الوسوم:
حالة الموضوع:
مغلق
  1. az0o0

    az0o0 Developer

    الأنتساب:
    ‏11 يوليو 2012
    المشاركات:
    2
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الوظيفة:
    school
    الإقامة:
    Jeddah
    لسلام عليكم ورحمة الله وبركاته

    كيفكم حبايبي اعضاء شبكة عراق تيم IQ-T34M
    ..

    اليوم موضوعنا عن مواكبة التطورات الحاصلة في مجال الحماية والاختراق عن

    الاخطار التي يغفل عنها الكثير ...

    ولتأكيد ان لا شيئ بعيد عن خطر الفيروسات حتى الانظمه الوهميه ذاتها !

    من المعروف للجميع انتشار تكنولوجيا ال
    Virtualization في الأونة الأخيرة في صورة

    برامج ال Virtual Machine

    المنتشرة والتي تمكنا من عمل جهاز وهمي بنظام تشغيل منفصل عن الجهاز

    الرئيسي..ومن


    اشهر هذة البرامج هو برنامج ال
    VMWare

    وتستخدم طبعا الأنظمة الوهمية في تحليل الفيروسات والروت كيت وفي اختبار اي

    شئ تريد اختباره


    بمعزل عن جهازك.


    لكن هل الأنظمة الوهمية آمنة 100%
    ؟؟

    طبعا الأجابة
    لا..وسوف نتناول ذلك بأختصار في هذا الموضوع..

    [​IMG]

    الروت كيت أو الجذور الخفية هو مجموعة من التقنيات التي يستخدمها واحد أو أكثر

    من البرامج تهدف

    إلى تحقيق الوصول والتحكم في جهازكمبيوتر بصفة غير قانونية-وغير مرغوبة


    لكنها تتميز عن بقية المالورات الاخرى بالتخفي التام عن انظار برامج الكشف والحماية



    يوجد الكثير من انواع الروت كيت والتي تطورت مع تطور الحاسبات والبرمجيات..فهناك

    ال
    User Mode Rootkits

    وهي محدودة الأمكانيات وقدرتها علي التخفي قليلة ومكشوفة من معظم برامج ال
    Anti-Rootkit كما

    يوجد ال
    Kernel Mode Rootkits وهو اخطر لانه يصيب نواة النظام وهو ال Kernel

    وقدرته علي التخفي

    كبيرة ويصعب اكتشافه بالبرامج التقليدية ويحتاج الي تحليل يدوي لاخصائص الكرنل

    حتي تتمكن من


    اكتشافه..كما يوجد نوع مختلط من الروت كيت يستخدم ال
    Kernel Mode وال User Mode

    ظهر ايضا في الأونة الأخيرة نوع جديد من الروت كيت وهو ال
    Virtual Rootkits وهي

    مخصصة لاصابة الأجهزة الوهمية Virtual Machines

    والأنتقال منها الي الجهاز الرئيسي
    Host Machine

    وللتعرف اكثر علي ال
    Virtual Rootkits يجب ان نتعرف قليلا علي تكنولوجيا Virtualization والتي

    تنقسم الي ثلاث عناصر رئيسية وهي:


    -
    Hypervisor
    - Virtualization strategies
    - virtual memory management

    بعد ذلك سنتعرف علي اساليب ال
    Virtual Rootkit مثل:

    -
    Escaping from a virtual environment
    - hijacking the hypervisor

    [​IMG]

    فلنبدأ بمقدمة عن ال Virtualization :


    عملية الــ
    Virtualization باختصار هي عملية تقسيم الجهاز الواحد لموارده Resources علي اكثر من

    نظام تشغيل
    OS تعمل سويا في نفس الوقت. وقبل تكنولوجيا ال Virtualization كان يعمل الجهاز بكل

    موارده لتشغيل نظام تشغيل واحد فقط مما يعني ضياع لموارد الجهاز خاصة بعد الطفرة الكبيرة التي :{12}:


    حدثت في قدرات الأجهزة وفي صناعة المعالجات وايضا زيادة سعة التخزين
    Memory

    وتستخدم هذه التكنولوجيا الأن في السيرفرات حيث يستطيع مدير السيرفر تشغيل اكثر من


    Server
    علي الجهاز الواحد. ايضا انتقلت هذة التكنولوجيا الي الأجهزة العادية PC حيث

    يستطيع المستخدم تشغيل اكثر من نظام تشغيل سويا مثل تشغيل
    Windows مع Linux

    [​IMG]



    Virtualization of system resources

    [​IMG]

    أنواع الانظمة الوهمية Virtual Machines :


    1- النوع الأول
    Process Virtual Machine ايضا يعرف بــ Application Virtual Machine وهو باختصار :{10}:

    لتشغيل
    Process معينة علي نظام التشغيل مثل ال Java Virtual Machine و Dot NET Framework

    فهذه الأشياء ايضا تندرج تحت مسمي الأجهزة الوهمية
    Virtual Machines

    2- النوع الثاني
    System Virtual Machines ايضا يعرف بــ Hardware virtual machine وهذا ما سنقوم

    بدراستة لانة المخصص لكي يعمل اكثر من نظام تشغيل سويا :{9}:

    [​IMG]

    Hypervisor
    ما هو :!."

    هو احد اهم عناصر ال
    Hardware VM طبعا VM اختصار لــ Virtual Machine وهو المسؤل عن Handles

    System level virtualization
    لكل ال VMs التي تعمل علي الجهاز الرئيسي Host System وهو ايضا

    يدير عملية تقسيم الموارد والتشغيل بين ال Physical و ال
    Virtual Hardware ايضا هو المسؤل عن

    عملية عزل ال
    VMs عن بعضها وتقسيم الموارد بينها. فهو العقل المتحكم في عملية ال virtualization

    يوجد نوعين من
    Hypervisor :

    الأول
    Native وهو يتم وضعة في اللوحة الأم نفسها Motherboard اي ان تكنولوجيا ال VM في هذا

    النوع ليست مجرد برنامج بل هي تدخل في تركيب ال
    Hardware ايضا..ومن امثلة المعالجات التي تدعم

    خاصية ال
    Native Hypervisor معاجات AMD-V/Pacifica و Intel VT-x و UltraSPARC T1
    [​IMG]


    Native Hypervisor

    [​IMG]

    النوع الثاني
    Hosted وهو النوع البرمجي الذي يتم وضعة مع نظام التشغيل الرئيسي Host OS مثل

    برامج ال
    VMWare Workstation و ال Sun VirtualBox
    [​IMG]

    Hosted Hypervisor

    [​IMG]

    استراتيجية الانظمة الوهمية
    Virtualization strategies

    يوجد ثلاث انواع من طرق ال
    Virtualization المستخدمة حاليا والتي تختلف من نظام تشغيل لأخر

    ومن عناصر ال
    Hardware المستخدمة.

    الطريقة الأولى هي
    virtual machine emulation وهو يحتاج الي hypervisor يقوم بمحاكاة الأجهزة

    Hardware
    الحقيقية بأخري تخيلية يستخدمها نظام التشغيل الموجود علي ال VM والذي يسمي guest

    OS
    فهو يوهم نظام التشغيل التخيلي بانة يتعامل مع Hardware حقيقية. واهم شئ في هذة الطريقة هو

    توفير كل الصلاحيات للنظام الوهمي
    Privilege Level مثل صلاحيات استدعاء Privileged CPU

    instructions
    وهذا يوفره ال hypervisor نفسة.

    الطريقة الثانية هي
    paravirtualization وهي عكس الطريقة الأولي حيث لا يقوم ال hypervisor بتوفير

    ال
    Privileged CPU instructions ولا يقوم بمحاكاة لل Hardware فهذة الطريقة يدرك فيها نظام التشغيل

    الوهمي انه يعمل فعلا علي جهاز وهمي
    VM

    الطريقة الثالثة هي
    OS-level virtualization ومن الأسم يتضح ان نظام التشغيل نفسة هو من يقوم

    بعملية العزل. ومن امثلة انظمة التشغيل هذه
    Sun Solaris zones

    virtual memory management


    من اهم وظائف ال
    hypervisor وهو تحويل ال physical Hardware Memory الي Virtual Hardware Memory

    وكما نعلم فان مصطلح ال
    Virtual Memory ليس خاص بعملية ال virtualization فقط بل ان كل انظمة

    التشغيل الحديثة تقوم باستخدام ال
    Virtual memory وذلك لكي تدعم عملية ال multiprocessing

    ايضا من اهم وظائف ال
    hypervisor عملية عزل كل Virtual Memorey يستخدمها VM عن الأخرى. فكل

    VM
    يكون له ال memory space الخاص بة والتي لا يستطيع اي VM اخر الوصول اليها..وهذه العملية :{17}:

    تعرف بــ
    virtual machine isolation

    اساليب ال
    Virtual Rootkit

    كما قلنا فان
    Virtual Rootkits هي روت كيت برمجت خصيصا لكي تعمل علي ال VM وتنتقل منة الي i:q3^:

    ال
    Host Machine لذلك فان اول مهمة تقوم بها هذه الروت كيت هي عملية الــ Escaping from a virtual

    environment
    واول خطوة في هذة العملية هي ان يكتشف الروت كيت انة يعمل

    فعلا على VM وليس

    على جهاز حقيقي. :{19}:

    [​IMG]

    يوجد 3 انواع رئيسية من
    Virtual Rootkits

    1- النوع الأول هو
    Virtualization-aware malware (VAM) وهو مخصص للفيروسات والبرمجيات الضارة

    فوظيفتة انة يقوم باكتشاف ال
    VM ثم يعدل من خصائصة فيما يعرف بعملية ال polymorphic حتى لا

    يستطيع محلل الفيروسات التعرف علية..ايضا لدية وظيفة اخري وهو مهاجمة نظام التشغيل الذي يعمل


    على ال
    VM

    2- النوع الثاني هو
    Virtual machine-based rootkits (VMBR) وهو النوع التقليدي وهو الذي يتطيع :{12}:

    الأنتقال من ال
    VM الي الجهاز الأصلي عن طريق برنامج VM نفسة virtualization software

    3- النوع الثالث هو
    Hypervisor virtual machine (HVM) rootkits وهو اخطر نوع لانه يقوم بمهاجمة

    الhypervisor
    نفسه واستبدالة بأخر معدل وبالتالي اصابة نظام التشغيل الموجود علي ال VM ونظام :{20}:

    التشغيل الرئيسي
    host

    [​IMG]

    آلية إصابة النظام الحقيقي إنطلاقا من النظام الوهمي التي تتبعها Virtual Rootkits


    بعد اكتشاف الروت كيت لل
    VM تأتي المهمة الأهم وهي الوصول الي ال host machine وتتم عملية

    الوصول لل
    host عن طريق استغلال ثغرات exploit تؤدي لتعطيل crash خدمة service او تعطيل كل

    VM
    مما يمكن الروت كيت من الوصول الي ال Host machine ومن اشهر هذة الثغرات ثغرة:

    directory traversal vulnerability in VMWare file-sharing services


    ايضا من اهم طرق تخطي ال
    VM هي استغلال الــ ComChannel وهي قنوات اتصال بين ال gust OS و ال host OS

    بعد عملية الوصول الي ال
    Host Machine تتم عملية السيطرة على ال Hypervisor عن طريق ما يعرف بـ Hijacking the Hypervisor

    فبسيطرة الروت كيت علي ال
    hypervisor فهو يسيطر علي مخ عملية العزل او ال Virtualization

    وبالتالي يستطيع السيطرة علي كل النظام سواء
    VM او HostM بمعنى إصابة كل من النظام الوهمي والنظام الحقيقي على الجهاز.

    [​IMG]

    من اشهر انواع ال
    Virtual Rootkits

    SubVirt
    برمجة Samuel T. King and Peter M. تم عمله في جامعة Michigan

    Blue Pill
    برمجة Joanna Rutkowska وهو مخصص لمعالج AMD-V SVM/ Pacifi ca

    Vitriol
    برمجة Dino Dai Zovi مخصص لمعالج Intel VT-x

    [​IMG]

    معلومات اضافيه .

    1- ما سبب تسميته بالـ RootKit ؟
    حرفياً تعني أدوات الجزر .
    حيث الجزر أو الروت يعتبر الصلاحية الأعلى في الـ Linux ,,
    و سميت تيمناً بذلك كونها مصممه لمنح صلاحيات أعلى للمستخدم ,,

    2- ما هو الـ
    RootKit ؟
    في صميمها هي أداه مخصصه لتخطي تحكم دول النظام )3:" ..

    3- ما أنواع الـ
    RootKit ؟
    أياً كان نوع الـ RootKit أو السلوك الذي يتبعه:{21}: ,,
    فأنه يقع تحت أحد التصنيفين التاليين :
    User-mode RootKit
    أو Kernel-mode RootKit ..

    4- ما هدف الـ
    RootKit ؟
    التمكين لمستخدم التقنيه إما بمنحه صلاحية أعلى أو بحمايته ضد الكشفi:q4^: ,,

    5- ما التقنيه المتبعة في الـ
    RootKit ؟
    API Hooking
    >> و التي يتيح فلتره المخرجات الخاصه بالداله المعنيه بها ,,

    6- ما التقنية المتبعه من قبل الـ
    Anti RootKit .. في كشفه ؟
    مقارنة مخرجات الدوال الخاصة بالـ Anti RootKit و التي تخرج عن نطاق الأصابه ..
    مع مخرجات دوال الـوندوز لنفس الأستعلام :{9}: ,,

    المصادر :

    الهندسه العكسية
    linuxpromagazine
    Hacking Exposed Malware & Rootkits Book
     
  2. Ą-ƦȜƓ

    Ą-ƦȜƓ Developer

    الأنتساب:
    ‏23 يونيو 2012
    المشاركات:
    11
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    3
    الإقامة:
    تونس
    رد: Lesson Rootkits vs Virtual Machine

    تسلم يا غالي علي الطرح جاري الأطلاع بشكل ادق

    بارك الله فيك
    &:": ​
     
  3. 8X8

    8X8 ExpErt DeveloPer

    الأنتساب:
    ‏3 أكتوبر 2011
    المشاركات:
    60
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الوظيفة:
    برمجه
    الإقامة:
    مصر
    رد: Lesson Rootkits vs Virtual Machine

    تسلم إيدك أخوى ,

    موضوع جميييييل جدا ,
     
  4. Âßn Âlørdoň

    Âßn Âlørdoň Developer

    الأنتساب:
    ‏21 يونيو 2012
    المشاركات:
    23
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الإقامة:
    >>♥JǾrdǻn♥<<
    رد: Lesson Rootkits vs Virtual Machine

    مشكور يابطل :{7}:​
     
  5. The-Worm

    The-Worm Active DeveloPer

    الأنتساب:
    ‏10 سبتمبر 2011
    المشاركات:
    84
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    IQ-T34M
    رد: Lesson Rootkits vs Virtual Machine

    عليكم السلام ورحمة الله وبركاته
    ماشاء الله , ابداع ي بطل , موضوع مميز
    تم التقييم , وهذا قليل !
     
  6. 言う者

    言う者 ExpErt DeveloPer

    الأنتساب:
    ‏7 مارس 2012
    المشاركات:
    77
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    ItaLy
    رد: Lesson Rootkits vs Virtual Machine

    مشكور حبيبي


    موضوع روعه


    )5:"​
     
  7. X-1

    X-1 Developer

    الأنتساب:
    ‏10 يونيو 2012
    المشاركات:
    68
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    X
    رد: Lesson Rootkits vs Virtual Machine

    شكرا على الموضوع الرائع
     
  8. Amazighi_Hacker

    Amazighi_Hacker Developer

    الأنتساب:
    ‏3 أكتوبر 2011
    المشاركات:
    48
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    سوريا الشعب
    رد: Lesson Rootkits vs Virtual Machine

    مشكوررررر :{7}:
    بااارك الله فيك
     
  9. كلآشنكوف

    كلآشنكوف Developer

    الأنتساب:
    ‏19 يوليو 2012
    المشاركات:
    88
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    رد: Lesson Rootkits vs Virtual Machine

    شكرا لك على الموضوع الجميل و المفيذ ♥

    جزاك الله الف خير على كل ما تقدمه لهذا المنتدى
    :{1}:

    ننتظر ابداعاتك الجميلة بفارغ الصبر
    :{8}:​
     
  10. iT-secret

    iT-secret Developer

    الأنتساب:
    ‏10 يوليو 2012
    المشاركات:
    6
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الإقامة:
    exit 9 :$
    رد: Lesson Rootkits vs Virtual Machine

    انت انسان مبدع فى عملك

    دمت بحفظ الرحمن

    وجزاك الله خير ​
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة