الكشف عن Rootkit جديد يصيب خواديم Linux

الوقت المقدّر لقراءة هذا المقال: 5 دقيقة و 22 ثانية

نشر باحثون تحذيراً عن rootkit جديد موجّه لنظام Linux، يبدو بأنه مكتوب خصيصاً لحقن وسوم iframe في المواقع الالكترونية المستضافة على الخواديم المصابة، و يتم من خلال هذه الوسوم تحويل الزيارات بشكل خفي إلى مواقع أخرى تقوم بنشر برمجيات خبيثة بهدف إصابة أجهزة الزوار. هذا وقد تم الكشف عن أن الـ rootkit مصمم خصيصاً لأنظمة 64 بت من توزيعات Linux، وعلى الرغم من أنها تحوي على بعض الميزات إلا أنها لا تبدو نتيجة جهد مبرمج محترف أو مصممة للاستخدام في الهجمات ذات الأهداف المنتقاة.

يتم تحميل الـ rootkit المذكور إلى الذاكرة وحالما يصبح هناك، يقوم بأخذ نسخة عن محتويات بعض العناوين فيها ويتم تخزينهم للاستخدام بشكل لاحق، كما يتم أيضاً خطف عدة وظائف kernel ليعمل من خلالها على إخفاء بعض ملفاته عن الأعين في النظام.

وتتم آلية خطف بعض الوظائف بالطريقة التقليدية عبر استبدال البايت الأول بـ 0xE9 (وهي تمثل تعليمة JMP في لغة الأسمبلي) ومن ثم يتم نسخ 8 بايتات بعدها، الـ 4 الأولى منها (حسب نظام النهوي الصغير little-endian) تمثل الإزاحة التي سيتم القفز إليها والبقية يتم تجاهلها وهي عبارة عن بايتات عشوائية غير معرّفة. السبب في هذا هو أن JMP تأخذ operand بطول 4 بايتات فقط كإزاحة (الشكل: jmp    rel32) ولكون المعالج سيقرأ opcode معروف هو 0xE9 فإنه سيعتبر البايتات التالية operand له ويهتم بأول 4 منها ويتجاهل الباقي بكل سلاسة 🙂

هذا ولا يبدو الـ rootkit المذكور نسخة معدلة عن أي نسخة برمجية خبيثة معروفة، وظهرت إلى النور الأسبوع الماضي عندما قام أحد الأشخاص بنشر وصف سريع وتحليل للمشكلة علناً عبر القوائم البريدية الأمنية. ويقول الناشر بأن موقعه تعرض للإصابة وبعض زبائنه تم تحويلهم إلى مواقع خبيثة.

وتعتمد الـ rootkit المذكورة كسواها من البرمجيات الخبيثة، على منصة تحكم وإدارة عن بعد من أجل تنفيذ بعض العمليات. في الوقت الحالي فإن خادوم الإدارة عن بعد ما يزال نشطاً ويقول الباحثون بأنه يحوي على بعض الأدوات الأخرى مخزنة عليه.

تعمل آلية حقن الـ iframes داخل الصفحات من خلال استبدال الدالة tcp_sendmsg – المسؤولة عن بناء رزم TCP – بدالة خاصة، بحيث يتم حقن الـ iframes الخبيثة في HTTP traffic بالتعديل المباشر على رزم TCP.

تعمل البرمجية الخبيثة على الاتصال بخادوم التحكم باستخدام كلمة مرور مشفّرة تستخدم للمصادقة، وذلك بهدف الحصول على عنوان iframe الخبيث الذي سيتم حقنه. حالما يتم الاتصال يقوم خادوم التحكم بإرسال توجيهاته حول الشفرة التي يجب على الـ rootkit حقنها في الموقع المصاب. يقوم الخادوم بتحديد فيما إذا كان الحقن سيتم من خلال iframe أو javascript وما هي الشفرة التي يجب حقنها.

ومن أجل أن تحافظ البرمجية على نشاطها بعد إعادة تشغيل مثلاً، فإنها تقوم بإضافة بعض الأوامر في نهاية ملف /etc/rc.local لتقوم بتشغيل ملفاتها التنفيذية الخبيثة بعد الإقلاع، لكن هذه الطريقة ضعيفة وتؤدي على توزيعة Debian squeeze إلى فشل البرمجية الخبيثة في إعادة تشغيل نفسها لكون الملف /etc/rc.local يحوي في نهايته (في تلك التوزيعة) على تعليمة exit 0، وبالتالي فإن البرمجية تقوم بحقن تعليماتها “بعد” هذا الأمر وبشكل بديهي، لا يتم تنفيذ أوامرها.

من غير الواضح حتى الآن إن كان هناك آليات خاصة تستخدمها البرمجية في الانتشار لإصابة الخواديم أم أنه يتم تثبيتها بشكل يدوي بعد اختراق منفصل، كما أنه من غير الواضح عبر التقرير المنشور كيف يمكن للبرمجية الخبيثة أن تقوم بالتعديل على /etc/rc.local كون الكتابة مسموحة فيه فقط لمن يحمل صلاحيات root.

مبدئياً، يبدو بأن البرمجية مخصصة للعمل كـ kernel module وبالتالي فإن تثبيتها غالباً سيتم من خلال محاولة نشرها عبر مواقع repos وهمية/غير رسمية أو من خلال اختراق أحدها ومحاولة نشر البرمجية الخبيثة كـ module شرعية غير ضارة.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+8Share on LinkedIn1Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • قرأت المقال كاملا وأعجبني… قدمت شرحا تفصيليا مشوقا، بالتأكيد بذلت جهدا كبيرا، بارك الله فيك.
    مشكور جزيل الشكر على المقال الرائع.

  • الروت كيت منتشرة منذ زمن وليست بتلك الخطورة حقيقة على مدير لينكس محترف.

    ولا يمكن زرع الروت كيت دون ان يحصل المخترق على الصلاحيات المطلوبة اولاً، وهذا يتم عبر حاجتين ثغرة في احد خدمات السيرفر تمكنة من الحصول على صلاحيات روت او ان المخترق عندة بيانات الروت بطريقة ما مثل اختراق جهاز مدير السيرفر فيقوم بزرع الروت كيت.

    والثغرات الي تكلمت عنها هي 0day التي يكون استغلالها عادة local access.

    وفكرة الروت كيت اساسها ان بعد ماتخترق السيرفر وتحصل على الروت تقوم بزرع الروت كيت الخاص بك او اداة جاهزة بحيث يبقى لك اكسس او تحكم ما على السيرفر حتى بعد خروجك منه واصلاح الثغرة التي اخترقت بالاساس من خلالها.

    ويبقى لينكس من اامن الانظمة بسبب طبيعة موديول اليوزرات فيه 🙂