معالجة كائنات النواة المباشرة

يعد التلاعب المباشر بكائنات النواة (DKOM) أسلوبًا شائعًا من أساليب التجسس الجذرية لنظام التشغيل Microsoft Windows لإخفاء العمليات والبرامج والملفات والاتصالات الوسيطة التي يحتمل أن تكون ضارة من جهات خارجية عن مدير المهام ومجدول الأحداث .

ملخص

في جوهرها، تخفي برامج التجسس التي تستخدم DKOM نفسها عن مدير الكائنات أو مدير المهام . من خلال تعديل القائمة المرتبطة التي تحتوي على قائمة بجميع الخيوط والعمليات النشطة، يمكن لهذا النوع من برامج التجسس إخفاء جميع آثارها عن مدير الكائنات عن طريق تغليف المؤشر بعيدًا عن برنامج التجسس نفسه. هذا ممكن لأن وحدات النواة وبرامج التشغيل القابلة للتحميل تتمتع بوصول مباشر إلى ذاكرة النواة من خلال صلاحياتها المميزة. عندما تقوم نواة النظام بفحص قائمة جميع العمليات الجارية في النظام، فإنها تعتمد على EPROCESS للعثور عليها. ومع ذلك، نظرًا لأن نواة ويندوز تعتمد على الخيوط وليس العمليات، يمكن تعديل المؤشرات بحرية دون أي آثار جانبية غير مقصودة. [ 1 ] من خلال تعديل مؤشرات القائمة المرتبطة لتغليف عملية برنامج التجسس نفسها، يصبح برنامج التجسس غير مرئي لعارض أحداث ويندوز وأي تطبيقات سلامة النظام التي تعتمد على هذه القائمة. هذا يسمح لبرامج التجسس التي تستخدم DKOM بالسيطرة الكاملة على النظام المستهدف.

استخدامات DKOM [ 2 ]

  • إخفاء العملية
  • إخفاء السائقين
  • موانئ مخفية
  • ارفع مستوى امتيازات الخيوط والعمليات
  • الطب الشرعي المنحرف
  • التحكم الكامل في النظام

الاختباء من مدير الكائنات

تُمثَّل كل عملية ككائن، وترتبط العمليات ببعضها البعض في نظام التشغيل. تحتوي كل عملية على مساحة مُخصصة مسبقًا تتضمن عنوان الخيط الحالي، والخيط التالي، والخيط المُقفل بواسطة mutex. تُدرج هذه المعلومات الحيوية في EPROCESS في الذاكرة؛ ويحتوي قسم مدير الكائنات على قائمة مرتبطة ثنائيًا بجميع العمليات المعروفة قيد التشغيل، والمعروفة أيضًا باسم EPROCESS. مع ذلك، تستفيد DKOM من هذا الهيكل بتعديل الرابط الأمامي (FLINK) ليشير إلى العقدة السابقة للمعالج المراد إخفاؤه، وتوجيه الرابط الخلفي (BLINK) للمعالج المخفي إلى الهيكل السابق. [ 3 ] بتعديل جزء فرعي من كتلة EPROCESS، تُشير قائمة العمليات النشطة حاليًا حول العملية المخفية. هذا يُخفي بشكل أساسي أي أثر لعملية أو مُحقن معين من تدقيق المُجدول لأن العملية مخفية؛ ومع ذلك، فإنها تعمل إلى أجل غير مسمى لأن الخيط الذي تنتمي إليه نشط بسبب سياسة التوزيع الدوري. [ 2 ]

تكمن المشكلة الرئيسية في هذا النوع من برامج التجسس الخبيثة في قدرة العمليات المخفية على الاستمرار في العمل رغم عمليات تبديل السياق المتعددة. [ 3 ] في مُجدول مهام ويندوز، تُفصل الخيوط لتنفيذ المهام، وليس العمليات. بل يقوم الخيط الواحد باستدعاء عدة عمليات خلال فترة زمنية محددة. وتُتحكم هذه العملية من خلال آلية التوزيع الدوري للمُجدول، حيث تُوضع الخيوط في وضع الخمول لإتاحة الفرصة لخيوط أخرى للعمل. ورغم أن العملية تصبح غير مرئية لمدير المهام، إلا أنها تستمر في العمل بالتزامن مع النظام لأن الخيوط تكون نشطة. [ 4 ] وهذا ما يجعل اكتشاف العمليات المخفية التي يُنشئها برنامج التجسس الخبيث أمرًا بالغ الصعوبة.

كشف

يُقسّم اكتشاف برامج التجسس الخفية (rootkits) إلى طبقات معقدة متعددة تشمل فحص سلامة النظام والكشف عن السلوكيات الضارة. تستطيع أدوات مكافحة الفيروسات البسيطة اكتشاف برامج التجسس الخفية الشائعة من خلال فحص استخدام وحدة المعالجة المركزية ، وحركة مرور الشبكة الجارية والصادرة ، أو توقيعات برامج التشغيل . إلا أن هذا لا ينطبق على برامج التجسس الخفية من نوع النواة. فبسبب قدرة هذه الأنواع من برامج التجسس الخفية على الاختفاء من جدول النظام وعارض الأحداث، يتطلب اكتشافها البحث عن الدوال المُعدّلة . وهذا ليس صعب التنفيذ فحسب، بل يتطلب أيضًا المرور على كل عقدة في عملية EPROCESS. ومع ذلك، حتى وإن لم تكن أي عمليات ضارة موجودة فعليًا في المعالج، إلا أنها تُستدعى في الخلفية. تشير هذه العمليات إلى سلاسل العمليات، وتشير اتصالات الشبكة إلى العمليات، وتشير برامج التشغيل إلى سلاسل العمليات. ولكي يكون برنامج التجسس الخفي من نوع DKOM فعالًا، يجب أن يُخفي وجوده عن كل مرجع في عملية EPROCESS. [ 5 ] وهذا يعني أن برنامج التجسس الخفي يجب أن يُحدّث بشكل دوري أي روابط لتشير بعيدًا عنه. من خلال المرور على كل عنصر في جدولة المهام (الخيوط، رؤوس الكائنات، إلخ)، يصبح من الممكن اكتشاف برنامج DKOM الخبيث. قد تظهر أنماط أو سلوكيات معينة في الذاكرة في جدولة المهام، وإذا تم العثور على أحدها، فمن الممكن في النهاية العثور على البرنامج الخبيث نفسه. [ 5 ]

انظر أيضاً

مراجع

  1. https://www.blackhat.com/presentations/win-usa-04/bh-win-04-butler.pdf بتلر، جيمي. DKOM، HBGary. تم الاطلاع عليه بتاريخ 14/5/2014.
  2. ١ ٢ http://bsodtutorials.blogspot.com/2014/01/rootkits-direct-kernel-object.html ميلر، هاري. "دروس الشاشة الزرقاء: برامج التجسس الخفية". BSODTUTORIALS، ٢٧ يناير ٢٠١٤. تم الاطلاع عليه بتاريخ ٥/١/٢٠١٤
  3. ١ ٢ http://fluxius.handgrep.se/2011/01/02/ring-0f-fire-rootkits-and-dkom/ FlUxIuS Ring Of Fire: Rootkits . WordPress، ٢ يناير ٢٠١١. تم الاطلاع عليه بتاريخ ٥/٥/٢٠١٤
  4. https://www.symantec.com/avcenter/reference/when.malware.meets.rootkits.pdf مؤرشف بتاريخ ٢٨ أغسطس ٢٠١٧ في أرشيف الإنترنت (Wayback Machine). فلوريو، إيليا. "عندما تلتقي البرامج الضارة ببرامج التجسس الخفية". سيمانتك، ديسمبر ٢٠٠٥. تم الاطلاع عليه بتاريخ ٩ مايو ٢٠١٤.
  5. ١ ٢ http://jessekornblum.com/presentations/dodcc11-2.pdf جيسي كورنبلوم. الطب الشرعي لذاكرة ويندوز، شركة كيروس للتكنولوجيا، (٢٠٠٦). تم الاطلاع عليه بتاريخ ١٤/٥/٢٠١٤