انتبه هذه احدث طرق الاختراق

بسم الله الرحمن الرحيمان دراسة اساليب الاختراق والالمام بخدع المخترقهي احد الطرق الاكيدة والفعالة والمباشرة للحماية من الاختراقوتساوي فى اهميتها تركيب اعظم برامج الحمايةمابقتش الطرق التقليدية الي عرفها المخترق زمان ترضي غروره وطموحه لتحقيق اهدافه المعلنة وغير المعلنة،فقد لاحقته وسائل الاعلام بالاساليب المختلفة لتوعيةالمستخدموالتحذير من الوقوع فى براثنه وحيله كما طورت برامج الحمايةبكافة اشكالها لوقف مكايد و خطط المخترقولكن لم يقف المخترق مكتوف الايدي فهناك صراع متزامندائما بين الخير والشر فقام المخترق بتطوير وسائلهمن الخداع والمراوغة لاصطياد فريستهتهدف هذه الدراسة الى توعية القارئ فى جملة بسيطة الى احدثاساليب ووسائل المخترق بهدف الحماية الذاتيةالتى ثبت اهميتها القصوى فى اطار الصراع المتزامن بين الطرفين(الهاكرز VS برامج الحماية)يعني يا احنا ياهمااستعراض بعضا من تلك الوسائلاولاTrojanyلم يقتنع الهاكرز كثيرا بارسال تروجان للضحيةبحجم 200- 400 - 600 - .. ك بايت اذ يتوقع المستخدممن هذا الحجم برنامج قابل للتنفيذ وليس رسالة خطا تدفعه للشككذلك فى حالة ربط التروجان مع احد البرامج الحميدةفبعد التنفيذ سيختفي التروجان الاصلي ويظل الملف الحميدmelt server after executionولذلك يلزم ان يكون فرق الحجم ضئيل جدا بين حجم الملف الحميدوبين الملف النهائي بحيث لايزيد الفرق عن 3- 4 ك بايتفى اسوأ الحالات لتفادي شك المستخدملذ اعتبر ان الحجم هو احد التحدياتفطور الهاكرز نوعين من البرامح والتقنياتالنوع الاولبرامج يطلق عليها الداون لدورزweb downloadersتقوم بتكوين تروجان لايزيد حجمه عن 1- 4 ك بايتوهو ماسيرسل للمستخدم وبمجرد تشغيله يقوم بتحميلالتروجان الاصلي ذو الحجم الاكبر والمرفوع مسبقاالى موقع الهاكرز مباشرة الى جهاز الضحيةبل وتنفيذه دون تدخل الهاكرز وتحقيق الاصابةالنوع الثانيبرامج يطلق عليها uploadersتلك البرامج ايضا تقوم بتكوين سيرفر صغير الحجميتراوح بين 8 - 16 ك و بمجرد ان يقوم المستخدمبتشغيله يمتلك المخترق بورت مفتوح يمكن من خلاله تحميلالتروجان الكبير، وتكمن خطورة تلك البرامج انها تتحكم فى كافةالعمليات النشطة بنظام التشغيل windows and tasks processesثانياFWB - FireWall Bypasserاختراق الجدران الناريةتعتبر تلك التقنية بحق من اخطر ماتوصل اليه المخترق فباحداكواد لغة الديلفي البسيطة يندمج التروجان مع تعريفالويندوز اكسبلورر وبالتالي يحدث الاتصال بين الهاكر والتروجانتحت مسمع ومراي وترحيب الجدران الناري بلوبدون اي استئذان او صلاحية باعتباره صديق عزيز للمستخدمتعيب تلك التقنية زيادة حجم التروجان بمقدار 20 ك ولكنهافى النهاية تقنية تعادل خطورة بالغةثالثاlate trojan executionالتنفيذ الموقوت للتروجاناحد الخدع الحديثة هي برمجة التروجان على التنفيذ فىتوقيت محدد لاحق للتحميل، فعلي سبيل المثال ارسل لك شخصاحد البرامج التى لم يكتشفها الانتي فيرسوبعد عدة ساعات او ايام او اشهر وحينما تحين ساعة الصفريتم التنفيذ late executionتتميز تلك الطريقة بامكانية برمجة التروجان للتنفيذ فى اوقات يتوقععدم عمل الضحية بها لى الانترنت وبالتالي تزيد نسبة اغلاق برنامجالمراقبة بالانتي فيرس monitoring للحصول على كفاءةاكبر للعمل بجهاز الكمبيوتركما يزيل الشك فى الصديق او الشخص او الموقعالذي كان السبب الاساسي فى الاصابةرابعاAV/FW killersنظرا لان العديد من المستخدمين يقومون باغلاق خاصية المراقبةببرنامج الانتي فيرس وهما علي النت وذلكلتحسين اداء الجهاز عامة او لان الانتي فيرس بيبطئ السرعةويستهلك الكثير من الذاكرة، فقد استغل المخترق تلك النقطةوقام بابتكار برامج قاتلة الانتي فيرس والجدران الناريةفعند فتح المستخدم للملف اثناء اغلاق موديول المراقبةيتم اغلاق كل برامج الحماية قاطبة الى الابدوبالتالي حتى بعد اعادة التشغيل قد تظهر الايقونة لبرامج الحمايةاو لاتظهر، طبقا لتصميم التروجان، ولكنها فى النهاية برامجحماية مزيفة لاتعمل وبالتاكيد انه لو ترك مويودول المراقبةبالانتي فيروس فى حالة عمل لتم اصطياد البرنامج كفيروسوشكرا علي كدهخامساcloackingاحد الخصائص الخطيرة فاحد الطرق اليدوية للحماية التىتعتمد على دراية المستخدم وحرفيته هي مراقبة كل منtask managerstartupwindows processesregisteryولكن ماذا تفعل لو اخفى التروجان نفسه عن ابراج المراقبة ؟؟وده الي حصل فعلا من خلال تلك الخاصية المضافة حديثاسادساscanning using victims ipsيسعى المخترق بالدرجة الاولى لاخفاء هويته قدر الامكانعند ارتكاب جرائمه اولا بهدف اخفاء شخصيته عن الضحيةفضاف الهاكر خاصية القيام بعمل مسح للايبيهاتلاصطياد البورتات المفتوحة مستخدما اجهزة الضحايافحتى لو قام الجدران الناري بتسليم رقم الاي بيفسيكون الخاص بضحية مظلوم لايعلم ان جهازه اداة طيعةفى يد المخترق، بل وحتى لو حاولت الحكومه توصله فهيكون الضحية هو الجانيسابعاnotification trojansمن المؤكد ان احد الطرق التى تعيق عمل المخترق هيالحصول على الرقم الفعلي للاي بي للضحية فحتىلواصاب الضحية ولم يصل له الرقم فسيكون فى غيبوبةعن اختراقه، ولذلك قامت بمهمة محاولة اعاقة وصول رسائل الابلاغللهاك مزودات خدمة البريد المجاني ومنها الهوت ميل والياهواذ حجبت وصول رسائل العديد من التروجانات الخطيرةبل وتقوم بصورة دورية بتغيير معرفات سيرفراتها stmpبهدف حماية المستخدمولكن كان للمخترق مخرج اخر فقد ابتعد تماما عن البريد فى الابلاغواتجه الى احدث تقنيات تصميم المواقع والمفترض استعمالهافى التطور التكنولوجي وخير البشرية وعلى سبيل المثال لا الحصرphpcgi scriptingnet send messagesirc boticq messengermsn messengerregular mail on port 25كما استخدم المخترق طريقة اخرى هي برامج متخصصةتمكن من الحصول على اي بي من هم بقائمة الميسنجر مع المخترقغير المحظورين وذلك بدون استقبال ملفات من قبل الضحيةمستخدما احد الثغرات العميقة باالام اس ان ميسنجر فىاصداره السادسواخيرا قدمت بعض الشركات الخدمية للبريد تقرير كاملللهاكر عن مستقبل الرسالة شاملا الاي بي الحقيقيوتوقيت فتح الرسالة وتاريخهاوكل ماعلى المخترق هو ارسال رسالة بعنوان جامد للضحيةوبمجرد فتح الرسالة البريدية سيتم وصول الاي بي للهاكروبدون ارسال اي رد من المستخدم او دراية بما يحدث فى الكوليسوتعتبر الشركات التى تقدم تلك الخدمات، هياكل تجارية كبرىوليس الهدف منها خدمة المخترقينولكن دائما للهاكرز راي اخر فى تطويع التكنولوجيا الحديثةثامناjava scriptingلا شك ان من اخطر الاكواد التي يمكنها تنفيذ اوامر محددةبجهاز المستخدم من خلال صفحات الويب هي اكواد الجافاوقد وصل الامر ان احد اكواد الجافا الشهيرةكانت السبب الرئيسي فى تطوير ميكروسوفت لاصدارهامن الويندوز ميسنجر من الاصدار 4.7 الى الاصدار الخامسحيث يقوم كود الجافا بمجرد قيامك بفتحة صفحة الويب تتضمنهبارسال كافة قائمة الاصدقاء الموجودين بميسنجركaddresses windows messenger listsوذلك لبريد الهاكر خلال ثواني معدودةولذلك دائما ماينصح بانه فى حالة عدم احتياج صفحات الويبلدعم الجافا ان يتم عدم تفعيل تلك الخاصية من خيارات الانترنتبالمتصفحتاسعاredirectingفكثيرا مانفتح احد صفحات الويب ونجد عنوان بالصفحة يعنيانه يتم الان تحويلك الى العنوان الجديد للموقع او اي رسالة مشابهةوهنا كان للهاكر راي اخر فتصميم صفحة ويب مزيفة شبيهة بصفحةالتسجيل والدخول لحسابك بالبريد لادخال بياناتك ورقمك السريبها تظهر لك بمجرد طلبك الصفحة الرئيسية للهوت ميل اوالياهو او ..وبمجرد ادخال بيانات السليمة فسيتم ارسال كلمةالسروالبيانات الشخصية الى الهاكر بينما يتم تحويلكالى الصفحة الحقيقية للبريد للدخول النظاميوذالك تحت تحت شعار redirectingعاشراextension creatorمازالت قضية امتداد التروجان احد القضايا التى تشغل بال الهاكرزفوعي المستخدم كبير والحذر دائم بعدم فتح الملفاتذات الامتدادات التفيذية واهمهاexe - pif - shs - scr - com - batاو الاهتمام بضرورة الكشف عليها قبل التشغيلواخيرا قام الهاكرز بدراسة تصميم برامج تقوم بتوليد اي امتداد تنفيذيتعتمد تلك البرامج على فكرة ان نظام التشغيل يقوم بتنفيذبعضا من الامتدادات ولايقوم بتنفيذ البعض الاخربناءا على تعريف نظام التشغيل للريجستري بتلك الهيئاتوعليه فان كل ماسيقوم به البرنامج تعريف الريجستري بجهاز الضحيةباي امتداد مطلوب من قبل الهاكرزوعليه يمكن ان يحدد الهاكرز ان جهاز الضحيةيمكنه ان يفتح تروجان على الصيغة التالية server.jpegويتم التنفيذ والاصابة بعيدا عن ادنى شك من الضحيةالحادي عشرbindingالتطور الكبير الحادث فى برامج الربط فاصبح للهاكر الحريةفى تحديد اي مجلد يتم فيه استقرار كل من الملفات المربوطةومكان تنفيذها واسمها بعد التنفيذ وتوقيت تنفيذ كل منهابل والاهم ذوال الملف الكبير المربوط الحامل لكل الملفاتبل واصبحت ملفات الربط تشمل امكانية ربط وتنفيذ كل الهيئاتjpg- mpeg - wav- gif- dat - psd - txt - docولن ننسى السهولة الشديدة التى اصبحت لتغييرايقونة الملف الرابط لتكون مشابهة للملف الحميدالمربوط مزيدا فى الخداع للمستخدم بعد فتح الملفالثاني عشرexpolitingاستخدم الهاكر بقوة حداثة انظمة التشغيل (مثل ميكروسوفتويندوز اكس بي) ولم يعبؤا كثيرا بالدعايات التى سبقت... صدور نظام التشغيل الاكثر أمنا ...وذلك ليقينهم ان لكل نظام جديد الآف الثغرات التى تمكنمن القيام بتنفيذ برنامج دون ارسال ملف وفتحه من قبل الضحيةوهذا مارأيناه قريبا مع فيرس البلاسترومن اشهر استخدامات الثغرات ماتم الهجوم به علىمتصفحات الانترنت اكسبلورر فى اصدارتها 5 - 5.5حيث تتم الاصابة بتروجان بمجرد فتح صفحة ويبالثالث عشرremote shellيمكن للهاكر تنفيذ امر باضافة تروجان او فيروسلارشيف احد الملفات الموجودة بجهاز الضحية ذات الامتداد rarوعند فك الملف سيتم ظهور البرنامج الاصلي وستتم ايضا الاصابةالرابع عشرfake login messengerوخد بالك منه اوي اوي اوي الموضوع دهبرنامج صغير بمجرد ان تقوم بتشغيله يرقد مترقبا بجهازكوحينما تطلب اي من الماسنجرات بجهازك مثلmsn messengerwindows messengeryahoo messengerpaltalk messengeraol messengerيقوم هذا الملف بقفل الماسنجر الاصلي مؤقتاويظهر لك المزيف بديلا عنه وهو بشاشة مشابهة تماما للاصليوحينما تقوم بادخال بياناتك بالماسنجر المزيفيرسلها مباشرة للهاكر ثم يعطيك رسالة خطأوتنتهي مهمته فيغلق ويفتح لك الماسنجر الاصليالخامس عشرexe and services killingيقوم الهاكر من خلال برامجه بتعريف الادوات التىيستخدمها ضد الضحية لتقوم بقتل بعض الخدمات والبرامج التنفيذةالهامة التى تستخدم فى مراقبة امان الجهازمثل netstat.exe .. .task managerevent log - help and services -السادس عشرتحويل جهاز الضحية الى sock 4 او sock5وامكانية تحديد البورت وكلمة السر للسوكس وعليه يتحول الاي بيللضحية الى بروكسي سوكس يمكنك استخدامه فى ....السابع عشرتحويل الهاكر لجهازه الشخصي الى سيرفرمما يمكن من تحميل التروجان مباشرةمن جهازه الى الضحية بدلا من اللجوءلتحميله على احد المواقع ولذلك بمجرد ضغط الضحية علىوصلة ويب نهايتها ملف باسم وهمي وباي امتدادوبمجرد الضغط على الوصلة التى ليس بها ادنى شك انها تحملوراءها تروجانا فسيتم السؤال للضحية عن رغبته فى تحميل ملفمع العلم بان كل نظم الويندوز اكس بي التى لم يتم ترقيعها فسيتم تحميلوتنفيذ التروجان بجهاز الضحية بدون ان يشعر من خلال 4 ثغراتشهيرة بكل منmpeg exploitingpowerpoint exploitingquicktime exploitingwma exploitingmidi exploitingالثامن عشرanonymous emailerيمكن للهاكر استخدام صفحات php لارسال ايميل مجهول المصدرشاملا اسم الراسل وايميله مع تزييف رقم الاي بي الخاص بهنظرا للارسال من المتصفح مباشرة وامكانية استخدام احد البروكسياتومن المعلوم ان تلك البرامج لارسال ايميلات مزيفةموجودة منذ القدم ولكن يعيبها اظهار رقم الاي بي للهاكرالتاسع عشرtrojan encryptionتطورت تقنية تشفير التروجانات كثيرا جدا بشكل يفوق التصورفلاشك ان الصراع الدائر بين شركات الانتي فيرس وبين الهاكريكون دائما فى صالح شركات الانتي فيرس الا فى حالة واحدةهي التشفير السليم الذي لايفقد التروجان خواصهولا يكتشفه الانتي فيرس وبالفعل تم انتاج العديد من البرامجشديدة التعقيد التى تقوم بالاخفاء الدقيق عن اعين الانتي فيروسنيابة عن الهاكر باستخدام ملف صغير يطلق عليه STUBيقوم بعمل مايشبه SHELL لخداع الانتي فيرسكما زاد وعي والمام الهاكر بكيفية الهيكس ايديتنجHex Editingوالذي يعتبر الطريقة الاخيرة التى يستحيل معها اكتشافالتروجان من قبل الانتي فيرس اذا تمت بصورة سليمةاذ يقوم الهاكرز بتغيير تعريف الهيدر للتروجان ومن ثم عدم نشرهحتى لايصل ليد شركات الحماية كما استخدم مطوروا التروجاناتنسخ خاصة بعد اعادة برمجتها وتغيير تعريفها لاخفائهاعن برامج الانتي فيرس باستخدام recompilingكما يتم اصدار نسخ خاصة جدا من تلك البرامج على نطاق ضيقحتى لاتصل لشركات الحماية VIP Releasesالعشرين استخدام مزايا ملفات الفلاش والسويشوامكانية تحميل ملف بمجرد مرور الماوسخاصة بالمواقع والمنتديات لزرع التروجانات و ...go to URL on roll Overالحادي والعشرين استخدام اسماء مزيفة وخادعةللتروجانات تشابه الكائن منهاضمن البرامج العاملة فى المجلدc:\windows/sytems32والذي يفوق حجمه 600 ميجا بايت فى زام التشغيل ويندوز اكس بيمما يعيق مراجعة كل متوياته للتحقق من مصداقية الاسمنماذاج للمسميات الخادعة الشهيرةwindowssys32.exewinsock16.exeantivirus.exeshellhigh.exewindowstartup.exeواخيرا اتمني اني اكون وصلتلكم المعلومات ديه بسهوله والى بتضيف للبعض منا قدرا من الحماية الذاتيةيظل السؤال مطروحا للنقاشهل نحن فى أماان مع شركات الحمايةهل مازالت اهم الى يشغل بال المستخدمهي اي البرامج تفضلالمكافي - النورتون - البي سي سيليون - الكاسباريسكيهل مازلت تنتظر تحذير الجدار الناري بمحاولة اختراقكهل مازلت تعتمد فى الحماية على مراجعة قوائم بدأ التشغيلوشاشات ادارة المهام والعمليات النشطةهل تثق فى ابتسامات البريد المجاني برسائله الرائعةNO VIRUS FOUNDتقبلو تحياتي