RootKit
RootKitها برنامه هايي هستند كه از نظر ساختار كاري بسيار شبيه Trojan ها و Backdoor ها هستند ولي با اين تفاوت كه شناسايي RootKit بسيار مشكلتر از درب هاي پشتي است زيرا RootKit ها علاوه بر اينكه به عنوان يك برنامه كاربردي خارجي مثل شنونده Netcat و ابزارهاي درب پشتي مثل Sub7 بر روي سيستم اجرا مي شوند بلكه جايگزين برنامه هاي اجرايي مهم سيستم عامل و در گاهي مواقع جايگزين خود هسته كرنل مي شوند و به هكرها اين اجازه را مي دهند كه از طريق درب پشتي و پنهان شدن در عمق سيستم عامل به آن نفوذ كنند و مدت زيادي با خيال راحت با نصب رديابها ( Sniffer ) و ديگر برنامه هاي مانيتورينگ بر روي سيستم اطلاعاتي را كه نياز دارند بدست آورند. در دنياي هكرها دو نوع RootKit اصلي وجود دارد كه هر كدام تعريف جداگانه اي دارند:
1- RootKit سنتي
2- RootKit سطح هسته
Kernel RootKit
RootKit سطح هسته : اين نوع از RootKit ها نسبت به نوع سنتي بسيار حرفه اي تر هستند و از نظر سطح پنهان سازي بسيار پا را فراتر از نوع سنتي گذاشته اند زيرا اين RootKit ها در سطح ريشه پياده سازي مي شوند و اين كار شناسايي و كنترل كردن آنها را بسيار مشكل تر كرده است. RootKit هاي سطح هسته به ما كنترل كاملي از سيستم اصلي و يك امكان قدرتمند براي جايگيري مي دهد. يك هكر با ايجاد تغييرات اساسي در خود هسته، مي تواند سيستم را در سطحي بسيار اساسي كنترل كرده و قدرت زيادي براي دسترسي به درب پشتي و پنهان شدن در ماشين را به دست آورد. خود هسته در حالي كه يك كرنل زيبا و كارآمد به نظر مي رسد تبديل به يك اسب تروا مي شود و در حقيقت Kernel فاسد مي شود ولي صاحب سيستم از اين موضوع بي خبر مي ماند. درحالي كه يك RootKit سنتي جايگزين برنامه هاي سيستمي حياتي مثل برنامه هاي ifconfig - ls ... مي شود ، يك RootKit سطح هسته در حقيقت جايگزين هسته مي شود و يا آن را تغيير مي دهد. تمامي فايل ها - دستورها - پردازشها و فعاليت هاي شبكه اي در سيستم آلوده به RootKit هسته پنهان مي شوند و تمامي اعمال به سود هكر ضبط مي شود. اغلب RootKit هاي سطح ريشه توسطLKM ها پياده سازي مي شوند. نصب RootKit هاي سطح هسته اي كه توسطLKM ها پياده سازي شده باشد، بسيار راحت است. براي مثال براي نصبKnrak Rootkit كه براي هسته لينوكس نوشته شده است، يك هكر كه با Account سطح ريشه يا همان Root به آن سيستم وصل است تنها كافي است insmod knark.o, را تايپ كند و ماژول نصب مي شود و منتظر دستورات هكر مي ماند و حتي نيازي به بوت كردن دوباره سيستم هم ندارد. RootKit هاي سطح هسته براي ويندوز NT هم وجود دارند كه يك Patch را بر روي خود هسته اجرايي ويندوز NT بدون استفاده ازLKM ها اعمال مي كند. چند تا از معروف ترين RootKit هاي سطح هسته Knrak و Adore براي سيستم هاي لينوكس ، Plasmoid براي سيستم هاي Solaris و RootKit سطح هسته ويندوز NT براي سيستم هاي سرور ويندوز نام دارند كه همگي در لينك RootKit در سايت آشيانه براي اعضاي سايت قرار داده شده اند. راه هاي مقابله با RootKit هاي سنتي و RootKit هاي سطح هسته مهمترين راه دفاع در برابر RootKit ها اجازه ندادن به هكرها در دسترسي به حساب مدير است. همانطور كه در بالا ذكر شد يك هكر براي نصب يك RootKit بايد دسترسي سطح ريشه داشته باشد و اگر ما بتوانيم هميشه راه هاي نفوذ و آسيب هاي جديد سيستم عاملمان را شناسايي و آنها را از بين ببريم شانس دستيابي هكر به حساب ريشه سيستم خود را تقريباً به صفر رسانده ايم. در مرحله بعد اگر فرض كنيم كه با بي احتياطي ما ، هكري توانست بر روي سيستم ما RootKit نصب كند، يكي از راه هاي تست اين كه سيستم ما RootKit شده است يا خير استفاده از دستورEcho است. تعداد بسيار كمي از RootKit ها ، دستور echo را كه براي ليست كردن محتويات يك دايركتوري مي باشد تروا مي كنند و اكثر RootKit ها بر روي تروا كردن ls تمركز كرده اند. به همين دليل echo يك ليست قانوني از محتويات يك دايركتوري را برمي گرداند و اگر نتيجه اي كه echo بر مي گرداند با چيزي كه دستور ls براي دايركتوري داده شده نشان مي دهد متفاوت باشد ممكن است چيزي در آن دايركتوري پنهان شده باشد كه اين نتيجه را مي رساند كه سيستم شما RootKit شده است. ولي در كل اين روش زياد موثر نيست چون جستجوي تمام سيستم فايل براي يافتن هر اختلافي بين فايل هاي ليست شده در خروجي Echo و ls وقت زيادي را صرف مي كند. امروزه ابزارهاي مختلفي براي آناليز برنامه Rootkit/bin/login وجود دارد كه مشخص مي كنند آيا RootKit شناخته شده اي نصب شده است يا خير. اين ابزارها وقتي كه بر روي سيستم نصب مي شوند به صورت دوره اي فايل هاي مهم بر روي سيستم را مثل /bin/login چك مي كنند تا از وجود RootKit باخبر شوند كه برنامه ChRootkit ابزاري جالب در اين زمينه است ولي دركل بهترين راه دفاع در برابر RootKit ها استفاده از تكنولوژي اثر انگشت ديجيتالي قوي مي باشد تا به صورت دوره اي درستي فايل هاي سيستم بحراني را تحقيق نمايد. MD5 ( يك تابع درهم ساز يك طرفه ) يك الگوريتم بسيار مناسب براي محاسبه اين نوع اثر انگشتهاي قوي مي باشد. با محاسبه يك اثر انگشت Encrypt شده قوي براي فايل هاي سيستمي مهم يك هكر قادر نخواهد بود كه فايلي را تغيير داده و با همان اثر انگشت وارد شود.TripWire يك ابزار قوي براي تست صحت است كه در سايت آشيانه براي دانلود قرار داده شده است. TripWire درهم سازي MD5 اي از فايل هاي بحراني مثل/etc/passwd/bin/login - ls - ps و ... ساخته و به صورت دوره اي اين درهم سازي را با يك پايگاه داده اي امن مقايسه مي كند. در صورت تغيير در MD5 يك سرويس سريع به مدير سيستم اطلاع مي دهد. همچنين در RootKit هاي سطح هسته Scan پورت ها در شبكه كه با استفاده از ابزارهايي مثل Nmap صورت گيرد پورت هاي شنونده را به مدير امنيتي سيستم نشان خواهد داد. به همين دليل پويش دوره اي سيستم در طول شبكه براي پيدا كردن رد RootKit بسيار مفيد است. در آخر ذكر اين نكته لازم است كه اگر سيستم شما با تمام اين ملاحظات آلوده به RootKit شد بهترين راه از بين بردن آن فرمت هسته و نصب مجدد سيستم عامل است.
Traditional RootKit
RootKit سنتي RootKit هاي سنتي با شناسايي اولين RootKit بسيار قدرتمند در اويل سال 1990 در طول يك دهه گسترش پيدا كردند و تا آنجا پيش رفتند كه امروزه انواع مختلفي از RootKit هاي سنتي وجود دارند كه به طور عملي خودشان نصب شده و به هكرها اجازه مي دهند كه به سرعت سيستم قرباني را فتح كنند. RootKit هاي سنتي براي سيستم عامل هاي مختلف نوشته شده اند ولي به طور سنتي بر روي سيستم هاي يونيكس مثلHP-UX - AIX - Linux - Solaris - SunOS و از اين قبيل تمركز كرده اند. ولي براي ويندوزهاي سرور مثل NT/2000 نيز RootKit هايي نوشته شده اند كه جايگزين كتابخانه هاي پيوند پويا ( DLL ) شده و يا سيستم را تغيير مي دهند ولي تعداد زيادي از RootKit ها براي سيستم هاي يونيكس نوشته شده اند. RootKit ها اجازه دسترسي Root يا Administrator را به ما نمي دهند و ما هنگامي قادر به نصب آْنها بر روي يك سيستم هستيم كه دسترسي ريشه اي و مدير يك سيستم را توسط روش هاي ديگري مثل سرريز بافر ... به دست آورده باشيم. بنابراين يك RootKit يك سري ابزارهايي است كه با پياده سازي يك درب پشتي ( Backdoor ) و پنهان كردن مدارك استفاده از سيستم و ردپاها به هكر اجازه نگهداري دسترسي سطح ريشه را مي دهد. ساختار كار تروجن ها به اين صورت است كه فايلي را در داخل هسته سيستم مثل پوشه System32 اضافه مي كند و اين فايل تمامي پسوردهاي قرباني را Log كرده و براي هكر مي فرستد و يا با باز كردن پورتي اجازه ورود هكر را از طريق پورت باز شده مي دهد ولي RootKit هاي سنتي به جاي اينكه فايلي در هسته سيستم قرباني اضافه كنند، سرويسها و فايل هاي اصلي و مهم سيستم عامل قرباني را با يك نسخه تغيير يافته آن كه عملياتي مخرب انجام مي دهد جايگزين مي كنند. براي مثال RootKit هاي معروف در سيستم هاي يونيكس برنامه /bin/loginرا كه يكي از اساسي ترين ابزارهاي امنيتي در Unix است را با يك نسخه تغيير يافته كه شامل يك كلمه عبور درب پشتي براي دسترسي سطح ريشه مي باشد عوض مي كنند. سيستم هاي يونيكس از برنامه /bin/login براي جمع آوري و تست UserID هاي كلمات عبور استفاده مي كند. /bin/login شناسه كاربري و پسورد تايپ شده توسط كاربر را با فايل پسوردها مقايسه مي كند تا تعيين كند كه پسورد داده شده توسط كاربر صحيح است يا خير. اگر پسورد داده شده درست باشد روتين /bin/loginبه آن User اجازه ورود به سيستم را مي دهد. خب با اين توضيحي كه داديم فرض كنيد كه يك RootKit اين برنامه را با برنامه نوشته شده خود عوض كند. اگر هكر از پسورد ريشه درب پشتي استفاده كند، برنامه /bin/login تغيير يافته و اجازه دسترسي به سيستم را مي دهد. حتي اگر مدير سيستم پسورد ريشه اصلي را عوض كند، هكر هنوز مي تواند با استفاده از كلمه عبور ريشه درب پشتي به سيستم وارد شود. بنابراين يك روتين RootKit ، /bin/login يك درب پشتي است زيرا مي تواند براي دور زدن كنترل هاي امنيتي نرمال سيستم مورد استفاده قرار گيرد. علاوه بر آن يك اسب تروا هم هست زيرا فقط چهره آن يك برنامه نرمال و زيباي Login است ولي در اصل يك Backdoor است. اكثر RootKit ها سرويس ها و برنامه هايي مثل DU - Find - Ifconfig - Login - ls - Netstat - ps را با RootKit خود جابه جا مي كنند. هر يك از اين برنامه هاي سيستمي با يك اسب ترواي منحصر به فرد جايگزين مي شود كه عملكرد آنها شبيه به برنامه عادي است. همه اين برنامه هاي Unix مانند چشم و گوش هاي مديران سيستم مي باشد كه تعيين مي كنند چه فايل ها و سرويس هايي در حال اجرا هستند. هكرها با پوشاندن چشم و گوشهاي مديران سيستم كه توسط RootKit انجام مي شود مي توانند به صورت موثري حضورشان را در يك سيستم مخفي نگه دارند. linux RootKit 5 ( lrk5 ) و Tornkit دو نمونه از RootKit هاي سنتي هستند كه براي سيستم هاي Linux و Solaris نوشته شده اند و در سايت آشيانه مي توانيد اين RootKit ها را پيدا كنيد. اين RootKit ها به محض نصب شدن در سيستم قرباني خود را با سرويس هاي حياتي و مهم سيستم عامل كه در بالا ذكر شد جايگزين مي كنند.
برگرفته از سايت iritn
