ما هو RootkitRevealer: كيف يعمل، وكيفية استخدامه، وعلامات Rootkits

إنفورماتيك ديجيتال » أمن » ما هو RootkitRevealer: كيف يعمل، وكيفية استخدامه، وعلامات Rootkits

RootkitRevealer هو أحد تلك الأدوات الأسطورية التي يجب على كل محترف في نظام التشغيل Windows أن يعرفها؛ فقد تم إنشاؤه بواسطة فريق Sysinternals بقيادة Mark Russinovich، وعلى الرغم من ظهوره منذ سنوات، فإنه يظل مرجعًا لفهم كيفية اكتشاف برامج rootkits. التناقضات الناجمة عن برامج الروتكيت بين ما يعرضه النظام وما هو موجود فعليا على القرص.

بخلاف الماسحات الضوئية الأخرى، لا يبحث هذا البرنامج عن التوقيعات أو الأنماط: بل يقارن العرض عالي المستوى لواجهة برمجة تطبيقات Windows بالقراءة الخام منخفضة المستوى للقرص والسجل. تكشف هذه الفكرة البسيطة ظاهريًا عن إمكانية محاولة البرامج الضارة استغلال النظام. إخفاء الملفات أو المفاتيح أو القيم الغش في مسار نداءات النظام.

ما هو RootkitRevealer وما هي الأنظمة التي يعمل عليها؟

إنها أداة متقدمة للكشف عن علامات الروتكت في كل من وضع المستخدم كما في وضع النواةتم إنشاؤه لنظامي التشغيل Windows XP وWindows Server 2003 (32 بت)، ويُدرج عادةً على أنه مجاني باللغة الإنجليزية، ويبلغ حجمه حوالي 231 كيلوبايت؛ كما أشارت العديد من القوائم أيضًا إلى أنه متوافق مع أنظمة التشغيل Windows NT/2000/XP/Vista في ذلك الوقت.

تم إزالة إصدار سطر الأوامر البحت في النهاية لأن بعض مؤلفي البرامج الضارة بدأوا في مراقبة اسم الملف القابل للتنفيذ؛ ولمنع ذلك، يتم تشغيل البرنامج كخدمة من نسخة عشوائية من نفسه، مما يجعل من الصعب اكتشافه بالاسم ويجعل من الصعب توفير واجهة وحدة التحكم 100%.

ما هو الروتكت؟ المفاهيم الأساسية

يشير مصطلح rootkit إلى التقنيات والآليات التي تسمح للبرامج الضارة (الفيروسات وأحصنة طروادة وبرامج التجسس وما إلى ذلك) بالانتشار. إخفاء عن المستخدم وأدوات الأمانهناك العديد من العائلات: الدائمة (تستمر بعد إعادة التشغيل)، والمقيمة في الذاكرة (تختفي عند إعادة التشغيل)، ووضع المستخدم، ووضع النواة، من بين المتغيرات الحديثة الأخرى.

يمكن لبرنامج rootkit في وضع المستخدم اعتراض وظائف مثل FindFirstFile/FindNextFile، أو عدادات النظام الأصلية، لتسريب الإدخالات التي من شأنها الكشف عن ملفاتك أو عملياتك أو مفاتيح التسجيل المعدلةلذلك فإن المستكشف أو موجه الأوامر أو محرر التسجيل لا يرى ما هو موجود بالفعل.

تذهب أدوات الجذر في وضع النواة إلى أبعد من ذلك: بالإضافة إلى اعتراض واجهة برمجة التطبيقات الأصلية، يمكنها التلاعب بشكل مباشر بهياكل النواة، على سبيل المثال عن طريق إزالة عمليتها من قائمة العمليات النشطة بحيث لا يظهر في "إدارة المهام" أو "مستكشف العمليات" حتى لو كان يعمل.

هناك برامج هجينة (جزء منها قائم على المستخدم وجزء آخر على النواة)، وبرامج ثابتة (BIOS/UEFI ومكونات أخرى)، وبرامج تمهيد أو مجموعات تمهيد (MBR/UEFI)، وبرامج افتراضية (تضع نظام التشغيل الحقيقي داخل جهاز افتراضي)، ومجموعات تمهيد للذاكرة (غير دائمة). قد يكون هذا الأخير صعب المنال، بينما تبقى البرامج الثابتة ومجموعات التمهيد موجودة حتى بعد إعادة تثبيت نظام التشغيل. نظام التشغيل من الصفر.

كيف يعمل RootkitRevealer

يُقارن RKR بين لقطتين: عرض واجهة برمجة تطبيقات Windows (مستوى عالٍ) والقراءة الأولية لخلايا وحدة التخزين والسجل على مستوى منخفض. إذا تلاعب برنامج روتكيت باستدعاءات عالية المستوى لإخفاء شيء ما، فسيتم الكشف عن هذا التلاعب لأن ما هو موجود على القرص وفي السجل لا يتطابق مع ما تُشير إليه واجهة برمجة التطبيقات، مما يُولّد التناقضات القابلة للتشخيص.

نظريًا، يمكن لبرنامج rootkit أيضًا محاولة الاختفاء من RootkitRevealer عن طريق اعتراض قراءاته الخام وإعادة كتابة البيانات فورًا. للقيام بذلك، يتطلب معرفة دقيقة بتنسيقات NTFS وFAT وسجل النظام، وتعديل الهياكل دون التسبب في تناقضات أو آثار جانبية واضحة. تعقيد تقني كبير وهو أمر نادرًا ما يُلاحظ. ومع ذلك، لا يوجد "كاشف عالمي" مضمون: حتى التمهيد من بيئة خارجية (على سبيل المثال، باستخدام أفضل توزيعات Linux) يمكن أن يتم تخريبها بواسطة أجهزة مصممة خصيصًا متطور ومستمروفي الممارسة العملية، فإن النهج الأكثر قوة هو الجمع بين التحليل عبر الإنترنت والتحقق دون اتصال بالإنترنت في بيئات موثوقة.

المتطلبات والممارسات الجيدة والتنفيذ

لتشغيل الحساب، يجب أن تكون لديه صلاحيات "نسخ الملفات والمجلدات احتياطيًا" و"تحميل برامج التشغيل" و"صيانة وحدة التخزين" (في نظام التشغيل Windows XP والإصدارات الأحدث، تكون هذه الصلاحيات متاحة افتراضيًا للمسؤولين). لتقليل النتائج الإيجابية الخاطئة، يُنصح بتشغيل الفحص باستخدام النظام في وضع الاستعداد مع عدم فتح أي تطبيقات.

للتشغيل يدويًا، اضغط ببساطة على زر المسح. أثناء العملية، يُبلغ البرنامج عن التقدم ويُدرج أي اختلافات. هناك خياران مُلائمان: "إخفاء الملفات من بيانات تعريف NTFS" (مُفعّل افتراضيًا لعدم عرض بيانات التعريف القياسية المخفية بواسطة NTFS) و"سجل المسح" (مُفعّل افتراضيًا؛ يؤدي إلغاء تحديده إلى تخطي المسح). سجل ويندوز).

بالنسبة للأتمتة، فهو يدعم المعلمات التي تسمح لك بالبدء وتسجيل الدخول والخروج دون تدخل: rootkitrevealer outputfile]. الخيار -a يبدأ وينتهي تلقائيًا؛ -c إخراج النتيجة بصيغة CSV؛ -m يعرض بيانات تعريف NTFS؛ و -r يعطل فحص السجل. يجب أن يكون ملف الإخراج بتنسيق حجم محلي يمكن الوصول إليه.

التنفيذ عن بُعد ممكن باستخدام PsExec. على سبيل المثال: psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log. مع -cلا يتم عرض التقدم ويتم طباعة التناقضات في ملف CSV، مما يجعل الاستيراد أسهل في قواعد البيانات أو البرامج النصية.

تفسير النتائج والتناقضات النموذجية

تُعد اختلافات "المخفية عن واجهة برمجة تطبيقات Windows" أكثر شيوعًا عندما يُخفي برنامج rootkit الإدخالات. إذا لم تُفعّل عرض بيانات تعريف NTFS، فسترى اختلافات لأن NTFS يُخفي ملفاته الداخلية عن واجهة برمجة التطبيقات. $MFT أو $Secureكما تقوم بعض برامج مكافحة الفيروسات بتخزين البيانات في تدفقات بديلة وإخفائها، مما يتسبب في حدوث أخطاء مماثلة.

هذه بعض البيانات الوصفية القياسية المحددة في NTFS (Windows Server 2003): $AttrDef، $BadClus، $BadClus:$Bad، $BitMap، $Boot، $LogFile، $Mft، $MftMirr، $Secure، $UpCase، $Volume، $Extend، $Extend\$Reparse، $Extend\$ObjId، $Extend\$UsnJrnl، $Extend\$UsnJrnl:$Max، $Extend\$Quota.

يربط RKR ثلاثة مصادر في نظام الملفات: واجهة برمجة تطبيقات Windows، وجدول الملفات الرئيسي (MFT)، وفهرس المجلدات على القرص. قد تظهر تركيبات مثل "مرئي في واجهة برمجة التطبيقات ولكنه غير موجود في الفهرس أو جدول الملفات الرئيسي" و"مرئي في جدول الملفات الرئيسي ولكنه غير موجود في واجهة برمجة التطبيقات" وما إلى ذلك، خاصةً إذا تم إنشاء ملف أو حذفه أثناء الفحص وأنتج نافذة عدم الاتساق الزمني.

مثال على الإنشاء أثناء المسح: C:\newfile.txt، بحجم 8 بايت، مع رسالة "مرئية في واجهة برمجة التطبيقات، ولكن ليس في الفهرس أو MFT". لا تشير هذه الحالات بالضرورة إلى برامج روتكيت، بل إلى التغييرات المتزامنة أثناء فحصه.

إذا رأيت رسالة "تم رفض الوصول"، فهناك خطأ ما: يستخدم RootkitRevealer آليات للوصول إلى أي ملف أو دليل أو مفتاح، لذا لا ينبغي أن تظهر هذه الرسالة في الظروف العادية. التنفيذ العادي.

في السجل، توجد عدة تناقضات مثيرة للاهتمام: "طول واجهة برمجة تطبيقات Windows غير متوافق مع البيانات الخام" (محاولة محتملة لإخفاء المحتوى الحقيقي)، "عدم تطابق النوع" (على سبيل المثال، REG_SZ مُعلن عنه ولكنه REG_BINARY)، "اسم المفتاح يحتوي على قيم فارغة مُضمنة" (تقنية معروفة تستغل الفرق بين السلاسل المنتهية بـ NULL والسلاسل ذات العدد). في الحالة الأخيرة، الأداة المساعدة RegDelNull من Sysinternals يساعد في تنظيف المفاتيح ذات القيم NULL المضمنة.

يمكن أن يحدث "عدم تطابق البيانات" إذا تغيرت القيمة أثناء الفحص (على سبيل المثال، أوقات تشغيل SQL Server مثل HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc). يجب عليك التحقق من أن القيمة تنتمي إلى المكونات المشروعة التي تقوم بتحديث البيانات في الوقت الحقيقي.

كانت إحدى الحالات التوضيحية هي برنامج Rootkit الخاص بـ HackerDefender: حيث كانت خدماته وبرامج التشغيل الخاصة به غير مرئية لواجهة برمجة تطبيقات Windows، ولكنها كانت موجودة في القراءة الخام لخلية التسجيل؛ وكان الأمر نفسه ينطبق على ملفاته، والتي لم يتم مسحها ضوئيًا بشكل مباشر بواسطة نظام الملفات. نعم تم اكتشافه على القرص.

الأخطاء والمشاكل الشائعة مع rootkitrevealer.exe في بيئات الطب الشرعي

تسرد بعض أدوات الطب الشرعي (على سبيل المثال WinTaylor) الأخطاء النموذجية المتعلقة بـ rootkitrevealer.exeمثل: "تطبيق Win32 غير صالح"، "غير موجود"، "خطأ في التطبيق"، أو "مشكلة في التشغيل". عادةً ما تظهر هذه الرسائل أثناء التثبيت، أو بدء التشغيل، أو إيقاف تشغيل النظام، أو بسبب تعارضات مع تطبيقات أخرى. طلبات المقيمين.

تشمل الأسباب الأكثر شيوعًا الملفات المفقودة أو التالفة، أو إدخالات التسجيل غير الصحيحة، أو الإصابة بالبرامج الضارة، أو عمليات إلغاء التثبيت غير المكتملة، أو التعارضات مع برامج أخرى. قد يكون السبب إدخال تسجيل تالف، أو حذف غير مقصود بواسطة أداة أخرى، أو فشل التنزيل، أو عدوى سابقة الذي يغير الثنائي.

كفضول للمخزون، توثق بعض القوائم الملف القابل للتنفيذ بحجم تقريبي يبلغ 334.720 بايت و التجزئات مثل SHA‑1 وMD5 (على سبيل المثال SHA‑1 d39e8a3fe92adc7d7fbc5293edf8a7b965484a59، MD5 ee738fe9bcdd605821002cec8c7206db) و CRC32 98b1af0b؛ كما أنها تشير إلى الإصدار 2.1 في تطبيق الحاوية الخاص به وفئة "مجموعة أدوات الطب الشرعي/نظام التشغيل".

طرق الكشف عن الجذور الخفية والاستجابة لها

ليس من السهل دائمًا اكتشاف برامج الجذور الخفية. فإلى جانب الأدوات المحددة، تُستخدم تقنيات مثل تحليل توقيعات التهديدات المعروفة، والمقارنة المباشرة للهياكل، والبحث في الذاكرة عن الثغرات والتعديلات، ومراجعة تفريغات الذاكرة بعد الأعطال، لتحديد... وحدات مشبوهةومن الشائع أيضًا الاعتماد على أنظمة الوقاية (IPS) لحماية الشبكة وتقليل ناقلات العدوى.

من بين الأدوات المساعدة المتخصصة: GMER (العمليات المخفية وتعديلات النواة)، وKaspersky TDSSKiller (خاصةً أدوات تمهيد النواة والجذور الخفية)، وMalwarebytes Anti-Rootkit، وMicrosoft Defender Offline (الفحص قبل بدء تشغيل Windows)، وRogueKiller. شغّلها من محرك أقراص USB محمول. حذاء موثوق أو في الوضع الآمن يقلل من مساحة التهرب.

بالنسبة لتهديدات التمهيد أو البرامج الثابتة، يُنصح باستخدام وسائط الإنقاذ مثل Kaspersky Rescue Disk، واستعادة MBR باستخدام bootrec /fixmbr عند الاقتضاء وفي الحالات الشديدة، قم بتحديث/تحديث BIOS/UEFI إلى إصدار نظيف من الشركة المصنعة للقضاء على استمرارية منخفضة المستوى.

المراقبة باستخدام Sysinternals هي ذهب: Process Monitor (ProcMon) لنشاط العملية والملف، وAutoruns للتحقق مما يتم تحميله عند بدء التشغيل و كاشف الروتكيت للتناقضات عالية/منخفضة المستوى. منصات SIEM مثل Wazuh ويمكن للقياس عن بعد في بيئات الشركات اكتشاف سلوك الشبكة غير المتوقع أو التغييرات في سلامتها.

إذا تم تأكيد الإصابة، فإن التسلسل المعقول هو: فصل الجهاز عن الشبكة، والمسح من البيئة الخارجية، وتقييم سلامة التمهيد/البرامج الثابتة، وإذا لم تكن هناك ضمانات، فقم بعمل نسخة احتياطية للبيانات، ومسح القرص بالكامل (أدوات مثل DBAN) وإعادة التثبيت من الوسائط التي تم التحقق منها، وتمكين التدابير اللاحقة مثل التمهيد الآمن وTPM.

الوقاية: حماية معقولة ضد برامج الروتكت

الوقاية هي الأساس. حافظ على تحديث نظامك، وقم بتصحيح برامج الجهات الخارجية، وتجنب الملفات التنفيذية من مصادر مشبوهة، ولا تستخدم برامج الكسر أو توليد المفاتيح: فهي وسيلة شائعة للتجميع. القطارات والمحملات من أدوات الجذر.

يعطل التشغيل التلقائي لمنفذ USB، ويفحص محركات الأقراص الخارجية قبل فتحها، وفي بيئات العمل، يحدد المنافذ أو يحظرها ويفرضها الجدران النارية عندما يكون ذلك منطقيًا. فهو يعمل مع حسابات المستخدمين غير المخولة، ويطبق مبدأ الحد الأدنى من الامتيازات، ويتطلب بيانات اعتماد المسؤول لإجراء التغييرات الحرجة، مما يقلل من احتمالية تسلقات صامتة.

على الأجهزة المتوافقة، قم بتمكين التشغيل الآمن وTPM من UEFI لحماية سلسلة التمهيد وختم المفتاح. احتفظ بنسخ احتياطية منتظمة غير متصلة بالإنترنت أو ثابتة، واستخدم لقطات/نقاط استعادة لتقصير فترة الاسترداد في حال حدوث أي طارئ. تمكن من التسلل.

كيفية تثبيت أدوات الجذر: القطارات، والمحملات، والمتجهات

غالبًا ما يوزع المهاجمون أدوات الجذر كتهديدات مختلطة: "مُرسِل" يُسلِّم الحزمة، و"مُحمِّل" يستغل الثغرات الأمنية (مثل تجاوزات المخزن المؤقت) لزرع الغرسة في أماكن غير مناسبة. ويتم إخفاء هذا على أنه رسائل البريد الإلكتروني الاحتيالية، المثبتات المزيفة أو التحديثات الاحتيالية.

وتشمل المتجهات الكلاسيكية اختطاف عملاء المراسلة لنشر الروابط الضارة، وإصابة البرامج بأحصنة طروادة على بوابات التنزيل، واستخدام برامج ضارة أخرى كناقلات، والتضمين في مستندات ذات محتوى غني (على سبيل المثال، بعض ملفات PDF) والتي عند فتحها، تؤدي إلى إطلاق الهجوم. قطارة تلقائيا.

علامات الهجوم ودلائل الكشف

الهدف من الروتكت هو جعله "غير ملحوظ". ومع ذلك، يُمكن ملاحظة تغييرات التكوين دون تدخل المستخدم، وانقطاعات الشبكة غير الاعتيادية بسبب حركة مرور خفية، وعمليات غير معروفة، وخدمات لا يمكن إيقافها، وأدوات أمنية. معطل بدون تفسير.

دليل آخر هو تضارب المعلومات بين الأدوات التي تسرد الملفات أو العمليات أو مفاتيح التسجيل بمسارات مختلفة (واجهة برمجة التطبيقات مقابل القراءة الخام). وهنا تبرز أساليب مثل RootkitRevealer: نفس الكائن "الموجود" على القرص و"غير الموجود" لواجهة برمجة التطبيقات. يشير إلى التلاعب.

الأنواع الرئيسية من الروتكت

وضع المستخدم: تعمل هذه البرامج على مستوى العمليات والمكتبات. وهي أكثر استقرارًا وأسهل نسبيًا في الكشف، مع أنها قادرة على إخفاء الملفات والعمليات والمفاتيح. مثال تاريخي كلاسيكي: هاكر ديفيندر.

وضع النواة: يعيشون في المركز، ويتمتعون بسيطرة تامة وسريّة فائقة؛ يصعب القضاء عليهم، ويميلون إلى التسبب في عدم الاستقرار إذا كان تصميمهم سيئًا. أمثلة عائلية: تي دي إل/ألوريون في تطورها.

الهجينة: إنها تجمع بين مكونات المستخدم والنواة لتحقيق التوازن بين التخفي والاستقرار، مما يجعلها شائعة بين المهاجمين بسبب التنوع العملي.

البرامج الثابتة/مجموعات التمهيد: تُصيب هذه البرامج BIOS/UEFI أو قطاع الإقلاع (MBR/UEFI) للتحميل قبل نظام التشغيل. وقد أدت تقنيات مثل Secure Boot إلى إلغاء استخدام العديد من أدوات الإقلاع التقليدية، ولكن ظهرت تقنيات جديدة. غرسات UEFI الحديثة.

الإفتراضي والذاكرة: تقوم VMBRs بتحميل برنامج تشغيل افتراضي أسفل نظام التشغيل وتحويله إلى نظام افتراضي؛ وتوجد الذاكرة فقط في ذاكرة الوصول العشوائي (RAM) وتتبخر عند إعادة التشغيل، وهي مفيدة جدًا لـ العمليات المؤقتة.

أمثلة وتسلسل زمني مميز

في تسعينيات القرن العشرين، تم تطوير أول أدوات rootkits لنظام SunOS؛ وفي عام 1999، وصف جريج هوجلوند NTRootkit (نظام التشغيل Windows، وضع kernel)، وفي عام 2003، هاكر ديفيندر (Windows 2000/XP، وضع المستخدم)، مما دفع إلى الدخول في صراع مع أدوات مثل RootkitRevealer.

في عام 2004، استخدمت ما يسمى بـ"فضيحة ووتر جيت اليونانية" برنامجًا روتكيتًا لاختراق أكثر من 100 هاتف على شبكة GSM؛ وفي عام 2005 تم اكتشاف أن سوني بي إم جي تضمنت بعض الأقراص المضغوطة برنامجًا لمكافحة القرصنة، مما أثار جدلًا أمنيًا كبيرًا.

منذ عام 2008، تطورت أدوات التمهيد مثل TDL (من TDL-1 إلى TDL-4)؛ وفي عام 2009، أظهر "ماشيافيلي" أن نظام التشغيل macOS (الذي كان آنذاك Mac OS X) لم يكن محصنًا أيضًا؛ وفي عام 2010، ستكسنت استخدم مكونات روتكيت لتخريب الأنظمة الصناعية الإيرانية.

في عام 2012 ظهر لهب، وهو برنامج ضار ضخم قابل للتطوير؛ في عام 2018 LoJax أصبح أول برنامج UEFI rootkit يتم اكتشافه في البرية؛ وفي عام 2019، صوت أجش سرقة بيانات الاعتماد المشتركة وتوليد الإيرادات المخفية باستخدام مزارع النقر المستندة إلى المتصفح ملتزمون بشكل جماعي.

المصادر والقراءات الموصى بها

تساعد الأبحاث التي أجراها مارك روسينوفيتش حول قضية سوني ومقالته "Unearthing Rootkits" في Windows IT Pro على فهم الظاهرة والتقنية وراء RKR؛ ويعد كتاب "Rootkits: Subverting the Windows Kernel" من تأليف جريج هوجلوند وجيمي بتلر بمثابة الأطروحة النهائية. التعمق في الموضوع.

يعد أرشيف Phrack، وكتاب "فن البحث عن فيروسات الكمبيوتر والدفاع عنها" لبيتر سزور، وكتاب "البرمجيات الخبيثة: مكافحة التعليمات البرمجية الخبيثة" لإد سكوديس وليني زيلتسر، وسلسلة Windows Internals (الطبعة الرابعة وما بعدها) مواد أساسية لأي شخص يريد الخوض بشكل أعمق في الهندسة المعمارية و إجراءات مضادة جدية.

RootkitRevealer في نظام Sysinternals البيئي

يتعايش RKR مع أدوات Sysinternals الأخرى المفيدة للتحقيق: AccessChk وAccessEnum (الأذونات الفعالة)، وAutoruns (كل شيء يبدأ بالنظام)، وProcess Explorer (من فتح ماذا وبأي DLL)، وPsExec/PsTools (التنفيذ والإدارة عن بعد)، وPsLogList وPsLoggedOn (الأحداث والجلسات)، وSigcheck (التوقيعات الرقمية)، وSDelete (المسح الآمن)، وShareEnum (الموارد المشتركة). سيسمون (القياس عن بعد المتقدم في سجل الأحداث).

من الشائع العثور على إشارات إلى "تنزيل الإصدار 1.71" في المستودعات القديمة، وإلى "تشغيل الآن" عبر Sysinternals Live. على الرغم من قدم المشروع، إلا أن نموذجه النظري - مقارنة الأداء العالي بالمنخفض - لا يزال قائمًا. مفتاح البحث عن الجذور الخفية.

RootkitRevealer هو، قبل كل شيء، درس في الهندسة الدفاعية: إذا كان هناك شيء يتلاعب بما يعيده API، فيجب عليك النظر تحته ومقارنته بما هو موجود بالفعل على القرص وفي السجل؛ باستخدام الممارسات الجيدة والأدوات المناسبة والتحقق دون اتصال بالإنترنت عند الاقتضاء، من الممكن الكشف عن ما يحاول إخفاءه حيث نعتقد أنه موجود. لا أحد سوف ينظر.