محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

ابزار AFICK چیست؟ آموزش مقابله با Rootkit ها با راهکار SIV

بدافزار Rootkit خطرناکترین چیزی است که در یک سازمان ممکن است برای سرورهای شما رخ بده، یک هکر وب سرور و سیستم عامل های شما را هک کرده است و شما نه خبر دارید و نه خبردار خواهید شد که چنین اتفاقی افتاده است ، نه آنتی ویروس می تواند جلوی Rootkit را بگیرد و نه هیچ چیز دیگر ، در واقع می توان گفت تنها راهکار مقابله با Rootkit ها استفاده از مکانیزمهای پیشگیری است ، یک Rootkit خودش را بر روی فایل های سیستمی قرار می دهد و تمامی آثاری که یک هکر بر روی سیستم قرار داده است اعم از پورت های باز ، فایل های ترجان ، پردازش های CPU و ... را مخفی می کند. اما راهکار چیست ؟ راهکار مقابله با Rootkit ها مکانیزمی به نام SIV یا Signature Integrity Verifier است . اما در مکانیزم SIV چه اتفاقی می افتد ؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
معرفی راهکار مقابله با rootkit با afick

در مکانیزم های SIV یک نرم افزار از تمامی فایل های سیستم یا فایل هایی که ما انتخاب می کنیم و مستعد آلوده شدن به Rootkit هستند یک Hash تهیه می کند ، منظور از Hash این است که یک رشته از محتویات فایل خروجی گرفته می شود و این رشته منحصر به فرد خواهد بود ، به محض اینکه یک bit از این فایل ها دستکای شوند نرم افزار به شما اطلاع می دهد که اطلاعات شما دچار تغییر شده اند و احتمال آلوده شدن به Rootkit وجود دارد .

وظیفه این نرم افزارها بررسی Integrity فایل ها است یعنی اطمینان از عدم تغییر فایل ها ، قویترین و معروفترین نرم افزاری که در این حوزه فعالیت می کند نرم افزاری به نام Tripwire است که بصورت تخصصی در این حوزه فعالیت می کند و یک راهکار کلان سازمانی است اما اگر ما بخواهیم بر روی یک سرور یا چند سرور این مکانیزم را تست کنیم چطور می تونیم ؟ نرم افزار Open Source ای به نام afick وجود دارد که می تواند تا حدود زیادی تجربه استفاده از یک مکانیزم SIV را به شما ارائه بدهد ، این نرم افزار Open Source می تواند بر روی همه نوع سیستم عامل نصب شود و مکانیزم SIV را پیاده سازی کند ، از مهمترین امکانات این نرم افزار می توانیم به موارد زیر اشاره کنیم :

  1. این نرم افزار پرتابل یا قابل حمل است و نیازی به نصب و تغییر هیچ سیستم عاملی ندارد
  2. این نرم افزار می تواند بر روی هر سیستم عاملی اعم از ویندوز و لینوکس و یونیکس قابل استفاده است
  3. این نرم افزار نیازی به کامپایل شدن ندارد
  4. سرعت اجرای نرم افزار بالا است
  5. تمامی فایل های جدید ، حذف شده و تغییر کرده نمایش داده می شوند
  6. لینک های مشکوک در فایل ها را شناسایی می کند
  7. امکان استفاده توسط هر کاربری را دارد
  8. امکان دریافت Hash بصورت MD5 و الگوریتم های دیگر وجود دارد و ...

اما هدف من معرفی یک نرم افزار نیست ، هدف من معرفی یک راهکار است ، اینکه ما بدانیم چگونه می توانیم در یک سازمان با Rootkit ها مقابله کنیم ، Tripwire برای همگان قابل استفاده نیست اما ما می توانیم با استفاده از afick همه اینکارها را انجام بدهیم ، afick بسیار ساده و کاربردی است و بعضا برای سرورهایی که بصورت stand alone فعالیت می کنند و احتمال آلودگی را دارند نیز قابل استفاده است ، afick مخفف واژه Another File Integrity ChecKer است و می تواند به عنوان یک سناریوی خوب برای پروژه های امنیتی و به ویژه دانشگاهی نیز مطرح شود. امیدوارم از این مطلب حداقل استفاده را کرده باشید. اگر سئوالی در این خصوص دارید در ادامه می توانید مطرح کنید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات