حمل شريط إدوات مدونة تقنية المعلومات في جهازك...
toolbar powered by Conduit
شاركونـــــا ولو بكلمـــه .. فــصدقــة الـعـلــم نشــره

الجمعة، أكتوبر 15، 2010

دراسة حدث اساليب الهاكر

"السلام عليكم ورحمة الله وبركاته"

ان الهدف من دراسة أساليب الاختراق والالمام بخدع المخترق هي احد الطرق الاكيدة والفعالة والمباشرة للحماية من الاختراق وتساوي فى اهميتها تركيب اعظم برامج الحماية



فلم تعد الطرق التقليدية والتى عرفها المخترق فى الماضي تشبع رغبته وطموحه لتحقيق اهدافه المعلنة وغير المعلنة، فقد لاحقته وسائل الاعلام بالاساليب المختلفة لتوعيةالمستخدم والتحذير من الوقوع فى براثنه وحيله ، كما تطورت برامج الحماية بكافة اشكالها لوقف ودحر خطط المخترق ولكن لم يقف المخترق مكتوف الايدي ، فهناك صراع دائما بين الخير والشر فقام المخترق بتطوير وسائله من الخداع والمراوغة لاصطياد فريسته

تهدف هذه الدراسة الى توعية القارئ فى جملة بسيطة لأحدث اساليب ووسائل المخترق ، والهدف هو الحماية الذاتية التى ثبت اهميتها القصوى فى اطار الصراع المتزامن بين الطرفين


(الــهـــاكـــرز VS بـــرامـــج الــحــمــايـــة)


نبدا فى استعراض بعضا من تلك الوسائل

اولا
Trojany

لم يقتنع الهاكرز كثيرا بارسال تروجان للضحية بحجم 200- 400 - 600 --- ك بايت اذ يتوقع المستخدم من هذا الحجم برنامج قابل للتنفيذ وليس رسالة خطا تدفعه للشك ، كذلك فى حالة ربط التروجان مع احد البرامج السليمة ، فبعد التنفيذ سيختفي التروجان الاصلي ويظل الملف السليم melt server after execution ولذلك يلزم ان يكون فرق الحجم ضئيل جدا بين حجم الملف السليم وبين الملف النهائي ، حيث لايزيد الفرق عن 3- 4 ك بايت فى أسوء الحالات لتفادي شك المستخدم ، لذ اعتبر ان الحجم هو احد التحديات ، فطور الهاكرز نوعين من البرامح والتقنيات


 


النوع الاول
برامج يطلق عليها الداونلودرز web downloaders

 تقوم بتكوين تروجان لايزيد حجمه عن 1- 4 ك بايت وهو ماسيرسل للمستخدم ، وبمجرد تشغيله يقوم بتحميل التروجان الاصلي ذو الحجم الاكبر والمرفوع مسبقاإلى موقع الهاكرز مباشرة الى جهاز الضحية ، بل وتنفيذه دون تدخل الهاكرز .. وتحقيق الاصابة

النوع الثاني
برامج يطلق عليها Uploaders

تلك البرامج ايضا تقوم بتكوين سيرفر صغير الحجم يتراوح بين 8 - 16 ك و بمجرد قيام المستخدم بتشغيله ، يحصل المخترق على بورت مفتوح يمكن من خلاله تحميل التروجان الكبير، وتكمن خطورة تلك البرامج انها تتحكم فى كافة العمليات النشطة بنظام التشغيل windows and tasks processes



ثانيا
FWB - FireWall Bypasser

اختراق الجدران النارية تعتبر تلك التقنية بحق من اخطر ماتوصل اليه المخترق فباحد اكواد لغة الديلفي البسيطة يندمج التروجان مع تعريف الويندوز اكسبلورر وبالتالي يحدث الاتصال بين الهاكرز والتروجان تحت سمع ونظر وترحيب الجدار الناري ، بل وبدون اي استئذان او صلاحية باعتباره صديق عزيز للمستخدم ، وعيب تلك التقنية هي زيادة حجم التروجان بمقدار 20 ك لكنها فى النهاية خطورتها بالغة


ثالثا
late trojan execution

التنفيذ الموقوت للتروجان .. إحدى الخدع الحديثة هي برمجة التروجان على التنفيذ في توقيت محدد لاحق للتحميل، فعلي سبيل المثال ارسل لك شخص أحد البرامج التى لم يكتشفها الانتي فيروس ، وبعد عدة ساعات أو أيام أو أشهر وحينما تحين ساعة الصفر يتم التنفيذ late execution تتميز هذه الطريقة بإمكانية برمجة التروجان للتنفيذ فى أوقات يتوقع عدم عمل الضحية بها ، وبالتالي تزيد نسبة إغلاق برنامج المراقبة بالانتي فيروس Monitoring للحصول على كفاءةاكبر للعمل بجهاز الكمبيوتر ، كما يزيل الشك فى الصديق أو الشخص أو الموقع الذي كان السبب الأساسي فى الاصابة


رابعا
AV/FW killers

نظراً لأن العديد من المستخدمين يقومون باغلاق خاصية المراقبة ببرنامج الانتي فيروس اثناء تصفح النت أو خارجه وذلك لتحسين اداء الجهاز عامة او لان الانتي فيروس يعيق السرعة ، ويستهلك الكثير من الذاكرة ، فقد استغل المخترق تلك النقطة وقام بابتكار برامج قاتلة للانتي فيروس والجدران النارية ، فعند فتح المستخدم للملف اثناء اغلاق المراقبة يتم اغلاق كل برامج الحماية الى الابد ، وبالتالي حتى بعد اعادة التشغيل قد تظهر الايقونة لبرامج الحماية او لاتظهر ، طبقاً لتصميم التروجان ، ولكنها فى النهاية برامج حماية مزيفة لاتعمل وبالتاكيد انه لو تركت المراقبة بالانتي فيروس فى حالة عمل ، لتم اصطياد البرنامج كفيروس
وانتهى الامر



خامسا
cloacking
أحد الخصائص الخطيرة وأحد الطرق اليدوية للحماية التي تعتمد على دراية المستخدم وحرفيته هي مراقبة كل من
ادارة المهام task manager
البرامج العاملة مع بدء التشغيل startup
العمليات النشطه في النظام windows processes
مسجل النظام registery
ولكن ماذا تفعل لو اخفى التروجان نفسه عن ابراج المراقبة ؟؟
هذا ماحدث بالفعل من خلال تلك الخاصية المضافة حديثا


سادسا
scanning using victims ips
يسعى المخترق بالدرجة الاولى لاخفاء هويته قدر الامكان عند ارتكاب جرائمه ، أولاً بهدف إخفاء شخصيته عن الضحية ، ثانيا بهدف عدم تقفي الأثر من قبل السلطات المختصة حال تعقبه ، فأضاف الهاكرز خاصية القيام بعمل مسح للايبيهات لاصطياد البورتات المفتوحة مستخدما اجهزة الضحايا ، فحتى لو قام الجدار الناري بتسليم رقم الاي بي فسيكون الخاص بضحية مظلوم لايعلم ان جهازه اداة مطيعة فى يد المخترق ، بل وحتى لو حاولت السلطات تقفي الاثر فسيكون الضحية هو الجاني



سابعا
notification trojans

من المؤكد ان احد الطرق التى تعيق عمل المخترق هي الحصول على الرقم الفعلي للاي بي للضحية فحتى لواصاب الضحية ولم يصل له الرقم فسيكون فى غيبوبةعن اختراقه ، ولذلك قامت بمهمة محاولة اعاقة وصول رسائل الابلاغ للهاكرز مزودات خدمة البريد المجاني ومنها الهوت ميل والياهو ، حيث حجبت وصول رسائل العديد من التروجانات الخطيرة وتقوم بصورة دورية بتغيير معرفات سيرفراتها بهدف حماية المستخدم ، ولكن كان للمخترق مخرج اخر ، فقد ابتعد تماما عن البريد فى الابلاغ ، واتجه الى احدث تقنيات تصميم المواقع والمفترض استعمالها فى التطور التكنولوجي وخير البشرية ، وعلى سبيل المثال لا الحصر
php
cgi ******ing
net send messages
irc bot
icq messenger
msn messenger
regular mail on port 25
كما استخدم المخترق طريقة اخرى هي برامج متخصصة تمكن من الحصول على اي بي من هم بقائمة ماسنجر الضحية غير المحظورين ، وذلك دون استقبال الضحية لأي ملفات ، مستخدما أحد الثغرات العميقة في الإم إس إن ماسنجر في إصداره السادس
وأخيرا قدمت بعض الشركات الخدمية للبريد تقرير كامل للهاكرز عن مستقبل الرسالة يشمل الآي بي الحقيقي وتوقيت فتح الرسالة وتاريخها ، وكل ماعلى المخترق هو إرسال رسالة بعنوان شيق للضحية ، وبمجرد فتح الرسالة البريدية سيتم وصول الاي بي للهاكرز دون إرسال اي رد من المستخدم او دراية بما يحدث فى الكوليس ، والشركات التى تقدم تلك الخدمات هي هياكل تجارية كبرى ليس الهدف منها خدمة المخترقين ولكن دائما للهاكرز رأي آخر فى تطويع الخدمات



ثامنا
java ******ing

لا شك أن من أخطر الأكواد التي يمكنها تنفيذ أوامر محددة بجهاز المستخدم من خلال صفحات الويب هي اكواد الجافا ، وقد وصل الامر أن أحد أكواد الجافا الشهيرة كانت السبب الرئيسي فى تطوير ميكروسوفت لاصدارها من الويندوز ماسنجر الاصدار 4.7 الى الاصدار الخامس حيث يقوم كود الجافا بمجرد قيامك بفتحة صفحة الويب بإرسال كافة قائمة الاصدقاء الموجودين بماسنجرك addresses windows messenger lists وذلك لبريد الهاكرز خلال ثواني معدودة ، لذلك دائما ماينصح بتعطيل الجافافي حالة عدم الحاجة لها وذلك من خصائص الانترنت بالمتصفح


تاسعا
redirecting

كثيرا مانفتح احد صفحات الويب ونجد عنوان بالصفحة يعني أنه يتم الان تحويلك الى العنوان الجديد للموقع أو أي رسالة مشابهة وهنا كان للهاكرز رأي آخر ، فتصميم صفحة ويب مزيفة شبيهة بصفحة التسجيل والدخول لحسابك بالبريد لإدخال بياناتك ورقمك السري بها تظهر لك بمجرد طلبك الصفحة الرئيسية للهوت ميل اوالياهو
وبمجرد إدخال البيانات السليمة يتم إرسالهاإلى الهاكرز بينما يتم تحويلك الى الصفحة الحقيقية للبريد للدخول النظامي وذالك تحت تحت شعار Redirecting



عاشرا
Extension creator

مازالت قضية إمتداد التروجان أحد القضايا التى تشغل بال الهاكرز ، فوعي المستخدم كبير والحذر الدائم بعدم فتح الملفات ذات الإمتدادات التفيذية وأهمها
exe - pif - shs - scr - com - bat
أو الإهتمام بضرورة الكشف عليها قبل التشغيل
واخيراًَ قام الهاكرز بدراسة تصميم برامج تقوم بتوليد اي امتداد تنفيذي ، حيث تعتمد تلك البرامج على فكرة أن نظام التشغيل يقوم بتنفيذ بعضاً من الإمتدادات ولايقوم بتنفيذ البعض الآخر بناءً على تعريف نظام التشغيل للريجستري بتلك الهيئات ، وعليه فإن كل ماسيقوم به البرنامج هو تعريف الريجستري بجهاز الضحية بأي إمتداد مطلوب من قبل الهاكرز
وعليه يمكن ان يحدد الهاكرز ان جهاز الضحية يمكنه ان يفتح تروجان على الصيغة التالية server.jpeg ويتم التنفيذ والإصابة بعيدا عن ادنى شك من الضحية



الحادي عشر
binding

التطور الكبير الحادث فى برامج الربط ، فأصبح للهاكرز الحرية فى تحديد اي مجلد يتم فيه استقرار كل من الملفات المربوطة ومكان تنفيذها واسمها بعد التنفيذ وتوقيت تنفيذ كل منها ، والأهم هو زوال الملف الكبير المربوط الحامل لكل الملفات لتصبح ملفات الربط تشمل إمكانية ربط وتنفيذ كل الهيئات
jpg- mpeg - wav- gif- dat - psd - txt - doc
ولن ننسى السهولة الشديدة لتغيير أيقونة الملف الرابط لتكون مشابهة للملف السليم المربوط


الثاني عشر
expoliting
إستخدم الهاكرز بقوة حداثة انظمة التشغيل ،مثل ميكروسوفت ويندوز اكس بي ، لم يعبؤا كثيرا بالدعايات التى سبقت ظهور النظام وما يقال عنها من زيادة في الأمان ، وذلك ليقينهم ان لكل نظام جديد آلاف الثغرات التى تمكن من القيام بتنفيذ برنامج دون ارسال ملف وفتحه من قبل الضحية وهذا مارأيناه قريبا مع فيروس البلاستر



الثالث عشر
remote ****l

يمكن للهاكرز تنفيذ امر باضافة تروجان او فيروس لأرشيف أحد الملفات الموجودة بجهاز الضحية ذات الإمتداد Rar وعند فك الملف سيتم ظهور البرنامج الاصلي وستتم ايضا الاصابة



الرابع عشر
fake login messenger

برنامج صغير بمجرد أن تقوم بتشغيله يرقد مترقبا بجهازك
وحينما تطلب أي من الماسنجرات بجهازك مثل
msn messenger
windows messenger
yahoo messenger
paltalk messenger
aol messenger
يقوم هذا الملف بقتل الميسنجر الاصلي مؤقتاً ، ويظهر لك المزيف بديلاً عنه وهو بشاشة مشابهة تماما للأصلي ، وحينما تقوم بادخال بياناتك بالماسنجر المزيف يرسلها مباشرة للهاكرز ثم يعطيك رسالة خطأ وتنتهي مهمته فيغلق ويفتح لك الميسنجر الاصلي



الخامس عشر
exe and services killing

يقوم الهاكرز من خلال برامجه بتعريف الادوات التي يستخدمها ضد الضحية لتقوم بقتل بعض الخدمات والبرامج التنفيذية الهامة والتى تستخدم فى مراقبة امان الجهاز مثل
netstat.exe .. .task manager
event log - help and services



السادس عشر
تحويل جهاز الضحية الى sock 4 او sock5 وإمكانية تحديد البورت وكلمة السر للسوكس وعليه يتحول الاي بي للضحية الى بروكسي سوكس يمكنك استخدامه فـ ـ ـ ـ ـي



السابع عشر
تحويل الهاكرز لجهازه الشخصي الى سيرفر مما يمكن من تحميل التروجان مباشرة من جهازه الى الضحية بدلا من اللجوء لتحميله على احد المواقع وذلك يتك بمجرد ضغط الضحية على وصلة ويب نهايتها ملف باسم وهمي وباي امتداد كالتالي
http://212.193.65.88/afifcity/secu...ent/picture,jpg
وبمجرد الضغط على الوصلة التى ليس بها ادنى شك انها تحمل وراءها تروجانا فسيتم السؤال للضحية عن رغبته فى تحميل ملف مع العلم بان كل نظم الويندوز اكس بي التى لم يتم ترقيعها فسيتم تحميل وتنفيذ التروجان بجهاز الضحية بدون ان يشعر من خلال 4 ثغرات شهيرة بكل من
mpeg exploiting
powerpoint exploiting
quicktime exploiting
wma exploiting
midi exploiting



الثامن عشر
php anonymous emailer

يمكن للهاكرز استخدام صفحات Php لإرسال إيميل مجهول المصدر شاملاً اسم المرسل وإيميله مع تزييف رقم الاي بي الخاص به نظراً للإرسال من المتصفح مباشرة وامكانية استخدام احد البروكسيات ، ومن المعروف أن تلك البرامج لإرسال إيميلات مزيفة موجودة منذ القدم ، ولكن يعيبها إظهار رقم الاي بي للهاكرز



التاسع عشر
trojan encryption

تطورت تقنية تشفير التروجانات كثيرا جدا بشكل يفوق التصور فلاشك أن الصراع الدائر بين شركات الانتي فيروس وبين الهاكرز يكون دائما فى صالح شركات الانتي فيروس الا فى حالة واحدة
هي التشفير السليم الذي لايفقد التروجان خواصه ولا يكتشفه الانتي فيروس وبالفعل تم انتاج العديد من البرامج شديدة التعقيد التى تقوم بالاخفاء الدقيق عن اعين الانتي فيروس نيابة عن الهاكرز باستخدام ملف صغير يطلق عليه STUB يقوم بعمل مايشبه ****L لخداع الانتي فيروس
كما زاد وعي والمام الهاكرز بكيفية الهيكس Hex Editing والذي يعتبر الطريقة الأخيرة التى يستحيل معها أكتشاف التروجان من قبل الانتي فيروس اذا تمت بصورة سليمة ، إذ يقوم الهاكرز بتغيير تعريف الهيدر للتروجان ومن ثم عدم نشره حتى لايصل ليد شركات الحماية كما استخدم مطوروا التروجانات نسخ خاصة بعد إعادة برمجتها وتغيير تعريفها لإخفائها عن برامج الانتي فيروس باستخدام recompiling كما يتم اصدار نسخ خاصة جدا من تلك البرامج على نطاق ضيق حتى لاتصل لشركات الحماية VIP Releases


العشــرون
استخدام مزايا ملفات الفلاش والسويش وامكانية تحميل ملف بمجرد مرور الماوس ، خاصة بالمواقع والمنتديات لزرع التروجانات و go to URL on roll Over


الحادي والعشرون
إستخدام أسماء مزيفة وخادعة للتورجانات تشابه الكائن منها ضمن البرامج العاملة فى المجلد
c:\windows|sytems32
والذي يفوق حجمه 600 ميجا بايت فى زام التشغيل ويندوز اكس بي مما يعيق مراجعة كل محوياته للتحقق من مصداقية الاسم ، ونماذاج للمسميات الخادعة الشهيرة
windowssys32.exe
winsock16.exe
antivirus.exe
****lhigh.exe
windowstartup.exe



يظل السؤال المطروح معلقا!!!!!


هل نحن فى أماان مع شركات الحماية وبرامجها ؟؟؟
هل مازالت أهم الاطروحات التى تشغل بال المستخدم هي اي البرامج هو الافضل المكافي - النورتون - البي سي سيليون - الكاسباريسكي ؟؟!
هل مازلت تنتظر تحذير الجدار الناري بمحاولة اختراقك ؟؟؟
هل مازلت تعتمد فى الحماية على مراجعة قوائم بدأ التشغيل وشاشات ادارة المهام والعمليات النشطة ؟؟؟
هل تثق فى ابتسامات البريد المجاني برسائله الرائعة ؟؟؟

NO VIRUS FOUND


( طبعاً منقول لابو غلا نظراً لأهميته )


Icon Icon Icon Icon spice up your blog

تبــــادل إعلامـــي