Windows Kernel: উইন্ডোজ অপারেটিং সিস্টেমের সবচেয়ে গভীর স্তর কার্নেল কীভাবে কাজ করে এবং সাইবার অপরাধীরা কেন একে প্রধান টার্গেট বানায়?

Windows NT Kernel একটি hybrid kernel আর্কিটেকচার অনুসরণ করে — এটি monolithic এবং microkernel ডিজাইনের সংমিশ্রণ। প্রধান কার্নেল উপাদান ntoskrnl.exe-তে অবস্থিত, যা প্রায় ১০ মেগাবাইটের একটি ফাইল যা বুট সময়ে মেমরিতে লোড হয় এবং সিস্টেম চলাকালীন সর্বদা সেখানে থাকে।

কার্নেলের অভ্যন্তরে কয়েকটি প্রধান উপাদান রয়েছে:

Microkernel — যা প্রসেস শিডিউলিং, ইন্টারাপ্ট হ্যান্ডলিং এবং মাল্টিপ্রসেসর সিনক্রোনাইজেশন পরিচালনা করে। এটি অত্যন্ত ছোট এবং অপটিমাইজড কোড।

Hardware Abstraction Layer (HAL) — hal.dll-এ অবস্থিত, এটি বিভিন্ন হার্ডওয়্যার প্ল্যাটফর্মের পার্থক্যকে কার্নেলের বাকি অংশ থেকে আলাদা করে। একই Windows বিভিন্ন CPU আর্কিটেকচারে চলতে পারে এই HAL-এর কারণে।

Executive Services — এটি কার্নেলের বৃহত্তম উপাদান এবং Object Manager, Process Manager, Memory Manager, I/O Manager, Security Reference Monitor, Cache Manager এবং অন্যান্য সাবসিস্টেম অন্তর্ভুক্ত করে।

Device Drivers — যদিও ব্যবহারকারীরা ভাবেন ড্রাইভার একটি আলাদা স্তর, প্রকৃতপক্ষে ড্রাইভারগুলো কার্নেল মোডে চলে এবং কার্নেলের সাথে একই বিশেষাধিকার ভাগাভাগি করে। এই কারণেই দুর্বল বা দূষিত ড্রাইভার বিশাল নিরাপত্তা ঝুঁকি।

Intel এবং AMD প্রসেসরে চারটি বিশেষাধিকার স্তর (Ring 0 থেকে Ring 3) রয়েছে, কিন্তু Windows শুধু দুটি ব্যবহার করে: Ring 0 (Kernel Mode) এবং Ring 3 (User Mode)। এই বিভাজন নিরাপত্তার ভিত্তি।

User Mode-এ চলা প্রসেসগুলো হার্ডওয়্যারে সরাসরি অ্যাক্সেস পায় না; তাদের সিস্টেম কলের মাধ্যমে কার্নেলের সাহায্য নিতে হয়। যখন আপনি Notepad খুলে একটি ফাইল সংরক্ষণ করেন, Notepad প্রকৃতপক্ষে CreateFile API কল করে, যা ntdll.dll-এর মাধ্যমে syscall ইন্টারাপ্ট জারি করে কার্নেলে নিয়ন্ত্রণ স্থানান্তর করে।

Kernel Mode-এ থাকা কোড সিস্টেমের যেকোনো মেমরি লোকেশন পড়তে এবং লিখতে পারে, যেকোনো হার্ডওয়্যার নির্দেশনা সম্পাদন করতে পারে এবং নিরাপত্তা চেক বাইপাস করতে পারে। এই কারণেই কার্নেল-মোড ম্যালওয়্যার এত বিধ্বংসী — একবার এটি কার্নেলে পৌঁছালে, ঐতিহ্যবাহী User Mode অ্যান্টিভাইরাস কার্যত অসহায়।

কার্নেলের দৃষ্টিকোণ থেকে প্রতিটি প্রসেস হলো EPROCESS নামক একটি ডেটা স্ট্রাকচার। এই স্ট্রাকচারে প্রসেসের সমস্ত তথ্য রয়েছে: ভার্চুয়াল ঠিকানা স্পেস, টোকেন, সিকিউরিটি ডিস্ক্রিপ্টর, এবং থ্রেডের তালিকা।

প্রতিটি থ্রেড একটি ETHREAD স্ট্রাকচার দ্বারা প্রতিনিধিত্ব করা হয়। কার্নেল প্রসেস এবং থ্রেডগুলোকে ডবল-লিঙ্কড লিস্টে সংরক্ষণ করে। আকর্ষণীয় বিষয় হলো, একটি কার্নেল-মোড রুটকিট এই লিস্ট থেকে একটি প্রসেসের এন্ট্রি সরিয়ে ফেলতে পারে। তখন Task Manager, tasklist.exe বা এমনকি অনেক অ্যান্টিভাইরাস সেই প্রসেস দেখতে পাবে না — কিন্তু সিপিইউ এখনও তা সম্পাদন করতে থাকবে কারণ শিডিউলার অন্য একটি ডেটা স্ট্রাকচার ব্যবহার করে। এই কৌশলটি Direct Kernel Object Manipulation (DKOM) নামে পরিচিত।

System Service Dispatch Table (SSDT) হলো একটি অ্যারে যা প্রতিটি সিস্টেম কলের জন্য কার্নেল ফাংশনের ঠিকানা ধারণ করে। যখন User Mode থেকে একটি syscall আসে, কার্নেল SSDT-তে খুঁজে দেখে এবং সংশ্লিষ্ট ফাংশন কল করে।

আগের যুগে রুটকিটগুলো SSDT-এর এন্ট্রিগুলো পরিবর্তন করে নিজেদের ম্যালিশিয়াস ফাংশনের দিকে পয়েন্টার নির্দেশ করত। উদাহরণস্বরূপ, NtQueryDirectoryFile-এর এন্ট্রি পরিবর্তন করে এটি নিশ্চিত করা যেত যে নির্দিষ্ট ফাইল ডিরেক্টরি তালিকায় দেখানো হবে না।

Microsoft এই হুমকির বিরুদ্ধে x64 Windows-এ Kernel Patch Protection বা PatchGuard প্রবর্তন করেছে। PatchGuard নিয়মিত গুরুত্বপূর্ণ কার্নেল স্ট্রাকচারগুলো (SSDT, IDT, GDT, MSRs, প্রধান কার্নেল কোড) পরীক্ষা করে এবং কোনো পরিবর্তন দেখলে BSOD (Blue Screen of Death) ট্রিগার করে। এটি SSDT হুকিং-কে কার্যত অসম্ভব করে তুলেছে আধুনিক Windows-এ।

কার্নেলে নিজের কোড সম্পাদনের প্রচলিত উপায় হলো একটি ড্রাইভার ইনস্টল করা। তবে আধুনিক Windows-এ কার্নেল-মোড ড্রাইভার Microsoft-দ্বারা ডিজিটালভাবে স্বাক্ষরিত হতে হবে (Driver Signature Enforcement)। এর জন্য Extended Validation (EV) সার্টিফিকেট প্রয়োজন যা পেতে কঠিন এবং ব্যয়বহুল।

আক্রমণকারীরা এই বাধা পাশ কাটাতে কয়েকটি পদ্ধতি ব্যবহার করে:

Bring Your Own Vulnerable Driver (BYOVD) — এই কৌশলে আক্রমণকারীরা একটি বৈধ স্বাক্ষরিত কিন্তু দুর্বল ড্রাইভার লোড করে এবং তার দুর্বলতা কাজে লাগিয়ে কার্নেল কোড সম্পাদন করে। RTCore64.sys, gdrv.sys এবং অন্যান্য কয়েক ডজন ড্রাইভার এই উদ্দেশ্যে ব্যবহৃত হয়েছে। Microsoft এখন একটি Vulnerable Driver Blocklist বজায় রাখে যা HVCI সক্ষম থাকলে এই ড্রাইভারগুলো লোড করা থেকে আটকায়।

Test Signing Mode বা Debug Mode — যদি সিস্টেম বুট লোডারে এই বিকল্পগুলো সক্ষম থাকে, অস্বাক্ষরিত ড্রাইভার লোড করা যায়। তবে এটি সম্পাদন করতে অ্যাডমিনিস্ট্রেটিভ অ্যাক্সেস এবং বুট কনফিগারেশন পরিবর্তন প্রয়োজন।

UEFI Secure Boot এবং Boot Configuration Data (BCD) সঠিকভাবে কনফিগার করা থাকলে এই কৌশলগুলো ব্যর্থ হয়।

Kernel exploitation-এ আক্রমণকারীরা সাধারণত পরিচিত দুর্বলতা শ্রেণিগুলো লক্ষ্য করে:

Pool Overflow — Kernel Memory Pool-এ buffer overflow। সঠিকভাবে কাজে লাগালে এটি কার্নেল মেমরিতে নিয়ন্ত্রিত লেখা প্রদান করে।

Use-After-Free (UAF) — যখন একটি কার্নেল অবজেক্ট মুক্ত করার পরও তার পয়েন্টার ব্যবহার করা হয়। আক্রমণকারী মুক্ত মেমরিতে নিজের ডেটা স্থাপন করে নিয়ন্ত্রণ ফ্লো হাইজ্যাক করতে পারে।

Type Confusion — যখন কার্নেল একটি অবজেক্টকে ভুল টাইপ হিসেবে ব্যাখ্যা করে।

Race Conditions — মাল্টিথ্রেডেড পরিবেশে সিনক্রোনাইজেশনের অভাব।

NULL Pointer Dereference — পুরনো যুগে এটি কার্নেল exploitation-এর একটি জনপ্রিয় পথ ছিল, কিন্তু আধুনিক Windows-এ NULL পেজ ম্যাপিং প্রতিরোধ করা হয়েছে।

Microsoft Bug Bounty প্রোগ্রাম কার্নেল দুর্বলতার জন্য সর্বোচ্চ পুরস্কার প্রদান করে, যা প্রায়ই $২৫০,০০০ পর্যন্ত হতে পারে।

Microsoft গত দশকে কার্নেল নিরাপত্তায় বিশাল বিনিয়োগ করেছে। কিছু গুরুত্বপূর্ণ প্রতিরক্ষা:

Kernel Address Space Layout Randomization (KASLR) — প্রতিটি বুটে কার্নেল মেমরি ঠিকানা র‍্যান্ডমাইজ করে। আক্রমণকারীকে exploitation-এর আগে কার্নেলের ঠিকানা leak করতে হয়।

Supervisor Mode Execution Prevention (SMEP) — কার্নেল মোডকে User Mode পেজ থেকে কোড সম্পাদন করতে বাধা দেয়। এটি অনেক ক্লাসিক kernel exploit-কে অকেজো করে দিয়েছে।

Supervisor Mode Access Prevention (SMAP) — কার্নেল মোডকে User Mode মেমরি পড়তে বা লিখতে বাধা দেয়।

Control Flow Guard (CFG) এবং eXtended Flow Guard (XFG) — পরোক্ষ কল এবং রিটার্নের গন্তব্য যাচাই করে।

Hypervisor-protected Code Integrity (HVCI) — Hyper-V হাইপারভাইজার ব্যবহার করে কার্নেল মেমরি অখণ্ডতা প্রয়োগ করে। সক্ষম থাকলে শুধু স্বাক্ষরিত কোডই কার্নেল মোডে সম্পাদিত হতে পারে।

Virtualization-Based Security (VBS) — সংবেদনশীল সিস্টেম উপাদান (LSA secrets, কোড অখণ্ডতা পলিসি) একটি বিচ্ছিন্ন ভার্চুয়াল পরিবেশে রাখে যেখানে কার্নেল-মোড আক্রমণকারীও পৌঁছাতে পারে না।

প্রথম প্রজন্মের রুটকিটগুলো User Mode-এ চলত এবং API hooking-এর মাধ্যমে নিজেদের লুকাত। দ্বিতীয় প্রজন্ম Kernel Mode-এ স্থানান্তরিত হয়েছিল, যেখানে SSDT hooking এবং DKOM ব্যবহার করা হত।

বর্তমান প্রজন্মের পরিশীলিত আক্রমণ বুটকিট পর্যায়ে চলে যাচ্ছে — যেখানে ম্যালওয়্যার অপারেটিং সিস্টেমেরও আগে UEFI বা MBR-এ চলে। LoJax এবং MosaicRegressor-এর মতো ম্যালওয়্যার UEFI ফার্মওয়্যার সংক্রমিত করতে পারে, যা হার্ড ড্রাইভ ফরম্যাট করেও দূর করা যায় না।

আরেকটি উদীয়মান প্রবণতা হলো হাইপারভাইজার-স্তরের রুটকিট, যা অপারেটিং সিস্টেমকে একটি ভার্চুয়াল মেশিনে অজান্তেই ফেলে দেয় এবং তার উপরে সম্পূর্ণ নিয়ন্ত্রণ পায়।

২০২২ সালে BlackByte র‍্যানসমওয়্যার একটি BYOVD আক্রমণ পরিচালনা করেছিল। তারা RTCore64.sys নামক MSI Afterburner-এর একটি বৈধ ড্রাইভার লোড করেছিল, যাতে একটি দুর্বলতা ছিল যা arbitrary kernel memory read/write সক্ষম করত।

এই দুর্বলতা কাজে লাগিয়ে BlackByte EDR সমাধানগুলোর kernel callbacks অপসারণ করেছিল — অর্থাৎ Windows প্রসেস তৈরি, ইমেজ লোড এবং অন্যান্য ঘটনার জন্য EDR-কে আর অবহিত করছিল না। ফলে EDR সম্পূর্ণরূপে অন্ধ হয়ে গিয়েছিল এবং র‍্যানসমওয়্যার নির্বিঘ্নে ফাইল এনক্রিপ্ট করতে পেরেছিল।

এই ঘটনার পর Microsoft দ্রুত RTCore64.sys-কে Vulnerable Driver Blocklist-এ যুক্ত করেছিল। এটি প্রমাণ করে যে আধুনিক কার্নেল আক্রমণ কতটা পরিশীলিত এবং প্রতিরক্ষা কেন একটি ধারাবাহিক প্রক্রিয়া।

কার্নেল-স্তরের হুমকি থেকে রক্ষা পেতে এই পদক্ষেপগুলো অপরিহার্য:

Memory Integrity (HVCI) সক্ষম করুন। এটি অসংখ্য কার্নেল আক্রমণ প্রতিরোধ করে এবং BYOVD সীমাবদ্ধ করে।

Microsoft Vulnerable Driver Blocklist সক্ষম রাখুন এবং নিয়মিত আপডেট করুন।

Secure Boot সক্ষম করুন। এটি বুট-স্তরের ম্যালওয়্যার যেমন বুটকিট থেকে রক্ষা করে।

Credential Guard সক্ষম করুন। এটি LSA secrets একটি বিচ্ছিন্ন VBS পরিবেশে রাখে।

নিয়মিত ফার্মওয়্যার আপডেট প্রয়োগ করুন। UEFI ফার্মওয়্যার আপডেট প্রায়ই উপেক্ষিত হয় কিন্তু সমালোচনামূলক।

EDR সমাধান মোতায়েন করুন যা কার্নেল কলব্যাক ট্যাম্পারিং সনাক্ত করতে পারে।

বুট লগ এবং Driver loading পর্যবেক্ষণ করুন। অস্বাভাবিক ড্রাইভার লোড একটি লাল পতাকা।

ব্যবসায়িক প্রয়োজন না থাকলে Test Signing এবং Debug Mode নিষ্ক্রিয় রাখুন।