BootKits مفهوم و إستراتيجية جديدة لـ Rootkits


من المعروف عند الجميع و من المعتاد هذة الأيام السماع عن الـ Rootkits فيوجد الكثير من هذة البرمجيات الخبيثة  و التى تختلف في انواعها و طرق إصابتها للنظام  و Rootkits اصبح شئ معروف جدا  لدى جميع شركات الحماية  و مكافحة الفيروسات و التى تعمل دائما على التصدى إلى الأنواع الجديدة من Malwares  Spywares , Torjans , Rootkits  و غيرها من البرمجيات الخبيثة .

و لكن قد يكون من الجديد او من النادر ان تسمع عن Bootkits  و هو الجيل الجديد و الأكثر تعقيدا و يمثل اكثر خطورة من Rootkits بمراحل  و كما تعودنا في مجتمع الحماية ان نلقي الضوء دائما على كل ما هو جديد و مفيد للقارئ و المستخدم العربي فسوف نقوم بشرح مبسط و واضح ان شاء اللًه تعالى و التعريف بالـBootkits و مخاطره .

ما هو الـ Bootkit ؟

Bootkit هو إاندماج او مزيج  ما بين “Bootable” + “Rootkit”  او “Bootable Rootkit”  لذلك سمي بالأسم Bootkit و اول من ساعد على التعريف بهذا المصطلح لأول مرة هما باحثين من الهند ” Nitin Kumar   و Vipin Kumar ”  من Nvlabs  و الذين قامو بأول عرض له في  Blackhat 2007 في Europe .

و ظهر بعد ذلك بعض الأنواع  و التطويرات الجديدة  لـBootkits من بعض الباحثين  و الذين قامو  بالأعتماد على نفس الفكرة الأصلية و لكن مع اضافة امكانيات اكثر و دعم لأنظمة اكثر و من هذة الأمثلة “Stoned Bootkit” و “Whistler Bootkit”

دعونا نشرح ببساطة فكرة عمل الـBootkit و إستراتيجيته :

Bootkit ببساطة جدا كما ذكرنا هو عبارة عن Bootable rootkit بمعنى انه روت كيت و لكن يعمل عند اقلاع النظام اي بمعنى انه يقوم بتشغيل نفسة  مصاحبا  للنظام او الـOperating system  فهو يقوم بعملية إستبدال لـBoot Loader بأخر خاص بالـRootkit فيقوم بعملية تشغيل تلقائي او Startup مباشرة من Bios  و يعمل مصاحب لـKernel الخاص بالنظام .

أساليب و مخاطر BootKits

الأمر معقد و ليس بالسهل و كتابة كود  و برمجة Bootkit امر اصعب بكثير من Rootkit و لكنه يعطي امكانيات و قوة و تخفي بشكل أكبر و صعوبة  في الكشف عنه .. الـBootkit يعمل داخل kernel فيجعل الملف الخبيث يعمل بصلاحيات “SYSTEM\NT-AUTHORITY”  الخاص بالنظام و يعطيه جميع صلاحيات النظام  كما يستيطع ايضا العمل حتى اذا كان النظام يعمل تحت تشفير مثل Truecrypt فسوف يقوم بتخطي هذة المشكلة و يعمل بنجاح .

ايضا Bootkit يستيطع تخطي برامج الحماية بشكل تام و يجعل الكود او الملف الخبيث يعمل دون ان يكتشفه برنامج الحماية و يعتبر هذا اكبر خطر يهدده الـ Bootkit  فعلى سبيل المثال اذا تم إستخدام Poison Ivy Rat + Bootkit  سوف تكون النتيجة = عمل بكافة صلاحيات النظام System + تخطي كامل لبرامج الحماية و عدم إكتشافه Poison Ivy عند عمله من برامج الحماية .

و يرجع ذلك لأنه الـBootkit سوف يستخدم اساليب جديدة تمنع برامج الحماية من كشف الملف الخبيث اذ حدثت الإصابة على سبيل المثال لو ذكرنا مثلا “Whistler Bootkit”

  • ييستخدم Ring 0 Loader
  • يجعل Malware Code يعمل بصلاحيات “SYSTEM\NT-AUTHORITY”
  • يعمل ايضا في حالة safe mode الخاص بالـwindows
  • يقوم بتنصيب الملفات الخبيثة على مساحة غير مقسمة او “unpartitioned” على القرص الصلب حيث لا يمكن لبرنامج الحماية او النظام للوصول إليها
  • تخطي تشفير القرص الصلب مثل تشفير TrueCrypt
  • يعمل على جميع بيئات x32 من انظمة وندوز مثل Vista و windows 7

كما نرى خطورة bootkit كبيرة فهي تساعد على تدمير كبير اذا تم إستخدامها في malwares و يصعب إكتشافها بسهولة بالطرق العادية و التقليدية .

و اشهر Bootkits حاليا في وقتنا الحالي هم “Stoned Bootkit” و “Whistler Bootkit” كما يوجد ايضا “vbootkit” و لكن الأخير يعمل فقط على نظام محدد ولا يدعم جميع انظمة الوندوز .

ايضا بعض Bootkits مفتوحة المصدر و الكود المصدري متوفر و متاح مثل Stoned Bootkit من برمجة Peter Kleissner و vbootkit من برمجة الباحثين Nitin Kumar   و Vipin Kumar و يمكن الأطلاع عليهم من الروابط التالية :

  • http://www.stoned-vienna.com
  • http://www.nvlabs.in

ايضا يمكن مراجعة و شرح لتنقية Stoned Bootkit من ملف PDF التالي :

http://www.stoned-vienna.com/downloads/Paper.pdf

كما يوجد بعض من الصور التى توضح كيفية العمل في الرابط السابق الخاص stoned bootkit ..

المراجع :

نبذة عن الكاتب

أحمد ابوالعلا : باحث امن معلومات مصري , متخصص في إختبار نظم الحماية و تجربة الأختراق و مهتم بإختبار تطبيقات الويب, قام باكتشاف العديد من الثغرات في مواقع و شركات عالمية مثل Ebay, Adobe , Apple , Twitter , Yahoo, Microsoft , Google و تم ادراج اسمه عده مرات بحائط الشرف تقديراً لجهوده.

التعليقات:

اترك تعليقاً | عدد التعليقات: (9)

  1. يقول KING SABRI:

    بارك الله فيك يا أحمد ,,

  2. يقول ViRuS_HiMa:

    ما شاء الله موضوع رائع جدا يا أحمد بس يا ريت تذكر طرق برمجة البوت كيت

    واكتر حاجه لفتة إنتباهي في كلامك هي :

    # يقوم بتنصيب الملفات الخبيثة على مساحة غير مقسمة او “unpartitioned” على القرص الصلب حيث لا يمكن لبرنامج الحماية او النظام للوصول إليها..

    قويه جدا بصراحه 😀

    بارك الله فيك وفي إنتظار مزيدك ..

  3. يقول GNOM:

    مشكور يا بطل وكل عام وانت بخير

  4. يقول jago-dz:

    شكراا لك يا اخ واله نوع جديد من الهجوم تسلم

  5. يقول SMOG:

    ما شاء الله شرح رائع, احس مش ممكن يكون للـ Bootkits اغراض سلمية 🙂

  6. يقول M-Elmasry:

    السلام عليكم ورحمة الله

    موضوع ماشاءالله قوى جدا لقد ذكرت فى موضوعك انه يعمل على جميع انظمة windows 32

    فهل معنى ذالك انها لا تعمل على 64 ؟؟

    وياريت توضح ما الهدف بعد اصاحبة جهازك بالبوت كيت وكيف يتم اكتشافة اذا امكن ؟

    تقبل مرورى

  7. يقول المصباحي:

    بسم الله الرحمن الرحيمـ
    انا متابع جديد لهذآ الموقع الفاضل وهذي اول مقاله اقرأها هنا

    انا شاب صغير في مقتبل العمر احب هذي الاشياء التقنيه البرمجيه وطموحي ان اصبح مبرمج
    قريت الموضوع وكلي شغف
    ولكـن طلعت من الموضوع وانا مو فاهم اغلبه
    فالرغم من اهتمامي لهذا المجال الا اني قرأت مصطلحات لأول مرهـ اقرأها في حياتي
    لا اعلمـ اهو عيب مني فأتركـ الموقع وارحل الا ان اتعلمـ ام ماذا

    Stoned Bootkit
    Whistler Bootkit
    Boot Loader
    Bios
    SYSTEM\NT-AUTHORITY
    kernel
    Truecrypt
    Poison Ivy Rat
    Poison Ivy
    safe mode
    unpartitioned
    TrueCrypt
    malwares
    vbootkit
    stoned bootkit

    هذي كلها ما فهمتها

    ثانياً ما فهمت هل الـ Bootkit خيث او لا
    لأنكـ كاتب ان له مطورين .. !! ومعلن عن اسمائهمـ .. !!
    واذا كان خبيث لماذا توجد اسماء ومصادر مفتوحه .. ؟؟
    ام انه سلآح ذو حديين .. ؟؟

    شاكر لكمـ

  8. يقول Rock-Warez:

    […] سابقاً في مقاله منفصلة عن Bootkits و مخاطرها و ماذا يمكن ان تفعل و كم هي معقده و متطورة […]

  9. يقول ياس:

    ما شاء الله مفتوح المصدر والشفرة متوفرة للتحميل وهذا الرابط

    وبعد كل هذا نشتكى من المخاطر

    نعلم الحرامى كيف يسرق ثم نشتكى من السرقة

أكتب تعليق