rootkit ها برنامه هايي هستند که از نظر ساختار کاري بسيار شبيه nt color="red">Trojannt > ها و backdoor ها هستند ولي با اين تفاوت که شناسايي rootkit بسيار مشکلتر از درب هاي پشتي است زيرا rootkit ها علاوه بر اينکه به عنوان يک برنامه کاربردي خارجي مثل شنونده netcat و ابزارهاي درب پشتي مثل sub7 بر روي سيستم اجرا مي شوند بلکه جايگزين برنامه هاي اجرايي مهم سيستم عامل و در گاهي مواقع جايگزين خود هسته کرنل مي شوند و به هکرها اين اجازه را مي دهند که از طريق درب پشتي و پنهان شدن در عمق سيستم عامل به آن نفوذ کنند و مدت زيادي با خيال راحت با نصب ردياب ها ( sniffer ) و ديگر برنامه هاي مانيتورينگ بر روي سيستم اطلاعاتي را که نياز دارند بدست آورند. در دنياي هکرها دو نوع rootkit اصلي وجود دارد که هر کدام تعريف جداگانه اي دارند .

rootkit سنتي:

rootkit هاي سنتي با شناسايي اولين rootkit بسيار قدرتمند در اويل سال 1990 در طول يک دهه گسترش پيدا کردند و تا آنجا پيش رفتند که امروزه انواع مختلفي از rootkit هاي سنتي وجود دارند که به طور عملي خودشان نصب شده و به هکرها اجازه مي دهند که به سرعت سيستم قرباني را فتح کنند . rootkit هاي سنتي براي سيستم عامل هاي مختلف نوشته شده اند ولي به طور سنتي بر روي سيستم هاي يونيکس مثل hp-ux - aix - linux - solaris - sunos و از اين قبيل تمرکز کرده اند . ولي براي ويندوزهاي سرور مثل nt/2000 نيز rootkit هايي نوشته شده اند که جايگزين کتابخانه هاي پيوند پويا ( dll ) شده و يا سيستم را تغيير مي دهند ولي تعداد زيادي از rootkit ها براي سيستم هاي يونيکس نوشته شده اند .
rootkit ها اجازه دسترسي root يا administrator را به ما نمي دهند و ما هنگامي قادر به نصب آنها بر روي يک سيستم هستيم که دسترسي ريشه اي و مدير يک سيستم را توسط روش هاي ديگري مثل سرريز بافر . . . به دست آورده باشيم . بنابراين يک rootkit يک سري ابزارهايي است که با پياده سازي يک درب پشتي ( backdoor ) و پنهان کردن مدارک استفاده از سيستم و ردپاها به هکر اجازه نگهداري دسترسي سطح ريشه را مي دهد .
ساختار کار تروجن ها به اين صورت است که فايلي را در داخل هسته سيستم مثل پوشه system32 اضافه مي کند و اين فايل تمامي پسوردهاي قرباني را log کرده و براي هکر مي فرستد و يا با باز کردن پورتي اجازه ورود هکر را از طريق پورت باز شده مي دهد ولي rootkit هاي سنتي به جاي اينکه فايلي در هسته سيستم قرباني اضافه کنند، سرويسها و فايل هاي اصلي و مهم سيستم عامل قرباني را با يک نسخه تغيير يافته آن که عملياتي مخرب انجام مي دهد جايگزين مي کنند . براي مثال rootkit هاي معروف در سيستم هاي يونيکس برنامه / bin/login را که يکي از اساسي ترين ابزارهاي امنيتي در unix است را با يک نسخه تغيير يافته که شامل يک کلمه عبور درب پشتي براي دسترسي سطح ريشه مي باشد عوض مي کنند . سيستم هاي يونيکس از برنامه / bin/login براي جمع آوري و تست userid هاي کلمات عبور استفاده مي کند .
/ bin/login شناسه کاربري و پسورد تايپ شده توسط کاربر را با فايل پسوردها مقايسه مي کند تا تعيين کند که پسورد داده شده توسط کاربر صحيح است يا خير . اگر پسورد داده شده درست باشد روتين / bin/login به آن user اجازه ورود به سيستم را مي دهد . خب با اين توضيحي که داديم فرض کنيد که يک rootkit اين برنامه را با برنامه نوشته شده خود عوض کند . اگر هکر از پسورد ريشه درب پشتي استفاده کند، برنامه / bin/login تغيير يافته و اجازه دسترسي به سيستم را مي دهد . حتي اگر مدير سيستم پسورد ريشه اصلي را عوض کند، هکر هنوز مي تواند با استفاده از کلمه عبور ريشه درب پشتي به سيستم وارد شود.
بنابراين يک روتين rootkit ، /bin/login يک درب پشتي است زيرا مي تواند براي دور زدن کنترل هاي امنيتي نرمال سيستم مورد استفاده قرار گيرد . علاوه بر آن يک اسب تروا هم هست زيرا فقط چهره آن يک برنامه نرمال و زيباي login است ولي در اصل يک backdoor است . اکثر rootkit ها سرويس ها و برنامه هايي مثل du - find - ifconfig - login - ls - netstat - ps را با rootkit خود جابه جا مي کنند . هر يک از اين برنامه هاي سيستمي با يک اسب ترواي منحصر به فرد جايگزين مي شود که عملکرد آنها شبيه به برنامه عادي است .
همه اين برنامه هاي unix مانند چشم و گوش هاي مديران سيستم مي باشد که تعيين مي کنند چه فايل ها و سرويس هايي در حال اجرا هستند . هکرها با پوشاندن چشم و گوشهاي مديران سيستم که توسط rootkit انجام مي شود مي توانند به صورت موثري حضورشان را در يک سيستم مخفي نگه دارند.
ادامه دارد .....
ارسال مقاله توسط عضو محترم سايت با نام کاربري : sm1372
/س