ضار على جهاز الكمبيوتر الخاص بك ، مثل أحصنة طروادة أو راصد لوحة المفاتيح. إذا كان التهديد يستخدم تقنية rootkit للاختباء ، فمن الصعب جدًا العثور على برامج ضارة على جهاز الكمبيوتر الخاص بك.

الجذور الخفية نفسها ليست خطيرة. الغرض الوحيد منها هو إخفاء البرنامج والآثار المتبقية على نظام التشغيل. سواء كانت برامج عادية أو برامج ضارة.



هناك ثلاثة أنواع رئيسية من الجذور الخفية. النوع الأول ، الجذور الخفية Kernel »عادة ما تضيف الكود الخاص بها إلى جزء النواة من نظام التشغيل ، بينما النوع الثاني ،« الجذور الخفية لوضع المستخدم »مصمم خصيصًا لنظام التشغيل Windows ليعمل بشكل طبيعي أثناء بدء تشغيل النظام ، أو يتم إدخاله في النظام باستخدام ما يسمى بـ' القطارة '. النوع الثالث هو MBR rootkits أو bootkits .

عندما تجد أن برنامج مكافحة الفيروسات ومكافحة التجسس لديك يتعطل ، فقد تحتاج إلى مساعدة فائدة جيدة لمكافحة الجذور الخفية . Rootkit Revaler من Microsoft Sysinternals هي أداة متقدمة للكشف عن الجذور الخفية. تسرد مخرجاتها عدم تناسق واجهة برمجة تطبيقات التسجيل ونظام الملفات والتي قد تشير إلى وجود وضع المستخدم أو وضع kernel rootkit.

تقرير مركز الحماية من البرامج الضارة لـ Microsoft حول تهديدات الجذور الخفية

أتاح مركز الحماية من البرامج الضارة لـ Microsoft تقرير تهديدات الجذور الخفية للتنزيل. يبحث التقرير في واحدة من أكثر أنواع البرمجيات الخبيثة التي تهدد المنظمات والأفراد اليوم ، وهي rootkit. يستكشف التقرير كيف يستخدم المهاجمون الجذور الخفية وكيف تعمل أدوات الجذور الخفية على أجهزة الكمبيوتر المتأثرة. إليك جوهر التقرير ، بدءًا من الجذور الخفية - للمبتدئين.

الجذور الخفية عبارة عن مجموعة من الأدوات التي يستخدمها المهاجم أو منشئ البرامج الضارة للتحكم في أي نظام غير آمن / غير محمي ، والذي عادة ما يكون محجوزًا لمسؤول النظام. في السنوات الأخيرة ، تم استبدال مصطلح 'ROOTKIT' أو 'ROOTKIT FUNCTIONALITY' ببرنامج MALWARE ، وهو برنامج مصمم ليكون له تأثير غير مرغوب فيه على جهاز كمبيوتر يعمل. تتمثل الوظيفة الرئيسية للبرامج الضارة في استخراج البيانات القيمة والموارد الأخرى سرًا من كمبيوتر المستخدم وتزويدها بالمهاجم ، وبالتالي منحه سيطرة كاملة على الكمبيوتر المخترق. علاوة على ذلك ، يصعب اكتشافها وإزالتها ، ويمكن أن تظل مخفية لفترة طويلة ، ربما سنوات ، إذا تركت دون أن يلاحظها أحد.

لذلك ، بطبيعة الحال ، يجب إخفاء أعراض جهاز الكمبيوتر المخترق وأخذها في الاعتبار قبل أن تكون النتيجة قاتلة. على وجه الخصوص ، يجب اتخاذ تدابير أمنية أكثر صرامة للكشف عن الهجوم. ولكن كما ذكرنا ، بمجرد تثبيت هذه الجذور الخفية / البرامج الضارة ، فإن قدراتها المخفية تجعل من الصعب إزالتها ومكوناتها التي يمكنهم تنزيلها. لهذا السبب ، قامت Microsoft بإنشاء تقرير ROOTKITS.

يصف التقرير المكون من 16 صفحة كيفية استخدام المهاجم للجذور الخفية وكيف تعمل هذه الجذور الخفية على أجهزة الكمبيوتر المتأثرة.

الغرض الوحيد من التقرير هو تحديد البرامج الضارة التي يحتمل أن تكون خطرة والتحقيق فيها بشكل شامل والتي تهدد العديد من المؤسسات ، ولا سيما مستخدمي الكمبيوتر. ويذكر أيضًا بعض عائلات البرامج الضارة الشائعة ويسلط الضوء على الطريقة التي يستخدمها المهاجمون لتثبيت مجموعات الجذور الخفية هذه لأغراضهم الأنانية على الأنظمة السليمة. في بقية التقرير ، ستجد خبراء يقدمون بعض التوصيات لمساعدة المستخدمين على تخفيف التهديد الذي تشكله برامج rootkits.

أنواع الجذور الخفية

هناك العديد من الأماكن حيث يمكن للبرامج الضارة تثبيت نفسها في نظام التشغيل. لذلك يتم تحديد نوع rootkit بشكل أساسي من خلال موقعه حيث يؤدي تخريب مسار التنفيذ. ويشمل:

  1. الجذور الخفية لوضع المستخدم
  2. الجذور الخفية لوضع النواة
  3. MBR rootkits / bootkits

تظهر العواقب المحتملة لاختراق الجذور الخفية في وضع النواة في لقطة الشاشة أدناه.

شريط التمرير السفلي مفقود الكروم

النوع الثالث ، قم بتعديل سجل التمهيد الرئيسي للتحكم في النظام وبدء عملية التمهيد من أقرب نقطة ممكنة في تسلسل التمهيد 3. إنه يخفي الملفات وتغييرات التسجيل وأدلة اتصالات الشبكة والمؤشرات المحتملة الأخرى التي قد تشير إلى وجودها.

عائلات البرامج الضارة المعروفة التي تستخدم ميزات الجذور الخفية

  • Win32 / Sinowal 13 - عائلة متعددة المكونات من البرامج الضارة تحاول سرقة البيانات الحساسة مثل أسماء المستخدمين وكلمات المرور لأنظمة مختلفة. يتضمن ذلك محاولات سرقة بيانات المصادقة للعديد من حسابات FTP و HTTP والبريد الإلكتروني ، بالإضافة إلى بيانات الاعتماد المستخدمة في المعاملات المصرفية عبر الإنترنت والمعاملات المالية الأخرى.
  • Win32 / Cutwail 15- حصان طروادة يقوم بتحميل وتشغيل الملفات العشوائية. يمكن تنفيذ الملفات التي تم تنزيلها من القرص أو إدراجها مباشرة في العمليات الأخرى. بينما تختلف وظائف التنزيلات ، يقوم Cutwail عادةً بتنزيل مكونات البريد العشوائي الأخرى. يستخدم rootkit لوضع kernel ويقوم بتثبيت العديد من برامج تشغيل الأجهزة لإخفاء مكوناته عن المستخدمين المتأثرين.
  • Win32 / روستوك - عائلة متعددة المكونات من أحصنة طروادة الخلفية مع دعم الجذور الخفية ، وهي مصممة أصلاً للمساعدة في نشر البريد الإلكتروني 'البريد العشوائي' من خلال الروبوتات . الروبوتات عبارة عن شبكة كبيرة من أجهزة الكمبيوتر المخترقة التي يتحكم فيها مهاجم.

حماية الجذور الخفية

يعد منع تثبيت برامج الجذور الخفية من أكثر الطرق فعالية لتجنب إصابات الجذور الخفية. للقيام بذلك ، تحتاج إلى الاستثمار في تقنيات الأمان مثل برامج مكافحة الفيروسات وجدران الحماية. يجب أن تتخذ مثل هذه المنتجات نهجًا شاملاً للحماية باستخدام الاكتشاف التقليدي القائم على التوقيع والكشف التجريبي وإمكانيات التوقيع الديناميكية والمتجاوبة ومراقبة السلوك.

يجب تحديث كل مجموعات التوقيع هذه باستخدام آلية التحديث التلقائي. تتضمن حلول Microsoft لمكافحة الفيروسات عددًا من التقنيات المصممة خصيصًا للحماية من الجذور الخفية ، بما في ذلك مراقبة سلوك النواة في الوقت الفعلي ، والتي تكتشف وتبلغ عن محاولات تعديل نواة نظام ضعيف ، والتحليل المباشر لنظام الملفات ، مما يسهل التعرف والإزالة. السائقين المخفيين.

إذا تم اكتشاف تعرض نظام ما للاختراق ، فقد تكون أداة إضافية للتمهيد في بيئة جيدة معروفة أو موثوقة مفيدة ، حيث قد تقترح بعض الإجراءات العلاجية المناسبة.

في مثل هذه الظروف

  1. مدقق النظام دون اتصال (جزء من أدوات التشخيص والاسترداد من Microsoft (DaRT))
  2. يمكن أن يكون Windows Defender Offline مفيدًا.
قم بتنزيل أداة إصلاح الكمبيوتر الشخصي للعثور بسرعة على أخطاء Windows وإصلاحها تلقائيًا

لمزيد من المعلومات ، يمكنك تنزيل التقرير بتنسيق PDF من موقع الويب مركز التنزيل لـ Microsoft.

المشاركات الشعبية