Netcrook Logo
👤 KERNELWATCHER
🗓️ 06 Mar 2026  

غزاة غير مرئيين: كيف تُحوِّل الروتكِتات المتقدمة في لينكس ميزات النواة إلى أسلحة

العنوان الفرعي: يستغل مهاجمون متطورون eBPF وio_uring للتفوق على أدوات الأمن الحديثة والاختباء على مرأى من الجميع داخل أنظمة لينكس.

كان نظام التشغيل لينكس، الذي اعتُبر يومًا حصنًا للبنى التحتية المؤسسية والسحابية، يواجه الآن سلالة جديدة من الغزاة. ولّت الأيام التي كان فيها المهاجمون يعتمدون على اختراقات بدائية يسهل اكتشافها. اليوم، يحوّل مجرمو الإنترنت ميزات النظام المتقدمة نفسها - المصممة للسرعة وقابلية الرصد - إلى أسلحة تخفٍّ قوية. مرحبًا بكم في عصر روتكِتات eBPF وio_uring، حيث يتسلل المهاجمون متجاوزين الدفاعات عبر الاختباء في قلب نواة لينكس ذاتها.

الجيل القادم من روتكِتات لينكس

لسنوات، كانت ويندوز الهدف الرئيسي لمطوري الروتكِت. لكن مع تشغيل لينكس لعدد أكبر من خوادم العالم وسُحُبه وأجهزة إنترنت الأشياء، غيّر المهاجمون تركيزهم وتكتيكاتهم. كانت روتكِتات لينكس المبكرة تستخدم عادةً حقنًا في فضاء المستخدم أو وحدات نواة قابلة للتحميل (LKMs) - وهي أساليب باتت اليوم محجوبة إلى حد كبير بفعل ضوابط أمنية أشد مثل Secure Boot وتوقيع الوحدات.

هنا يأتي دور eBPF وio_uring: واجهتان متقدمتان في النواة بُنيتا للأداء وقابلية الرصد، ويجري الآن اختطافهما لهجمات التخفي. وقد كشف باحثو الأمن في Elastic كيف تُلوى هذه الميزات - التي وُجدت لتمكين المطورين وتسريع التطبيقات - لتصبح أدوات مراوغة واستمرارية.

eBPF: محرك التخفي لدى الهاكر

يُشبه مرشح حزم بيركلي الموسّع (eBPF) دماغًا قابلًا للبرمجة داخل نواة لينكس. صُمم eBPF للترشيح الآمن للحزم والتتبّع، ويتيح تشغيل الشيفرة أصليًا داخل النواة - من دون تحميل أي وحدات جديدة. وهذا حلم للمهاجمين: يمكنهم ربط خطافات باستدعاءات النظام، وإخفاء العمليات، أو ترشيح حركة الشبكة، وكل ذلك مع البقاء غير مرئيين أمام ماسحات الروتكِت القياسية مثل rkhunter أو chkrootkit.

تُظهر أدوات إثبات المفهوم مثل TripleCross وBoopkit كيف يمكن إساءة استخدام eBPF لاعتراض الأوامر، والتلاعب بالتنفيذ، أو حتى إنشاء قنوات خفية للتحكم والسيطرة. وبما أن روتكِتات eBPF لا تتطلب تعديلات على النواة، فهي تتجاوز بسهولة العديد من آليات الدفاع.

io_uring: المُشغِّل الصامت

قُدِّم io_uring في لينكس 5.1، وصُمم لتعزيز الإدخال/الإخراج عبر تجميع العمليات مباشرةً في فضاء النواة. أدرك المهاجمون أن هذا التجميع يخفّض أيضًا الضجيج الدالّ لاستدعاءات النظام الفردية، ما يعمي كثيرًا من أدوات الأمن التي تعتمد على مراقبة syscalls. ومن خلال تمرير طابور من الأفعال الخبيثة عبر io_uring، تستطيع روتكِتات مثل RingReaper القراءة والكتابة والاتصال دون إطلاق إنذارات - لتترك المدافعين في الظلام.

إن الجمع بين خطافات eBPF غير المرئية وقدرة io_uring على كتم الضجيج يمثل قفزة خطيرة إلى الأمام. ومع ترسيخ لينكس لهيمنته في مراكز البيانات، يجب على المدافعين التحول إلى مراقبة أعمق وأكثر دقة لاكتشاف هؤلاء المتسللين الظليين.

نظرة إلى الأمام: محاربة الظلال بالظلال

سباق التسلح بين المهاجمين والمدافعين يدخل مرحلة جديدة. فالميزات نفسها في النواة التي تجعل لينكس سريعًا ومرنًا تُحوَّل الآن إلى أسلحة ضده. لم يعد بإمكان فرق الأمن الاعتماد على الكشف التقليدي - بل عليها الابتكار، والتنقيب في أعماق النواة بحثًا عن مؤشرات إساءة الاستخدام. في معركة لينكس، لم يكن الخط الفاصل بين الأداة والتهديد أرقّ من أي وقت مضى.

WIKICROOK

  • روتكِت: الروتكِت برمجية خبيثة متخفية تُخفي نفسها على جهاز، ما يتيح للمهاجمين التحكم بالنظام سرًا وتفادي الاكتشاف.
  • eBPF: eBPF تقنية في نواة لينكس لتشغيل برامج آمنة ومعزولة (sandboxed)، تُمكّن ميزات متقدمة للمراقبة والتتبّع والأمن دون تغييرات على النواة.
  • io_uring: io_uring نظام فرعي في لينكس لإدخال/إخراج سريع وغير متزامن، يتيح نقلًا فعالًا للبيانات بين التطبيقات والنواة بزمن كمون منخفض.
  • Secure Boot: Secure Boot ميزة أمنية تتحقق من سلامة البرمجيات عند بدء التشغيل، وتمنع تشغيل الشيفرة غير المصرح بها أو المُعبث بها على جهازك.
  • استدعاء النظام (Syscall): استدعاء النظام هو طلب من البرمجيات إلى نواة نظام التشغيل للحصول على خدمات مثل الوصول إلى الملفات، والتحكم بالعمليات، أو الاتصال الشبكي.
Linux rootkits eBPF io_uring
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news