بسم الله الرحمن الرحيم
ان دراسة اساليب الاختراق والالمام بخدع المخترق هي احد الطرق الاكيدة والفعالة والمباشرة للحماية من الاختراق وتساوي فى اهميتها تركيب اعظم برامج الحماية
فلم تعد الطرق التقليدية والتى عرفها المخترق فى الماضي تشبع كثيرا رغبتة وطموحه لتحقيق اهدافه المعلنة وغير المعلنة ،فقد لاحقته وسائل الاعلام بالاساليب المختلفة لتوعية المستخدم والتحذير من الوقوع فى براثنه وحيله كما طورت برامج الحماية بكافة اشكالها لوقف مكايد ودحر خطط المخترق ولكن لم يقف المخترق مكتوف الايدي فهناك صراع متزامن دائما بين
الخير والشر فقام المخترق بتطوير وسائله من الخداع والمراوغة لاصطياد فريسته
تهدف هذه الدراسة الى توعية القارئ فى جملة بسيطة الى احدث اساليب ووسائل المخترق بهدف الحماية الذاتية التى ثبت اهميتها القصوى فى اطار الصراع المتزامن بين الطرفين الهاكرز و برامج الحماية
استعراض بعضا من تلك الوسائل اولا Trojanyلم يقتنع الهاكرز كثيرا بارسال تروجان للضحية بحجم 200- 400 – 600 – .. ك بايت اذ يتوقع المستخدممن هذا الحجم برنامج قابل للتنفيذ وليس رسالة خطا تدفعه للشك كذلك فى حالة ربط التروجان مع احد البرامج الحميدة فبعد التنفيذ سيختفي التروجان الاصلي ويظل الملف الحميد melt server after executionولذلك يلزم ان يكون فرق الحجم ضئيل جدا بين حجم الملف الحميد وبين الملف النهائي بحيث لايزيد الفرق عن 3- 4 ك بايتفى اسوأ الحالات لتفادي شك المستخدم لذ اعتبر ان الحجم هو احد التحديات فطور الهاكرز نوعين من البرامح والتقنيات
النوع الاول
برامج يطلق عليها الداون لدورز
web downloaders
تقوم بتكوين تروجان لايزيد حجمه عن 1- 4 ك بايت وهو ماسيرسل للمستخدم وبمجرد تشغيله يقوم بتحميل التروجان الاصلي ذو الحجم الاكبر والمرفوع مسبقا الى موقع الهاكرز مباشرة الى جهاز الضحية بل وتنفيذه دون تدخل الهاكرز وتحقيق الاصابة
النوع الثاني
برامج يطلق عليها
uploaders
تلك البرامج ايضا تقوم بتكوين سيرفر صغير الحجم يتراوح بين 8 – 16 ك و بمجرد ان يقوم المستخدم بتشغيله يمتلك المخترق بورت مفتوح يمكن من خلاله تحميل التروجان الكبير
وتكمن خطورة تلك البرامج انها تتحكم فى كافة العمليات النشطة بنظام التشغيل
windows and tasks processes
ثانيا
FWB – FireWall Bypasser
اختراق الجدران النارية تعتبر تلك التقنية بحق من اخطر ماتوصل اليه المخترق فباحد اكواد لغة الديلفي البسيطة يندمج التروجان مع
تعريف الويندوز اكسبلورر وبالتالي يحدث الاتصال بين الهاكرز والتروجان تحت مسمع ومراي وترحيب الجدران الناري بلو بدون اي استئذان او صلاحية باعتباره صديق عزيز للمستخدم تعيب تلك التقنية زيادة حجم التروجان بمقدار 20 ك ولكنها فى النهاية تقنية تعادل خطورة بالغة
ثالثا
ate trojan execution
التنفيذ الموقوت للتروجان احد الخدع الحديثة هي برمجة التروجان على التنفيذ فى توقيت محدد لاحق للتحميل، فعلي سبيل المثال ارسل لك شخصا حد البرامج التى لم يكتشفها الانتي فيروس
وبعد عدة ساعات او ايام او اشهر وحينما تحين ساعة الصفريتم التنفيذ
late execution
تتميز تلك الطريقة بامكانية برمجة التروجان للتنفيذ فى اوقات يتوقع عدم عمل الضحية بها لى الانترنت وبالتالي تزيد نسبة اغلاق برنامج المراقبة بالانتي فيروس
monitoring
للحصول على كفاءة اكبر للعمل بجهاز الكمبيوتركما يزيل الشك فى الصديق او الشخص او الموقعالذي كان السبب الاساسي فى الاصابة
رابعا
AV/FW killers
نظرا لان العديد من المستخدمين يقومون باغلاق خاصية المراقبة ببرنامج الانتي فيروس اثناء الابحار بالانترنت او خارجه وذلك لتحسين اداء الجهاز عامة او لان الانتي فيروس يعيق السرعة ويستهلك الكثير من الذاكرة، فقد استغل المخترق تلك النقطة وقام بابتكار برامج قاتلة الانتي فيروس والجدران النارية فعند فتح المستخدم للملف اثناء اغلاق موديول المراقبة يتم اغلاق كل برامج الحماية قاطبة الى الابد وبالتالي حتى بعد اعادة التشغيل قد تظهر الايقونة لبرامج الحماية او لاتظهر، طبقا لتصميم التروجان، ولكنها فى النهاية برامج حماية مزيفة لاتعمل وبالتاكيد انه لو ترك مويودول المراقبة بالانتي فيروس فى حالة عمل لتم اصطياد البرنامج كفيروس وانتهى الامر
خامسا
cloacking
احد الخصائص الخطيرة فاحد الطرق اليدوية للحماية التى تعتمد على دراية المستخدم وحرفيته هي مراقبة كل من
task manager
startup
windows processes
registery
ولكن ماذا تفعل لو اخفى التروجان نفسه عن ابراج المراقبة ؟؟هذا ماحدث بالفعل من خلال تلك الخاصية المضافة حديثا
سادسا
scanning using victims ips
يسعى المخترق بالدرجة الاولى لاخفاء هويته قدر الامكان عند ارتكاب جرائمه اولا بهدف اخفاء شخصيته عن الضحية ثانيا بهدف عدم تقفي الاثر من قبل السلطات المختصة حال تعقبه فاضاف الهاكرز خاصية القيام بعمل مسح للايبيهات لاصطياد البورتات المفتوحة مستخدما اجهزة الضحايا فحتى لو قام الجدار الناري بتسليم رقم الاي بي فسيكون الخاص بضحية مظلوم لايعلم ان جهازه اداة طيعة فى يد المخترق، بل وحتى لو حاولت السلطات تقفي الاثرفسيكون الضحية هو الجاني
سابعا
notification trojans
من المؤكد ان احد الطرق التى تعيق عمل المخترق هي الحصول على الرقم الفعلي للاي بي للضحية فحتى لو اصاب الضحية ولم يصل له الرقم فسيكون فى غيبوبة عن اختراقه، ولذلك قامت بمهمة محاولة اعاقة وصول رسائل الابلاغ للهاكرز مزودات خدمة البريد المجاني ومنها الهوت ميل والياهو اذ حجبت وصول رسائل العديد من التروجانات الخطيرةبل وتقوم بصورة دورية بتغيير معرفات سيرفراتها
stmp
بهدف حماية المستخدم ولكن كان للمخترق مخرج اخر فقد ابتعد تماما عن البريد فى الابلاغ واتجه الى احدث تقنيات تصميم المواقع والمفترض استعمالها فى التطور التكنولوجي وخير البشرية وعلى سبيل المثال لا الحصر
php
cgi scripting
net send messages
irc bot
icq messenger
msn messenger
regular mail on port 25
كما استخدم المخترق طريقة اخرى هي برامج متخصصة تمكن من الحصول على اي بي من هم بقائمة الميسنجر مع المخترق غير المحظورين وذلك بدون استقبال ملفات من قبل الضحية مستخدما احد الثغرات العميقة باالام اس ان ميسنجر فى اصداره السادس واخيرا قدمت بعض الشركات الخدمية للبريد تقرير كامل للهاكرز عن مستقبل الرسالة شاملا الاي بي الحقيقي وتوقيت فتح الرسالة وتاريخها وكل ماعلى المخترق هو ارسال رسالة بعنوان شيق للضحية وبمجرد فتح الرسالة البريدية سيتم وصول الاي بي للهاكرز وبدون ارسال اي رد من المستخدم او دراية بما يحدث فى الكوليس وتعتبر الشركات التى تقدم تلك الخدمات، هياكل تجارية كبرى وليس الهدف منها خدمة المخترقين ولكن دائما للهاكرز راي اخر فى تطوير التكنولوجيا الحديثة
ثامنا
java scripting
لا شك ان من اخطر الاكواد التي يمكنها تنفيذ اوامر محددة بجهاز المستخدم من خلال صفحات الويب هي اكواد الجافا وقد وصل الامر ان احد اكواد الجافا الشهيرة كانت السبب الرئيسي فى تطوير ميكروسوفت لاصدارها من الويندوز ميسنجر من الاصدار 4.7 الى الاصدار الخامس حيث يقوم كود الجافا بمجرد قيامك بفتحة صفحة الويب تتضمنه بارسال كافة قائمة الاصدقاء الموجودين بميسنجرك
addresses windows messenger lists
وذلك لبريد الهاكرز خلال ثواني معدودة ولذلك دائما ماينصح بانه فى حالة عدم احتياج صفحات الويب لدعم الجافا ان يتم عدم تفعيل تلك الخاصية من خيارات الانترنت بالمتصفح
تاسعا
redirecting
فكثيرا مانفتح احد صفحات الويب ونجد عنوان بالصفحة يعنيانه يتم الان تحويلك الى العنوان الجديد للموقع او اي رسالة مشابهة وهنا كان للهاكرز راي اخر فتصميم صفحة ويب مزيفة شبيهة بصفحة التسجيل والدخول لحسابك بالبريد لادخال بياناتك ورقمك السري بها تظهر لك بمجرد طلبك الصفحة الرئيسية للهوت ميل اوالياهو او .. وبمجرد ادخال بيانات السليمة فسيتم ارسال كلمة السروالبيانات الشخصية الى الهاكرز بينما يتم تحويلك الى الصفحة الحقيقية للبريد للدخول النظامي وذلك تحت تحت شعار
redirecting
عاشرا
extension creator
مازالت قضية امتداد التروجان احد القضايا التى تشغل بال الهاكرز فوعي المستخدم كبير والحذر دائم بعدم فتح الملفات ذات الامتدادات التفيذية واهمها
exe – pif – shs – scr – com – bat
او الاهتمام بضرورة الكشف عليها قبل التشغيل واخيرا قام الهاكرز بدراسة تصميم برامج تقوم بتوليد اي امتداد تنفيذي تعتمد تلك البرامج على فكرة ان نظام التشغيل يقوم بتنفيذ بعضا من الامتدادات ولايقوم بتنفيذ البعض الاخر بناءا على تعريف نظام التشغيل للريجستري بتلك الهيئات وعليه فان كل ماسيقوم به البرنامج تعريف الريجستري بجهاز الضحية باي امتداد مطلوب من قبل الهاكرز وعليه يمكن ان يحدد الهاكرز ان جهاز الضحية يمكنه ان يفتح تروجان على الصيغة التالية
server.jpeg
ويتم التنفيذ والاصابة بعيدا عن ادنى شك من الضحية
الحادي عشر
binding
التطور الكبير الحادث فى برامج الربط فاصبح للهاكرز الحرية فى تحديد اي مجلد يتم فيه استقرار كل من الملفات المربوطة ومكان تنفيذها واسمها بعد التنفيذ وتوقيت تنفيذ كل منهابل والاهم ذوال الملف الكبير المربوط الحامل لكل الملفات بل واصبحت ملفات الربط تشمل امكانية ربط وتنفيذ كل الهيئات
jpg- mpeg – wav- gif- dat – psd – txt – doc
ولن ننسى السهولة الشديدة التى اصبحت لتغييرايقونة الملف الرابط لتكون مشابهة للملف الحميد المربوط مزيدا فى الخداع للمستخدم بعد فتح الملف
الثاني عشر
expoliting
استخدم الهاكرز بقوة حداثة انظمة التشغيل (مثل ميكروسوفت ويندوز اكس بي) ولم يعبؤا كثيرا بالدعايات التى سبقت… صدور نظام التشغيل الاكثر أمنا …وذلك ليقينهم ان لكل نظام جديد الآف الثغرات التى تمكن من القيام بتنفيذ برنامج دون ارسال ملف وفتحه من قبل الضحية وهذا مارأيناه قريبا مع فيروس البلاستر ومن اشهر استخدامات الثغرات ماتم الهجوم به على متصفحات الانترنت اكسبلورر فى اصدارتها 5 – 5.5 حيث تتم الاصابة بتروجان بمجرد فتح صفحة ويب
الثالث عشر
remote shell
يمكن للهاكرز تنفيذ امر باضافة تروجان او فيروس لارشيف احد الملفات الموجودة بجهاز الضحية ذات الامتداد
rar
وعند فك الملف سيتم ظهور البرنامج الاصلي وستتم ايضا الاصابة
الرابع عشر
fake login messenger
برنامج صغير بمجرد ان تقوم بتشغيله يرقد مترقبا بجهازك وحينما تطلب اي من الميسنجرات بجهازك مثل
msn messenger
windows messenger
yahoo messenger
paltalk messenger
aol messenger
يقوم هذا الملف بقتل الميسنجر الاصلي مؤقتا ويظهر لك المزيف بديلا عنه وهو بشاشة مشابهة تماما للاصلي وحينما تقوم بادخال بياناتك بالميسنجر المزيف يرسلها مباشرة للهاكرز ثم يعطيك رسالة خطأ وتنتهي مهمته فيغلق ويفتح لك الميسنجر الاصلي
الخامس عشر
exe and services killing
يقوم الهاكرز من خلال برامجه بتعريف الادوات التى يستخدمها ضد الضحية لتقوم بقتل بعض الخدمات والبرامج التنفيذة الهامة التى تستخدم فى مراقبة امان الجهاز مثل
netstat.exe .. .task manager
event log – help and services –
السادس عشر
تحويل جهاز الضحية الى
sock 4 او sock5
وامكانية تحديد البورت وكلمة السر للسوكس وعليه يتحول الاي بي للضحية الى بروكسي سوكس يمكنك استخدامه فى ….؟
السابع عشر
تحويل الهاكرز لجهازه الشخصي الى سيرفر مما يمكن من تحميل التروجان مباشرة من جهازه الى الضحية بدلا من اللجوء لتحميله على احد المواقع ولذلك بمجرد ضغط الضحية على وصلة ويب نهايتها ملف باسم وهمي وباي امتداد وبمجرد الضغط على الوصلة التى ليس بها ادنى شك انها تحمل وراءها تروجانا فسيتم السؤال للضحية عن رغبته فى تحميل ملف مع العلم بان كل نظم الويندوز اكس بي التى لم يتم ترقيعها فسيتم تحميل وتنفيذ التروجان بجهاز الضحية بدون ان يشعر من خلال 4 ثغرات شهيرة بكل من
mpeg exploiting
powerpoint exploiting
quicktime exploiting
wma exploiting
midi exploiting
الثامن عشر
anonymous emailer
يمكن للهاكرز استخدام صفحات
php
لارسال ايميل مجهول المصدرشاملا اسم الراسل وايميله مع تزييف رقم الاي بي الخاص به نظرا للارسال من المتصفح مباشرة وامكانية استخدام احد البروكسيات ومن المعلوم ان تلك البرامج لارسال ايميلات مزيفة موجودة منذ القدم ولكن يعيبها اظهار رقم الاي بي للهاكرز
التاسع عشر
trojan encryption
تطورت تقنية تشفير التروجانات كثيرا جدا بشكل يفوق التصورفلاشك ان الصراع الدائر بين شركات الانتي فيروس وبين الهاكرزيكون دائما فى صالح شركات الانتي فيروس الا فى حالة واحدة هي التشفير السليم الذي لايفقد التروجان خواصه ولا يكتشفه الانتي فيروس وبالفعل تم انتاج العديد من البرامج شديدة التعقيد التى تقوم بالاخفاء الدقيق عن اعين الانتي فيروس نيابة عن الهاكرز باستخدام ملف صغير يطلق عليه
STUB
يقوم بعمل مايشبه
SHELL
لخداع الانتي فيروس كما زاد وعي والمام الهاكرز بكيفية الهيكس ايديتنج
Hex Editing
والذي يعتبر الطريقة الاخيرة التى يستحيل معها اكتشاف التروجان من قبل الانتي فيروس اذا تمت بصورة سليمة اذ يقوم الهاكرز بتغيير تعريف الهيدر للتروجان ومن ثم عدم نشره حتى لايصل ليد شركات الحماية كما استخدم مطوروا التروجانات نسخ خاصة بعد اعادة برمجتها وتغيير تعريفها لاخفائها عن برامج الانتي فيروس باستخدام
recompiling
كما يتم اصدار نسخ خاصة جدا من تلك البرامج على نطاق ضيق حتى لاتصل لشركات الحماية
VIP Releases
العشرون
استخدام مزايا ملفات الفلاش والسويش وامكانية تحميل ملف بمجرد مرور الماوس خاصة بالمواقع والمنتديات لزرع التروجانات و
go to URL on roll Over
الحادي والعشرون
استخدام اسماء مزيفة وخادعة للتروجانات تشابه الكائن منها ضمن البرامج العاملة فى المجلد
c:\windows/sytems32
والذي يفوق حجمه 600 ميجا بايت فى زام التشغيل ويندوز اكس بيمما يعيق مراجعة كل متوياته للتحقق من مصداقية الاسمنماذاج للمسميات الخادعة الشهيرة
windowssys32.exe
winsock16.exe
antivirus.exe
shellhigh.exe
windowstartup.exe
واخيرا ارجو ان اكون قد وفقت فى طرح بعض الوسائل التى امكن الالمام بها والتى قد تضيف للبعض منا قدرا من الحماية الذاتية
ويظل السؤال مطروحا للنقاش هل نحن فى أمان مع شركات الحماية ؟ هل مازالت اهم الاطروحات التى تشغل بال المستخدم ؟ هي اي البرامج تفضل المكافي – النورتون – البي سي سيليون – الكاسباريسكي ؟ هل مازلت تنتظر تحذير الجدار الناري بمحاولة اختراقك ؟ هل مازلت تعتمد فى الحماية على مراجعة قوائم بدأ التشغيل وشاشات ادارة المهام والعمليات النشطة؟ هل تثق فى ابتسامات البريد المجاني برسائله الرائعة ؟
NO VIRUS FOUND
تم بحمد الله
المصدر
