ما هي برامج روتكيت – التعريف والتفسير

تعريف برامج روتكيت ومعناها

برامج روتكيت هي نوع من البرمجيات الضارة المصممة لإعطاء للمخترقين القدرة على الوصول إلى جهاز مستهدف والتحكم في محتواه. ورغم أن معظم برامج روتكيت تؤثر على البرمجيات ونظام التشغيل، يمكن لبعضها أن يؤثر على مكونات الجهاز نفسه والبرامج الثابتة عليه. وتتميز برامج روتكيت بالبراعة العالية في إخفاء مظهرها، لكنها تكون نشطة وهي مخفية كذلك.

تحصل برامج روتكيت على وصول غير مسموح به، وبعدها تفتح الباب أمام المجرمين الإلكترونيين لسرقة البيانات الشخصية والمعلومات المالية، كما تقوم بتثبيت برمجيات ضارة أو تستخدم أجهزة الكمبيوتر على أنه جزء من بوت نت لنشر البرمجيات الضارة والمشاركة في هجمات الحرمان من الخدمات (DDoS).

اسم روتكيت (rootkit) مشتق من نظامي التشغيل يونكس (Unix) ولينكس (Linux) حيث إن حساب المدير الذي يحصل على أعلى المزايا اسمه "الرووت" (root)، والتطبيقات التي تسمح للوصول غير المسموح به بمستوى الرووت إلى الجهاز معروفة باسم "كيت" (kit).

ما هي برامج روتكيت؟

برامج روتكيت هي برامج يستخدمها المجرمون الإلكترونيون في التحكم في جهاز كمبيوتر مستهدف أو شبكة بعينها. يمكن أن تظهر برامج روتكيت أحيانًا على أنها برنامج من قطعة واحدة لكنها في الغالب تكون مكونة من أدوات تتيح للمخترقين الوصول إلى الجهاز المستهدف بمستوى يتمتع بكل الامتيازات.

يمكن للمخترقين تثبيت برامج روتكيت على الأجهزة المستهدفة بعدة طرق:

1. الطريقة الأكثر شيوعًا هي عبر هجمة تصيد احتيالي أو هجمة هندسة اجتماعية أخرى حيث يقوم الضحايا -دون علمهم- بتنزيل وتثبيت برامج ضارة تختفي ضمن عمليات أخرى تعمل على تلك الأجهزة وتعطي للمخترقين القدرة على التحكم في كل شيء في نظام التشغيل.
2. من الطرق الأخرى أن يتم استغلال ثغرة أمنية، أي نقطة ضعف في البرنامج أو نظام التشغيل الذي لم يتم تحديثه ومن ثم إدخال برنامج روتكيت قسرًا إلى جهاز الكمبيوتر.
3. يمكن كذلك جمع البرمجيات الضارة مع ملفات أخرى مثل ملفات PDF المصابة والوسائط المقرصنة والتطبيقات التي يتم الحصول عليها من متاجر خارجية مريبة.

تعمل برامج روتكيت بالقرب من نواة نظام التشغيل أو داخلها، وهذا يعطيها القدرة على إعطاء الأوامر إلى الكمبيوتر، وأي شيء يستخدم نظام تشغيل يعد هدفًا محتملاً لبرامج روتكيت، والتي قد تدخل إلى أجهزة مثل الثلاجات أو منظمات الحرارة مع انتشار إنترنت الأشياء.

يمكن لبرامج روتكيت أن تخفي برامج تسجيل ضربات لوحة المفاتيح وتسجل كل لمسة لك على لوحة المفاتيح دون موافقتك، وهذا يجعل من السهل على المجرمين الإلكترونيين سرقة بياناتك الشخصية، مثل بطاقاتك الائتمانية وبياناتك المصرفية. يمكن كذلك لبرامج روتكيت أن تتيح للمخترقين استخدام جهاز الكمبيوتر لديك في إطلاق هجمات حرمان من الخدمة أو إرسال رسائل بريد إلكتروني عشوائية، كما يمكنها كذلك تعطيل برامج الأمن او إزالتها!

يتم استخدام بعض برامج روتكيت في أغراض قانونية وشرعية، مثل توفير دعم تكنولوجيا المعلومات عن بُعد أو مساعدة الجهات المطبقة للقانون في مهامهم، لكن الأغلب والمنتشر أنه يتم استخدامها في أغراض خبيثة. وما يجعل برامج روتكيت خطيرة للغاية هي الأشكال المتنوعة للبرمجيات الضارة التي يمكن أن تنشرها، والذي يمكن أن يتلاعب بنظام تشغيل الكمبيوتر وتوفير وصول مدير إلى المستخدمين عن بُعد.

أنواع برامج روتكيت

1. برامج روتكيت مكونات الكمبيوتر أو البرامج الثابتة

يمكن أن تؤثر برامج روتكيت مكونات الكمبيوتر أو البرامج الثابتة على القرص الصلب أو جهاز التوجيه (الراوتر) أو نظام بيوس (وهو برمجية مثبتة على رقاقة ذاكرة صغيرة في اللوحة الأم في جهاز الكمبيوتر). بدلاً من استهداف نظام التشغيل لديك، تستهدف برامج روتكيت البرامج الثابتة لجهازك من أجل تثبيت البرمجيات الضارة التي يصعب اكتشافها؛ ولأنها تؤثر على مكونات الكمبيوتر، تسمح تلك البرامج للمخترقين بتسجيل ضربات لوحة المفاتيح وكذلك مراقبة نشاطك على الإنترنت. برامج روتكيت مكونات الكمبيوتر أو البرامج الثابتة أقل شيوعًا من برامج روتكيت الأخرى، لكنها تمثل تهديدًا كبيرًا فيما يتعلق بالأمان على الإنترنت.

2. برامج روتكيت الإقلاع

آلية الإقلاع هي الآلية المسؤولة عن تحميل نظام التشغيل على جهاز الكمبيوتر، وبرامج روتكيت الإقلاع تهاجم هذا النظام وتستبدل نظام الإقلاع الرسمي لجهاز الكمبيوتر بآخر مخترق، ويؤدي هذا إلى تنشيط برنامج روتكيت حتى قبل تحميل نظام التشغيل بالكامل على جهازك.

3. برامج روتكيت الذاكرة

تختبئ برامج روتكيت الذاكرة في ذاكرة الوصول العشوائي في جهاز الكمبيوتر لديك وتستخدم موارد الكمبيوتر في تنفيذ أنشطة ضارة في الخلفية، وهي بهذا تؤثر على ذاكرة الوصول العشوائي في جهازك. ولأنها هذه البرامج لا تعيش إلا في ذاكرة الوصول العشوائي لجهاز الكمبيوتر ولا تعمل على حقن شيفرة دائمة، تختفي برامج روتكيت الذاكرة بمجرد أن تعيد تشغيل النظام، لكن في أحيانٍ قليلة تحتاج إلى فعل خطوات أكثر من ذلك للتخلص منها، كما أن دورة حياتها القصيرة تعني أنها تميل إلى كونها تهديدًا ملحوظًا.

4. برامج روتكيت التطبيقات

برامج روتكيت التطبيقات تحل محل الملفات العادية في جهاز الكمبيوتر لديك مع ملفات برامج الروتكيت، بل قد تعمل حتى على تغيير الطريقة المعتادة لعمل التطبيقات! وبرامج روتكيت هذه تصيب برامج مثل Microsoft Office وNotepad وPaint. يمكن للمهاجمين الحصول على وصول إلى جهاز الكمبيوتر لديك في كل مرة تشغِّل فيها هذه البرامج. ولأن البرامج المصابة تستمر في العمل بشكل عادي، اكتشاف برامج روتكيت يكون صعبًا بالنسبة للمستخدمين، لكن برامج مكافحة الفيروسات يمكن أن تكتشفها بما أن كليهما يعملان على نفس طبقة التطبيقات.

5. برامج روتكيت وضع النواة (كيرنل)

برامج روتكيت وضع النواة/كيرنل من أشد الأنواع خطورة في هذه البرامج حيث إنها تستخدم قلب نظام التشغيل (أي مستوى النواة المعروف باسم كيرنل). يستخدم المخترقون هذا النوع في الوصول إلى الملفات على جهاز الكمبيوتر لديك وكذلك تغيير عمل نظام التشغيل عبر إضافة شفرة عملها الخاصة.

6. برامج روتكيت الافتراضية

برامج روتكيت الافتراضية تحمِّل نفسها تحت نظام التشغيل، وبعدها تستضيف أنظمة التشغيل المستهدفة كجهاز افتراضي، وهذا يتيح لها تفسير قرارات قطع الجهاز والتي يتخذها نظام التشغيل الأصلي. هذا النوع من برامج روتكيت لا يضطر إلى تعديل النواة من أجل تخريب نظام التشغيل، كما يمكن أن يكون اكتشافها صعبًا للغاية.

أمثلة على برامج روتكيت

Stuxnet

أحد أكثر برامج روتكيت الأكثر شهرة في التاريخ هو Stuxnet، وهو دودة كمبيوتر خبيثة تم اكتشافها في 2010، ويوجد اعتقاد أنه تم تطويرها في 2005. تسببت دودة Stuxnet في ضرر كبير للبرنامج النووي الإيراني، وعلى الرغم من عدم اعتراف الولايات المتحدة الأمريكية أو إسرائيل بالمسؤولية عن الأمر، إلا أنه يُعتقد اعتقادًا كبيرًا أنه سلاح سيبراني تم إنشاؤه بشكل مشترك بين الدولتين في جهدٍ تعاوني بينهما معروف باسم الألعاب الأولمبية.

أمثلة كبيرة أخرى على برامج روتكيت:

Flame

اكتشف خبراء الأمن السيبراني Flame في 2012، وهو برنامج روتكيت يتم استخدامه بشكل أساسي في التجسس السيبراني في الشرق الأوسط. Flame معروف بأسماء أخرى مثل Flamer وsKyWIper وSkywiper، وهو يؤثر على كامل نظام تشغيل جهاز الكمبيوتر، وهذا يعطيه القدرة على مراقبة حركة المرور والتقاط لقطات شاشة وتسجيل الصوت وكذلك ضربات لوحة المفاتيح من الجهاز. لم يتم العثور على المخترقين خلف برنامج Flame الضار، لكن تظن الأبحاث أنهم استخدموا 80 خادمًا من ثلاث قارات مختلفة من أجل الوصول إلى أجهزة الكمبيوتر المصابة.

Necurs

ظهر Necurs في 2012 كبرنامج روتكيت، وتفيد التقارير باكتشافه في 83 ألف إصابة ذلك العام! ارتبط Necurs بالمجرمين الإلكترونيين النخبة في أوروبا الشرقية، ويُعد مميزًا بسبب تعقيده التقني وقدرته على التطور.

ZeroAccess

اكتشف خبراء الأمن السيبراني ZeroAccess في 2011، وهو برنامج روتكيت لوضع كيرنل أصاب أكثر من مليوني جهاز كمبيوتر حول العالم. وبدلاً من التأثير بشكل مباشر على عمل أجهزة الكمبيوتر المصابة، يقوم برنامج روتكيت هذا بتنزيل وتثبيت برمجيات ضارة على الجهاز المصاب ويجعله جزءًا من شبكة بوت نت عالمية يستخدمها المخترقون في تنفيذ الهجمات السيبرانية، ولا يزال ZeroAccess نشطًا حتى يومنا هذا.

TDSS

تم اكتشاف برنامج روتكيت TDSS لأول مرة في 2008، وهو مشابه لبرامج روتكيت الإقلاع لأنه يقوم بتحميل وتشغيل نفسه في المراحل المبكرة لنظام التشغيل، وهذا يجعل اكتشافها وحذفها عملية صعبة.

كيفية اكتشاف برامج روتكيت

اكتشاف وجود برنامج روتكيت على جهاز كمبيوتر يمكن أن يكون صعبًا، حيث إن هذا النوع من البرمجيات الضارة مصمم بوضوح كي يبقى مخفيًا. يمكن كذلك لبرامج روتكيت أن تعطِّل برامج الأمان، وهذا يزيد من صعوبة المهمة أكثر وأكثر. ونتيجةً لهذا، يمكن أن تبقى برامج روتكيت الضارة على جهاز الكمبيوتر لديك لمدة طويلة من الوقت وتتسبب في ضرر كبير.

العلامات المحتملة لبرامج روتكيت يمكن أن تشمل ما يلي:

1. الشاشة الزرقاء

عدد كبير من رسائل الخطأ في نظام Windows المعروفة باسم الشاشات الزرقاء المصحوبة بنص (ومعروفة كذلك باسم "شاشة الموت الزرقاء")، وتظهر عندما يكون جهاز الكمبيوتر بحاجة إلى إعادة التشغيل كثيرًا.

2. سلوك غريب لمتصفح الإنترنت

يمكن أن يشمل هذا علامات مرجعية مجهولة أو إعادة توجيه للروابط.

3. بطء أداء الجهاز

قد يستغرق جهازك فترة في البدء ويعمل ببطء أو يقف كثيرًا، كما يفشل في الاستجابة لمدخلات الماوس أو لوحة المفاتيح.

4. تغييرات في إعدادات النظام دون إذن

قد تتضمن الأمثلة تغيير شاشة التوقف أو إخفاء شريط المهام نفسه أو عرض تاريخ ووقت غير صحيحين، بينما أنت في الواقع لم تغير أي شيء.

5. عدم عمل صفحات الإنترنت بشكل صحيح

تظهر صفحات الإنترنت أو أنشطة الشبكة على فترات متقطعة أو لا تعمل بشكل صحيح بسبب وجود حركة مرور زائدة على الشبكة.

البحث عن برامج روتكيت هو أفضل طريقة لاكتشاف الإصابة ببرامج روتكيت، ويمكن لتطبيق مكافحة الفيروسات أن يفعل هذا. إذا كنت تشك في الإصابة بفيروس برنامج روتكيت، فمن طرق اكتشاف هذه الإصابة هي إطفاء الكمبيوتر وإجراء عملية بحث باستخدام نظام تنظيف معروف.

التحليل السلوكي أيضًا من الطرق الأخرى لاكتشاف برامج روتكيت، وهذا يعني أنه بدلاً من البحث عن برنامج روتكيت، ستبحث عن سلوكيات مشابهة لبرامج روتكيت. عمليات الفحص المستهدفة تعمل بشكل جيد إذا كنت تعلم أن النظام يتصرف بشكل غريب بالفعل، لكن قد ينبهك التحليل السلوكي إلى مجموعة أدوات لبرامج روتكيت قبل أن تدرك أنك تتعرض للهجوم.

كيفية التخلص من برامج روتكيت

التخلص من برامج روتكيت عملية معقدة وتتطلب في العادة أدوات مخصصة، مثل أداة TDSSKiller من Kaspersky التي تتمكن من اكتشاف برامج روتكيت من نوع TDSS وإزالتها. أحيانًا تكون الطريقة الوحيدة للتخلص بشكل كامل من برنامج روتكيت مخفي جيدًا هي مسح نظام التشغيل للكمبيوتر وإعادة بنائه من البداية.

كيفية إزالة برنامج روتكيت من على نظام Windows

على نظام Windows، الإزالة عادةً ما تتضمن إجراء عملية فحص؛ وفي حال وجود إصابة عميقة، فإن الطريقة الوحيدة للتخلص من برنامج روتكيت هي عن طريق إعادة تثبيت نظام Windows. من الأفضل فعل هذا عبر جهاز وسائط خارجي بدلاً من استخدام مثبت Windows المدمج، لكن بعض برامج روتكيت تصيب البيوس، وهذا يتطلب منك إصلاحها. أما إذا كنت لا تزال تعاني من برنامج روتكيت بعد الإصلاح، فقد تحتاج إلى الحصول على جهاز كمبيوتر جديد.

كيفية إزالة برامج روتكيت من على جهاز ماك

عليك المحافظة دائمًا على تثبيت أحدث الإصدارات على أجهزة ماك، فتحديثات نظام ماك لا تكتفي بإضافة مزايا جديدة، بل تزيل كذلك البرمجيات الضارة، ومن بينها برامج روتكيت. يوجد مزايا أمنية مدمجة في أجهزة آبل للحماية من البرمجيات الضارة، لكن لا يوجد أدوات اكتشاف برامج روتكيت على نظام التشغيل ماك أو إس، لذلك إذا شككت في وجود برنامج روتكيت على جهازك، يجب عليك إعادة تثبيت نظام ماك أو إس، ففعل هذا يزيل معظم التطبيقات وبرامج روتكيت على جهازك. وكما ذكرنا أعلاه، في حال إصابة برنامج روتكيت للبيوس، سيتطلب الجهاز إصلاحًا؛ وفي حال بقاء برنامج روتكيت بعد الإصلاح، قد تحتاج إلى شراء جهاز جديد.

كيفية الحماية من برامج روتكيت

يمكن أن تكون برامج روتكيت خطيرة وصعب اكتشافها، لذلك من المهم البقاء يقظًا عند تصفح الإنترنت أو تنزيل البرامج. والعديد من الإجراءات الوقائية التي تتخذها لتجنب الإصابة بفيروسات الكمبيوتر تساعد كذلك في تقليل خطر برامج روتكيت:

1. استخدم تطبيق أمن إلكتروني شامل

كن استباقيًا في تأمين أجهزتك وقم بتثبيت تطبيق مكافحة فيروسات شامل ومتقدم. تطبيق Kaspersky Total Security يوفِّر لك حماية كاملة من التهديدات السيبرانية وكذلك يتيح لك إجراء فحوصات بحثًا عن برامج روتكيت.

2. حافظ على التحديثات

التحديثات المستمرة للبرامج ضرورية للغاية في البقاء بأمان ومنع المخترقين من إصابتك ببرمجيات ضارة، لذلك حافظ على تحديث جميع البرامج ونظام التشغيل لديك لتجنب الإصابة بهجمات برامج روتكيت التي تستغل الثغرات الأمنية.

3. كن منتبهًا لحيل الخداع.

الخداع والتصيد من أنواع هجمات الهندسة الاجتماعية حيث يستخدم المخترقون البريد الإلكتروني في خداع المستخدمين من أجل استدراجهم للإدلاء بمعلومات مالية أو تنزيل برامج خبيثة مثل برامج روتكيت. ولمنع برامج روتكيت من اختراق جهازك، تجنب فتح رسائل البريد التي لا تعرف مصدرها، لا سيما إذا كنت لا تعرف المرسل، ولا تفتح أي رابط إذا لم تكن متأكدًا منه.

4. لا تقم بتنزيل الملفات إلا من المصادر الموثوق بها فقط

كن حذرًا عند فتح المرفقات، وتجنب فتح المرفقات الواردة من أشخاص لا تعرفهم من أجل منع برامج روتكيت من التثبيت على جهازك. بالمثل، لا تقم بتنزيل البرامج إلا من المواقع الأصلية المعروفة، ولا تتجاهل تحذيرات متصفحك عندما يخبرك بأن الموقع الإلكتروني الذي تحاول زيارته غير آمن. 

5. كن منتبهًا لسلوك الكمبيوتر أو أدائه

يمكن للمشكلات السلوكية أن تشير إلى وجود إصابة بأحد برامج روتكيت، لذلك كن منتبهًا لأي تغييرات غير متوقعة وحاول العثور على سبب حدوثها.

برامج روتكيت من أصعب أنواع البرمجيات الضارة التي يمكن العثور عليها وإزالتها. ولأن اكتشافها بعد الإصابة بها أمر صعب، فإن الوقاية منها هي أفضل طريقة لحمايتك منها. ولضمان توفير حماية دائمة، لا تتوقف عن معرفة كل شيء عن الهجمات السيبرانية.

مقالات ذات صلة:

• ما هو التصيد الاحتيالي؟
• أنواع البرامج الضارة
• من ينشئ البرامج الضارة؟
• ما هو فيروس حصان طروادة؟