در این گفتار به دو روش بسیار مرسوم نفوذ به شبکه می پردازیم ابتدا به بررسی روش نفوذ به شبکه از طریق روش Scan و سپس نفوذ به شبکه از طریق روش Trajanal backdoor می پردازیم.
روش Scan هر نفوذگری با استفاده از یکسری اطلاعات ابتدایی بدست آمده از شبکه ی هدف همچون شماره های تلفن ، آدرس IP ، مامهای Damain شبکه و ...
میتواند شبکه را به منظور یافتن شکافی قابل پویش مورد پویش (scan) قرار دهد.
و در روش Trojan or Backdoor نفوذگران بجای اینکه زحمت حمله و شسکتن حریم امنیتی یک شبکه را به خود بدهند مستقیم تلاش می کنند سیستم یک کاربر ناآشنا با مسائل امنیتی را با استفاده از نرم افزارهای آلوده و مخربی چون Trojanو Backdoor ها آلوده نمایند.
آنها با استفاده از این حربه قادر خواهند بود بدون برجای گذاشتن ردپایی مشخص از خود حملات بعدی را به راحتی از طریق ماشین قربانی سازماندهی و هدایت نمایند.
روش Scan :
در این بخش قصد داریم با آشنایی با روشهای مختلف Scan که از جانب نفوذگران اجرا می شود.
از جمله Scan شبکه یافتن مودم های فعال (War-Dialing) ، Scan شبکه جهت بدست آوردن نقشه از شبکه موجود (Mapping Scan) ، Scan شبکه جهت یافتن پورت های باز موجود در شبکه (Port Scan)، Scan شبکه جهت یافتان آسیب پذیریهای برجای مانده در شبکه (Vulnerability Scan) و در انتهای بخش نز Scan شبکه های بی سیم (War - Driving) را مورد بحث قرار می دهیم و راههای مقابله با اینگون پویشهای شبکه را در انتهای هر بخش شرح خواهیم داد.
Modem Scan (War – Dialing )
بطور کلی نفوذگران در اولین مرحله از پویش خود به سراغ مودمهای فعال موجود در شبکه میرود.
نفوذگر با استفاده از این تکنیک و ابزارهای موجود همچون THC-Scanقادر خواهد بود کار شماره گیری شماره تلفن های شبکه جهت یافتن مودمهای فعال و ناامن را اجرا نماید.
یک نفوذگر تنها زمانی میتواند از مودمهای فعال پیدا شده نهایت استفاده را ببرد که یک سرویس دهنده مودم همچون نرم افزارهای PCAnywhere، Laplink و ...
در سیستم مربوطه نصب شده باشد.
اینگونه سرویس دهنده ها به کاربران راه دور خود اجازه میدهند تا با یک سیستم ارتباط برقرار نموده و از آن برای دسترسی به فایل سیستم، اعمال تغییرات مورد نیاز بر روی آن، اجرای برنامه های مورد نظر و یا حتی استفاده از منابع اشتراکی موجود در شبکه همچون فایلها، پرینتر و اسکنر استفاده نمایند.
نفوذگران در ابتدای کار پویش با استفاده از ابزاری همچون THC – Scan شروع به پویش شبکه جهت یافتن مودهای فعال و همچنین یافتن نوع سرویس دهنده آنها میکنند و به عنوان مثال، به محض یافتن سرویس دهنده PCAnywhere بر روی مودم موجود که هیچ کلمه عبوری نیز برای عبور تقاضا نمی کند کار پویش تمام شده محسوب شده و از آن به بعد نفوذگر تمرکز خود را جهت دستیابی به سیستم ها و سرویس های مورد نظر در شبکه معطوف می کند.
در این مرحله از پویش حتی اگر نفوذگر با مودمی مواجه شود که سرویس دهنده آن برای ورود او کلمه عبور تقاضا کند اقدام بعدی او حدس زدن کلمه عبور و ورود به زور ( Brute Force) به آن سیستم میباشد که او برای این کار میتواند از ابزارهای خودکاری همچون THC Login Hacker برای تشخیص کلمه عبور استفاده نماید.
مقابله در برابر حملات War – Dialing
• توصیه مؤکد آنست که به هیچ وجه اجازه استفاده پراکنده و شخصی از مودم را به هیچ کس در شبکه نداده و در صورت ضرورت استفاده از آن، آنرا به صورت متمرکز و تحت نظارت دقیق و مستقیم مدیر شبکه قرار دهید تا بصورت مستمر امکان نظارت و بازرسی چنین ارتباطاتی وجود داشته باشد.
• تنظیم خطوط تلفن می بایست مبتنی بر سیاست های تعیین شده باشد.
• از ابزارهای پویش همچون THC – Scan برای شناسایی مودمهای فعال و سرویس دهنده های آسیب پذیر و قابل نفوذ آنها استفاده نمایید.
• بررسی فیزیکی تمام سیستم های موجود در شبکه جهت یافتن مودمهای فعال و خطوط تلفنی مرتبط با آنها را بصورت ادواری اجرا نمایید.
• بررسی شماره هایی که در طول ماه با آنها ارتباط برقرار شده و یافتن تماسها و ارتباطات مشکوک و نامشخص را برای شناسایی متخلفین اجرا نمایید.
پویش جهت یافتن توپولوژی شبکه (Maooing Scan)
در حالیکه یک War – Dialer غالباً برای پویش مودم های فعال شبکه سودمند می باشد بسیاری از تکنیک های دیگر Scan بر روی پویش ماشینهای متصل به یک شبکه (اینترنت یا شبکه داخلی) با آدرس IP مشخص قابل اجرا می باشند.
غالباً در پویش از نوع یافتن توپولوژی شبکه نفوذگر سعی میکند اطلاعات فنی و دقیق تری از شبکه هدف بدست آورد.
در این روش پویش او تلاش میکند تا ساختار و توپولوژی شبکه را ترسیم نموده و معماری شبکه را از نظر سرویس دهنده ها، روترها، فایروال ها، سوئیچ ها ، IDS ها و دیگر تجهیزات موجود در شبکه تعیین نماید.
نفوذگر غالباً برای اجرای این نوع پویش از فرامین و ابزار برشمرده شده در زیر استفاده می نماید:
• پیدا کردن سیستم های فعال شبکه با استفاده از دستور Ping (ICMO Echo Requestc) به آدرس IP های بدست آمده از شبکه این امکان را برای نفوذگر فراهم می کند تا سیستمها از لحاظ فعال بودن مورد آزمایش قرار دهد.
پیدا کردن سیستم های فعال شبکه با استفاده از دستور Ping (ICMO Echo Requestc) به آدرس IP های بدست آمده از شبکه این امکان را برای نفوذگر فراهم می کند تا سیستمها از لحاظ فعال بودن مورد آزمایش قرار دهد.
استفاده از فرمان Traceroute یا Tracert نیز یکی از روشهای تشخیص نقشه و توپولوژی شبکه توسط نفوذگر میباشد.
او با دریافت پیام Exceeded ICMP Time میتواند هویت روتروهای موجود در مسیر را تشخیص داده و با مسیریابی بسته تا رسیدن به مقصد مورد نظر، نقشه ای کلی از شبکه را استخراج نماید.
اگر چه با استفاده از فرامین Pingو Trancroute و تحلیل بازگشتی توپولوژی شبکه قابل استخراج میباشد ولی نیاز به صرف وقت فراوان دارد .
برای رفع مشکل فوق می توان از نرم افزارهای موجود از جمله نرم افزار Cheops که به صورت خودکار اقدام به نقشه برداری و تعیین سیستم های فعال در شبکه می نماید استفاده نمود.
مقابله جهت یافتن توپولوژی شبکه تنها قابلیت Ping را بر روی سرورهای عمومی که در محیط DMZ قرار گرفته اند فعال نمایند تا سایر شبکه های مرتبط با شبکه شما توانایی تشخیص اتصال های فعال برای برقرار نمودن ارتباط را داشته باشند.
غیر از سرورهای عمومی لازم است قابلیت (ICMP)Ping را بر روی تمام سیستم های داخلی غیر فعال نمایید.
روترهای مرزی با قابلیت Packet Filter در شبکه را بگونه ای تنظیم نمایید که بسته های ICMP ورودی به شبکه را بلوکه و حذف نمایند و علاوه بر آن بسته های خروجی ICMPاز نوع Time Exceeded را نیز بلوکه نمایند.
با اعمال این سیاست می توانید نرم افزارهایی همچون Traceroute , Cheops را از کارایی ساقط نمایید.
پویش جهت یافتن پورت های باز (Port Scan) در مرحله قبل نفوذگر ماشینهای فعال شبکه و همچنین توپولوژی تقریبی آن را از شناسایی نموده و اکنون میخواهد بداند هر سیستم موجود در شبکه چه وظیفه ای برعهده دارد و چه خدماتی را ارائه میدهد و علاوه بر آن هر کدام از خدمات و سرویسهای ارائه شده به چه نحو در اختیار کاربران قرار می گیرد.
اگر پورت های TCP/IP را به عنوان دربهای ورودی یک سیستم فرض کنیم عمل پویش پورت یا همان Port Scan به منزله درب زدن است تا ببینیم آیا پراسس فعالی پشت درب هست یا خیر.
تمام ابزارهای پویش پورت می توانند فهرست مشخصی از شماره پورتها را پویش نموده و باز یا بسته بودن آنها را مورد بررسی قرار دهند.
برخی از نرم افزارهای معروف پویش پورت عبارتند از Nmap، Srtobe ، Ultrascan ، SuperScan که از تمام ابزارهای موجود نرم افزار Nimap بعنوان بهترین و کاملترین ابزار پویش پورت محسوب میشود و این ابزار از مکانیزمهای متنوعی برای بررسی پورت های فعال استفاده می نماید که در نوع خود بی نظیر می باشند.
مقابله با پویش پورت های شبکه حذف تمام سرویس های غیر ضروی موجود بر روی سیستم ها.
حذف برنامه هایی همچون کامپایلرها، مفسرها و ...
که شرایط نفوذ و اجرای حمله را برای نفوذگر راحتتر می نمایند.
جستجو و یافتن پورتهای باز شبکه با استفاده از ابزار Nmap که بهترین گزینه برای اجرای این فرآیند پویش از نوع Polite می باشد.
اگر چه این نوع پویش بسیار کند عمل می نماید ولی مطمئن تر و دقیقتر از سایر گزینه ها در بررسی پورتهای فعال عمل می نماید.
استفاده از فایروالهای Stateful Inspectionو Proxy جهت ثبت دقیق ارتباطات برقرار شده.
هنگام استفاده از ابزارهای پویش لازم است بر کارائی شبکه نظارت نموده و بطور مرتب سیستم هدف را تست نمایید تا در زمان اجرای فرآیند پویش، Crash نکرده باشد.
پویش نقاط آسیب پذیر (Vulnerability Scan) دانستن اینکه یک پورت بر روی یک سیستم باز است یا خیر هیچ سودی برای نفوذگر ندارد مگر آنکه نقطه ضعف پراسسی که به آن شماره پورت مشخص گوش میدهد را پیدا کند.
نفوذگر با استفاده از ابزارهای موجود در این گروه و با ارسال داده های نامتعارف به پراسس در حال شنود نقطه ضعف آنرا در مواجهه با این داده ها بدست آورده و از همین حربه برای ضربه زدن به ماشین هدف استفاده میکند.
برخی از نرم افزارها و سیستم عامل های موجود با نقاط ضعف عدیده ای به بازار عرضه می شوند و زمانیکه در دسترش عموم قرار می گیرند خبرگان به سرعت نقاط ضعف آنها را استخراج و منتشر می نمایند که متعاقب آن Patch مربوط به آن عرضه می شود ولی چون بسیاری از کاربران از این موضوع بی خبرند کماکان از نسخه ای دارای اشکال استفاده می کنند.
معمولاً نفوذگر از نرم افزارهایی برای پویش نقاط آسیب پذیر استفاده میکند که یک پایگاه داده نسبتاً کامل از نقاط ضعف بنیادی سیستم عامل ها و نرم افزارهای معروف را در اختیار دارند و چون در مرحله پویش پورت با استفاده از Nmap نوع سیستم عامل ماشین هدف را تشخیص داده ، با استفاده از پایگاه داده موجود به دنبال اشکالات و نقاط ضعف بنیادی سیستم مربوطه می گردد.
ابزارهای کشف نقاط آسیب پذیر دارای اجزاء برشمرده شده زیر می باشند : پایگاه داده ای از نقاط آسیب پذیر سیستم ها و در کنار آن نحوه تست این نقاط.
واسط گرافیکی کاربر (GUI) موتور پویش (Scanning Engine) پایگاه داده ای از نقاط ضعف موجود بر روی یک سیستم که در پویش جاری کشف شده است.
بخش گزارش گیری و ثبت نتایج پویش.
ابزارهای پویش نقاط آسیب پذیر فقط در خدمت نفوذ گر نمی باشند بلکه به عنوان ابزاری قدرتمند برای مدیران شبکه نیز محسوب میشوند.
برخی از ابزارهای موجود برای اجرای این فرایند امنیتی عبارتند از : SATAN , SAINT , SARA , VLAD the scanner , Nessus که از بین تمام این ابزارها Nessus دارای مشخصات متمایزی میباشد که حتی برخی از نسخه های تجاری نیز از آن بی بهره اند.
مقابله با پویش نقاط آسیب پذیر بستن تمام پورتهای باز و بلااستفاه میباشد.
بطور مرتب در گروههای خبری به دنبال نقاط آسیب پذیر تازه کشف شده و نحوه مقابله با آنها گشته و جهت پیشگیری سریعاً سیستم های خود را با آخرین patchهای ارائه شده مقاوم نمایید.
استفاده ادواری از Nessus جهت شناسائی نقاط آسیب پذیر بر جای مانده در شبکه و رفع سریع آنها.
جهت شناسائی تمام آسیب پذیریهای تازه کشف شده ابزار Nessus نیاز به بهنگام سازی مداوم دارد.
Wireless Scan (War –Driving ) این نوع پویش به عنوان یکی از تکنیکها و روشهای پویش در شبکه های بی سیم محسوب شده که به علت وسعت محدوده اجرا و همچنین سهولت اجرا، همواره به عنوان یکی از خطرناکترین تهدیددات برای شبکه های بی سیم مطرح بوده و میباشد .
فرد نفوذگر با در دست داشتن یک Laptop یا حتی یک PDA که ابزارهایی همچون NetStumbler ، WEP Crack و یا AirSnort بر روی آن نصب شده، توانایی پویش شبکه های LAN و استراق سمع از آنها را به راحتی و حتی خارج از محدوده شبکه دارا میباشد.
مقابله با War – Driving بکارگیری ایمن ترین استاندارد موجود (802.1x یا 802 .
11n ) و ایزوله نمودن شبکه داخلی از شبکه بی سیم با استفاده از VLAN و سوئیچ هایی که این قابلیت را ارائه میدهند.
نظارت بر عملکرد تجهیزات (Access Point)AP ، تهیه لیستی از نقاط دسترسی مجاز و اجرای AAA جهت کنترل دسترسی به منابع موجود.
استفاده از VPN ، گواهینامه دیجیتالی و پروتکل های امنیتی برای برقرار نمودن ارتباطات خارجی و داخلی و استفاده از قویترین تکنیک های رمزنگاری برای انتقال ایمن داده.
غیر فعال نمودن سرویس DHCP و استفاده از ابزار WirelessIDS و Passive Analyzer .
مجهز نمودن ساختمان شبکه جهت جلوگیری از خروج امواج بی سیم از محدوده مجاز .
روش Trojan & Backdoor Trojan ها یک Trojan (تروجان) یک برنامه آلوده به کد اجرایی مخرب با ظاهری فریبنده میباشد.
اینگونه برنامه ها پس از آنکه بدست خود کاربر بر روی سیستم اجرا شدند یک سرویس دهنده کنترل و هدایت آن سیستم را در اختیار نفوذگر قرار می دهند.
از آن به بعد نفوذگر است که تصمیم می گیرد با آن سیستم چه به کند، داده های حیاتی همچون کلمات عبور را بدزدد، فایلهای موجود را از بین ببرد و یا اینکه از آن برای حملات آتی خود استفاده نماید.
امروزه اکثر Trojan ها پس از اجرا بر روی سیستم قربانی بصورت پنهان (Invisible ) عمل نموده و خود را بگونه ای نصب می کنند که پس از هر بار ورود کاربر به سیستم، آنها نیز بطور خودکار فعال شده و بدون هیچگونه اختلالی که باعث شود کاربر از وجود آنها مطلع گردد به اجرای اهداف تخریبی و کنترل شده نفوذگر می پردازند.
تروجان ها را برحسب نوع عملکردشان عمدتاً به هشت گروه زیر طبقه بندی می کنند: 1.
(RAT) Remote Access Trojans : این نوع تروجان دسترسی کامل به سیستم قربانی را از راه دور برای نفوذگر فراهم می کند و نفوذگر هر عملی را که بخواهد میتواند با استفاده از این تروجان انجام دهد.
2.
Password Sending Trojan : این نوع تروجان کلمات عبور مربوط به اجرای برنامه ای که نیازمندبه عمل Login باشد رابی کم وکاست برای نفوذگرارسال می کند.
3.
Key loggers : این نوع تروجان تمام کلیدهای فشرده شده در سیستم قربانی را ثبت و برای نفوذگر ارسال می کند.
4.
Destructive : این نوع تروجان وظیفه حذف و نابود کردن فایلهای موجود بر روی سیستم قربانی را عهده دار می باشد.
5.
FTP Trojan : از قدیمی ترین نوع تروجان بوده و تنها کاری که انجام می دهد گشودن پورت 21 و اجازه ارتباط مهاجمان با سیستم قربانی می باشد.
6.
Software Detection Kikkers : این نوع تروجان نرم افزارهای کشف کننده ابزارهای مخرب همچون ابزارهای ضدجاسوسی، ضد ویروس، فایروال را هدف قرار داده و از عملکرد صحیح آنها جلوگیری می کند.
هدف اصلی این نوع تروجان دسترسی راحت و بدون دغدغه نفوذگر به سیستم قربانی می باشد.
Backdoor ها این نرم افزار به نفوذگر این امکان را می دهد تا بدون هیچگونه احراز هویتی به سیستم مورد نظر خود وارد شده و رخنه نفوذ به چنین سیستمی را برای خود دائمی نماید.
از آنجا که در برخی از سیستمها روشهای بسیار پیشرفته برای احراز هویت کاربران و مبادله داده ها بصورت رمزنگاری شده اجرا می شود، تنها نصب یک نرم افزار Backdoor به راحتی می تواند تمام این تکنیکهای پیشرفته را دور زده و از پیش پای نفوذگر بردارد.
Netcat نمونه ای از این نوع نرم افزار برای پلت فرم یونیکس بوده که با اجرای آن بر روی سیستم قربانی یک راه بسیار ساده برای مبادله داده بین نفوذگر و قربانی ایجاد می شود.
بطور کلی دلایل اصلی نفوذگران برای استفاده از Backdoor را می توان اینگونه برشمرد : 1) در صورت تغییر Account کاربر باز راه نفوذ برای نفوذگر مهیا می باشد.
2) با خارج شدن کاربر از سیستم و Logoff نمودن باز دسترسی به آن سیستم و نفوذ آن برای نفوذگر فراهم می باشد، به عبارت دیگر اینگونه ابزارها همواره راه نوفذ دائم و مطمئنی را برای نفوذگر به سیستم های مورد نظر او فراهم می نمایند.
Backdoor های پنهان شده درون Trojan ها همانطور که گفته شدن Trojan برنامه ای است با ظاهر مفید و زیبا در حالیکه باطنی خطرناک و پلید دارد و Backdoorنیز ابزاری است که راه ورود نفوذگر به سیستم را خارج از عرف معمول میسر می سازد.
از تلفیق این دو ابزار بسیار خطرناکی با ظاهری مفید و ارزنده که راه رخنه به سیستم را همواره برای یک نفوذگر مهیا می سازد پدید می آید.
اکثر تروجان های امروز بگونه ای نوشته شده که بصورت پیش فرض دارای یک Backdoor برای ورود راحت به سیستم نیز باشند، بر این اساس تروجانهای امروزی را بصورت زیر تقسیم بندی می نمایند.
Trojan horse Bacjdoor در سطح برنامه های کاربردی (Applications) Trojan horse Backdoor در سطح سیستم عامل که با نام Rootkits شناخته شده و به دو دسته تقسیم میشود: Rootkiهای معمولی (Traditional) Rootkiهای سطح هسته (Kernel) تروجان در سطح برنامه های کاربردی گروه اول از تروجان ها با برنامه های مستقلی هستند که بصورت مخفیانه بر روی سیستم اجرا شده و منابع سیستم را در اختیار نفوذگر قرار میدهند.
هرگاه کاربری چنین برنامه ای را بر روی سیستم خود اجرا کند تروجان در اولاین قدم از اجرای خود پیکربندی سیستم عامل را بگونه ای تغییر میدهد تا از آن به بعد هرگاه کاربر به سیستم وارد شود (Login نماید) این برنامه نیز بطور خودکار فعال شده و مقاصد نفوذگر را بی کم و کاست اجرا نماید.اکثر تروجانهای موجود در این گروه برای محیط های مبتنی بر سیستم عامل ویندوز نوشته شده اند، شاید مهمترین دلیل این باشد که تعداد کاربران ویندوز بیشتر می باشد و اکثر آنها نیز افراد معمولی از جنبه دانش امنیتی بوده و براحتی طعمه نفوذگران می شوند و دلیل دیگر آن این می باشد که کدهای منبع ویندوز در دسترس نیست لذا نوشتن تروجانها در سطح هسته یا مؤلفه های سیستم عامل یعنی Rootkit برای چنین سیستم عاملی کارساده ای نیست.
چگونه می توان متوجه آلوده شدن سیستم به یک تروجان شد.
استفاده از یک فایروال مناسب.
استفاده از Cleanerهای مطمئن : تمیز کننده ها (Cleaner) برنامه هایی هستند که در رجیستری ویندوز و دایرکتوریهای آن بدنبال تنظیمات و فایلهای غیرمعمول می گردند و با یافتن موارد مشکوک اقدام به حذف و خنثی نمودن آنها می نمایند.
وقوع اتفاقات نامعمول و مشکوک بر روی سیستم.
مراجعه به سایتهای مرتبط برای اسکن سیستم جهت یافتن وحذف تروجانها.
بررسی موقعیت های برشمرده شده در رجیستری سیستم جهت یافتن و حذف تروجان ها.
روشهای پیشگیری و مقابله با تروجانها در سطح برنامه های کاربردی استفاده از آنتی ویروسهای مطمئن و قوی : هرچند تروجانها جزو ویروسهای کامپیوتری محسوب نمی شوند ولیکن اکثر نرم افزارهای آنتی ویروس در حین اسکن ویروسها، تروجانها را نیز شناسائی و نابود می کنند.
بنابراین اولین راه مبارزه با تروجانها استفاده از برنامه های آنتی ویروس مطمئن، قوی و به روز میباشد.
عدم استفاده از آنتی تروجانهای غیر مطمئن : بایستی به این نکته توجه نمود که نفوذگران را از نگرانی غالب کاربران در مورد آلودگی سیستمشان به تروجانها سوء استفاده نموده و ابزارهائی تحت عنوان Trojan killer ، Anti Trojan و ...
را ارائه می کنند که البته خودشان یک تروجان می باشند.
استفاده از چنین ابزارهائی را در صورتی به کاربران پیشنهاد می نماییم که آنها را از سایتهای مطمئن و شناخته شده تهیه نمایند.
عدم استفاده از نرم افزارهای ناآشنا و غیر مطمئن : کاربران همواره لازم است این سئوال را به عنوان یکی از اصول امنیتی سیستم از خود بپرسند که، از کجا میتوان مطمئن بود نرم افزار تهیه شده اصل بوده و آلوده به یک تروجان نمی باشد؟
آموزش کاربران : به کاربران آموزش داده شد که ضمائم نامه های الکترونیکی خود را بدون اطمینان از صحت آن باز ننمایند، زیرا نامه های الکترونیکی غالباً ناشناس و گاهاً برخی از نامه های ارسالی شناس آلوده به تروجان و یا ویروس می باشند.
علاوه بر آن کاربران لازم است در محیط های chat اقدام به دریافت فایل و اجرای آن ننمایند و دیگر آنکه نسبت به اجرای هر گونه CD بر روی سیستم خود قدری محتاطانه عمل نمایند.
از قابلیت Bluetooth صرفاً زمانیکه قصد ارسال اطلاعات از یک دستگاه بی سیم به سایر تجهیزات مرتبط را داشته استفاده نموده و از فعال نمودن آن در سایر موارد و بدون اعمال فرایندهای تأیید اعتبار و رمزنگاری اجتناب نمایید.
علاوه بر آن لازم است این نوع تجهیزات را در مد پنهان (hidden) پیکربندی نمایید نه در مد قابل کشف (discoverable).
استفاده از ابزارهایی همچون Active Ports ، Process Explorer و Process Guard برای یافتن اینکه هر برنامه کاربردی در هنگام اجرا بر روی سیستم از چه پورتی برای ارتباط استفاده نموده و چه پراسسهایی در سیستم فعال و در حال اجرا می باشند.
Rootkit های معمولی Rootkit ها با دستکاری و تغییر در عملکرد مؤلفه های اصلی سیستم عامل راه حمله نفوذگر را از طریق رخنه های بوجود آمده باز می نمایند از اینرو دیگر نیازی به اجرای یک برنامه کاربردی نمی باشد.
با توجه به اینکه Rootkitها اجزای سیستم عامل را دستکاری و قابل نفوذ می نمایند لذا بسیار قدرتمندتر از تروجانها محسوب می شوند.
بطور کلی Rootkit شدن سیستم عامل بدین معناست که نفوذگر برنامه های تحریف شده خود را با برنامه های اصلی در سیستم عامل همچون login ، Ps ، ifcinfig ، netstat و ...
جایگزین نموده و این برنامه های دستکاری و تحریف شده رخنه نفوذ راحت و پنهانی را برای نفوذگر فراهم می کنند.
به عنوان مثال نفوذگر با تحریف مؤلفه Login میتواند نفوذ با عالیترین مجوز یعنی Superuser یا root را برای خود فراهم نماید و این بدان معناست که حتی اگر مدیر سیستم کلمه عبور خود را عوض نماید یا حتی کل فایل کلمات عبور را تغییر دهد باز هم راه ورود نفوذگر باز می باشد و مراحل طبیعی احراز هویت برای وی در چنین سیستمی قابل اجرا نمی باشد.
البته نفوذگران حرفه ای به محض آنکه یکبار وارد سیستمی شدند در اولین گام یک تروجان بر روی سیستم مورد نظر نصب می کنند و با دستکاری مجدد مؤلفه های تغییر داده شده آنرا به حالت طبیعی برمی گردانند زیرا با تغییر پیغام login بر روی سیستم آشکارا وجود یک مشکل نشان داده میشود و مدیر شبکه میتواند آنرا به راحتی کشف و رفع نماید.
روشهای پیشگیری و مقابله با Rootkit های معمولی به هیچ کس جز خودتان مجوز root یا suprtuser ندهید.
با استفاده از ابزارهایی که امکان تحریف آنها کمتر است مرتب سیستم فایل خود را چک نمایید.
استفاده از ابزارهای کشف کننده Rootkit استفاده از ابزارهای بررسی صحت فایل : در این رابطه می توان گفت مؤثرترین نوع دفاع در برابر Rootkit ها استفاده از تکنیک اثر انگشت دیجیتال با استفاده از الگوریتم MD5 برای تک تک فایلهای سیستمی و ذخیره آنها در یک مکان مطمئن و غیر قابل نفوذ همچون CD-ROM می باشد.
در صورت یافتن یک Rootkit می بایست چه اقدامی انجام داد :اگر ابزارهای شناسایی Rootkit وجود یک Rootkit را به شما گزارش دهد اولین اقدام اساسی که بایستی صورت گیرد جدا نمودن سریع چنین سیستمی از شبکه می باشد.
این امر به دو دلیل ضروری است : نفوذگری که توانسته در سطح root به سیستم نفوذ نماید به قدر کافی تروجان و دیگر برنامه های آلوده بر روی سیستم نصب نموده که حتی با نصب مجدد فایلها و مؤلفه های سیستمی، باز راهی جهت نفوذ به سیستم مربوطه برای او وجود داشته باشد.
بررسی چگونگی نفوذ در سطح root یکی از موارد ضروری برای جلوگیری از تکرار موارد مشابه محسوب شده زیرا با نصب مجدد سیستم عامل باز هم ممکن است این نفوذ اتفاق بیفتد .
شما لازم است تنها بعد از بررسی دقیق این مورد اقدام به پاک نمودن کل سیستم و نصب مجدد سیستم عامل نمایید و بلافاصله با استفاده از Tripwire کدهای اثرانگشت دیجیتال را برای فایلها و مؤلفه های سیستمی محاسبه و در جایی مطمئن ذخیره نمایید و در ادامه آن نیز از آخرین Patchهای سیستم عامل که توسط شرکت توسعه دهنده همان سیستم عامل عرضه شده را سریعاً نصب نموده و بعد از رعایت کلیه موارد فوق سیستم را وارد شبکه نمایید.
Rootkitهای سطح Kernel در این جا در مورد Rootkitهای سطح هسته سیستم عامل بخصوص سیستم عاملهای مبتنی بر یونیکس اشاره ای خواهیم داشت.
این Rootkit ها به دلیل آنکه هسته مرکزی سیستم عامل را هدف قرار میدهند توسط هیچگونه از ابزارهای شناسایی Rootket مثل Tripwire که عملکرد آن متکی به هسته سیستم عامل میباشد قابل شناسایی نمی باشد.
همانطور که میدانید هسته سیستم عامل اولین بخشی است که در حافظه load (بارگذاری) شده و متعاقب آن کنترل سیستم و تمام مجوزهای دسترسی به ابزارهای شبکه، حافظه، دیسک و منابع سیستم تحت نظارت و کنترل دقیق آن اجرا میشود و علاوه بر آن تمام مجوزهای دسترسی یک پراسس به منابع سیستم نیز تنها از طریق هسته اعطاء می شود.
روشهایی که Rootkit های معمولی اجرا می نمایند در حقیقت فریب هسته سیستم عامل است در حالیکه عملکرد Rootkitهای سطح هسته اینگونه نیست.
اینگونه Rootkit ها هسته سیستم عامل را بگونه ای دستکاری می نمایند تا عملیات هسته یعنی مغز سیستم به طور کامل و پنهانی در خدمت نفوذگر قرار گیرد.
روشهای پیشگیری و مقابله با Rootkit های سطح هسته سیستم عامل با توجه به اینکه Rootkit های سطح هسته خطرناکترین نوع آلودگی سیستم عامل محسوب شده و به عنوان یک شکاف امنیتی وحشتناک می باشند.
بعنوان یک مدیر شبکه و سیستم لازم است اقدامات پیشگیرانه زیر را به صورت جدی بر روی سیستم های فعال در شبکه اعمال و اجرا نمایید: هیچکس جز مدیر سیستم نباید بالاترین سطح مجوز دسترسی به سیستم را دارا باشد زیرا هیچ نفوذگری با سطح دسترسی کمتر از rootقادر نخواهد بود هسته سیستم عامل را دستکاری نماید.
علاوه بر مورد فوق لازم است به محض آشکار شدن یک نقص امنیتی در سیستم عامل patch آنرا فقط از سازندگان آن تهیه نمایید.
اساساً شناسایی و کشف این Rootkit ها به تجربه و ذکاوت شما بستگی خواهد داشت.
شما با مطالعه دقیق عملکرد اینگونه Rootkit ها قادر خواهید بود با توجه به نشانه های پنهان آنها را بر روی یک سیستم شناسایی نمایید.
یکی دیگر از روشهای مقابله با این نوع Rootkit ها استفاده از ابزارهای جستجوگر Rootkit می باشد.
یکی از ابزارهائی که در کشف چنین Rootkit هائی می تواند کمک مؤثری به مدیر سیستم نماید ابزار Rootkit Ch میباشد .
این ابزار سعی می کند با شناسائی محدودیت هائی که یک هسته آلوده ایجاد میکند به دنبال ردپاهای شناخته شده بر روی سیستم گشته و آنها را کشف نماید.
عدم استفاده از قابلیت LKM در سیستم عاملهای مبتنی بر یونیکس این امکان را به شما میدهد هیچگونه تغییر مخربی در هسته سیستم عامل قابل اجرا نباشد.
نصب Host – based IDS بر روی سیستم های حساس و حیاتی شبکه نیز یکی از موارد مهم جهت مقابله با اینگونه تهدیدات محسوب می شود.
استفاده از Honeypotیعنی نصب یک Rootkit توسط خودتان برای جلب توجه، فریب و شناسائی نفوذگران.
آخرین مورد قابل ذکر تست و آزمایش سیستم ها با استفاده از ابزارهای کشف کننده نقاط آسیب پذیر (VA ) میباشد.
نتیجه گیری با توجه به مطالب گفته شده مدیران شبکه ، باید با استفاده از نرم افزارهای موجود و به روز از نفوذ نفوذگران جلوگیری نمایند.
یکی از بهترین روش ها در جلوگیری از نفوذ نفوذگران آشنایی با این افراد و شیوه هایی که این افراد برای نفوذ به شبکه اتخاذ می کنند می باشد.