أحصنة طــروادة واختراق الأجهزة .........

أحصنة طــروادة واختراق الأجهزة بطريقة Client - Server

يقول كيفين متنك في مذكراته : احمي نفسك قبل أن تهجم .......

عادة ما يتم اختراق الاجهزة باستخدام التروجان ومعناه العلمي ( حصان طراودة ) ومعرفة أسطورة هذا الحصان عندما كتب عنها أدباء اليونان
حـصان طروادة هـو بـرنــامـج صغـيـر يتم تشغيله داخل جهاز الحاسب لكي يقوم بأغراض التجسس على أعمالك التي تقوم بها على حاسبك الشخصي .. فـهـو فـي أبـسـط صورة يـقوم بتسجيل كل كبسة قمت
بها على لوحة المفاتيح منذ أول لحظة للتشغيل ... وتـشـمل هذه كل بياناتك السرية أو حساباتك المالية
أو مـحـادثـتـك الخــاصة على الإنـتـرنـت أو رقـم بـطاقـة الائـتـمـان الخـاصة بـك أو حـتـى كـلـمـات الــمـــرور التــي تـسـتـخـدمهـا
لدخـولـك على الإنـتـرنـت والتي قـد يـتـم إستـخـدامــهــا بـعــد ذلــك مـن قــبـل الــجــاسـوس الــذي قــام بوضع البرنامـج عـلى حـاسبـك الشخصي
وعادة ما يتم تصميم هذه البرامج باستخدام لغات عالية المستوى كالاسمبلي والسي .....

ولكن كيف يصل حصان طروادة الى جهازك ؟

1-يرسل اليك عن طريق البريد الإلكتروني كملف ملحق فتقوم بإستقباله وتشغيله وقد لا يرسل لوحده حيث من الممكن أن يكون ضمن برامج أو ملفات أخرى

2-إذا كنت من مستخدمي برنامج أي سي كيو .. أو بـرامــج التحادث فقد يرسل لك ملف مصاب بملف تجسس أو حتى فيروس

3-عـندما تـقـوم بإنزال بـرنامج من أحد المواقع الغير موثوق بها وهي كثيرة جدا فقد يكون البرنامج مـصاباً بـمـلــف تـجسس أو فـيــروس وغـالـبـاً مــا يـكـون أمراً مقصوداً

4- طريـقــة أخـرى لتحـمـيـل تـتـلخـص في مجرد كتابة كوده على الجهاز نفسه في دقائق معدودة حيث أن حصان طروادة يـخـتـلـف عـن الفـيـروس في أنه مجرد برنامج ضئـيـل الحـجـم جـداً مـكـون فـقـط مـن عـدة أسـطر قـلـيـلـة

5- أما لو كان جهازك متصل بشبكة داخـلية أو شبكة إنترانت .. فإنه في هذه الحاله يمكن نقل الملف الجاسوس من أي وحدة عمل فرعية

6 - يـمـكـن نـقـل الملف أيضا عن طريق الإنترنت بواسطة أي برنامج FTP او TELNET

وهناك طرق أخرى لا حاجة لذكرها........

لماذا صممت البرامج التي تستخدم أحصنة طروادة

تـصميـم هـذه البرامج في البدابة كان لأهداف نبيلة مثل معرفة ما يقوم به الأبناء أو الموظفون على جهاز الحاسب في غيابك من خلال ما يكتبونه على لوحة المفاتيح . ويوجد العديد من البرامج المنتشرة على الإنترنت والتي تستطيع من خلالها التنصت وتسجيل وحفظ كل ما نـكتبة على لوحة المفاتيح . من هذه البرامج برنامج يدعى Invisible KeyLooger ، والذي يـستـطيـع أن يحتفظ في ملف مخفي بـكل ما قـمت بكتـابته على لوحة المفاتيح مصحوبة بالتاريخ والوقت الـذي قـمـت فـيـه بـعـمـلـيـات الكـتـابة هذه ، حيث سيـمـكـنـك الإطلاع عـلى المـلـف الـمسجل به كل ما تم كتابته على لوحة مفاتيح الحاسب ( والتي لن يستطيع أحد معرفة مكانه الا واضعه ) والتأكد من عـدم وجود جمل دخيلة أو محاولات إقتحام لم تقم أنت بكتابتها .. أو التأكد مما إذا كان أحد يقوم بإستخدام حـاسبـك والإطلاع على بـيـانـاتـك في غيابك والتأكد من عدم إستخدامهم للإنترنت في الولوج على شبكات غير أخـلاقـيـة أو الـتـحدث بإسلوب غير لائق من خـلال مـواقــع الـدردشـة عـلى الإنـتـرنــت
أيضا يزعم هؤلاء المصمـمين أن فوائد البرنامج الذي قاموا بتصميمة تظهر حينما تكتشف أن نظام الويندوز أو البرنامج الذي تـستـخـدمـه قـد توقـف فجأة عن العمل دون أن تكون قد قمت بحفظ التقرير الطويل الذي كنت تقوم بكتابته .. حيث أن التقرير بالكامل سيكون موجود منه نسخة إضافـيـة بـالملف المخفي ، أيضا من فوائد البرنامج مراقبة سير العمل والعاملين تحت إدارتك للتأكد من عدم قيامهم بـإستـخدام الحاسب الشخصي لأغراض شخصية والـتـأكـد من عـدم إضاعـتـهـم لوقت العمل وإستغــلاله بـالكـامـل لـتـحـقـيـق أهـــداف الـشـركــة

خـطـورة برامج حـصان طـروادة

تعد برامج حصان طروادة واحدة من أخطر البـرامــج المـستـخــدمه من قبل الهاكرز والدخلاء .. وسبب ذلك يرجع الى أنه يتيح للدخيل الحصول على كلمات المرور passwords والتي تـسـمـح لـه أن يقوم بالهيمنه على الحاسب بالكامل .. كذلك تظهر هذه البرامج للدخيل الطريقة ( المعلومات ) التي يـمكنه من خلالها الدخول على الجهاز بل والتوقيتات الملائمة التي يمكن خـلالـهـا الـدخـول على الجهاز ... الخ ، المشكلة أيضا تكمن في أن هذا الاقتحام المنتظر لن يتم مـعـرفـتـه أو مـلاحـظتــه حـيـث أنه سيتم من خلال نفس الطرق المشروعة التي تقوم فيها بالولوج على برامجك وبياناتك فـلـقـد تـم تـسجـيـل كـل ما كتـبته على لوحة المفاتيح في الملف الخاص بحصان طروادة .. معظم المستخدمين يعتقدون أنه طالما لديهم برنامج مضاد للفيروسات فإنهم ليسوا معرضين للأخطار ، ولكـن المـشكـلة تـكـمـن في أن مـعـظم بـرامج حصان طروادة لا يـمـكن مـلاحـظـتـها بـواسطة مـضادات الفـيـروسات . أما أهم العوامل التي تجعل حصان طروادة أخطر في بعض الأحيان من الفيروسات نـفـسـها هي أن برامج حصان طروادة بـطـبـيـعـتـهـا خـطر سـاكـن وصامت فهي لا تقوم بتقديم نفسها للضحية مثلما يـقـوم الفـيـروس الـذي دائـما مـا يمكن ملاحظته من خلال الإزعاج أو الأضرار التي يقوم بها للمستخدم وبالتالي فإنها لا يمكن الشعور بها أثناء أدائها لمهمتها وبـالـتـالي فـإن فـرص إكـتـشافـها والقـبـض عـلـيـها تـكـاد تـكـون مـعـدومـه



يتبع ..

يعتمد الاختراق على ما يسمى بالريموت (remote) أي السيطرة عن بعد ، ولكي تتم العملية لا بد من وجود شيئين مهمين الأول البرنامج المسيطر وهو العميل والآخر الخادم الذي يقوم بتسهيل العملية

بعبارة أخرى للاتصال بين جهازين لا بد من توفر برنامج على كل من الجهازين لذلك يوجد نوعان من البرامج ، ففي جهاز الضحية يوجد برنامج الخادم (server) وفي الجهاز الأخر يوجد برنامج المستفيد
أو مايسمى (client).وتندرج البرامج التي سبق ذكرها سواء كانت العميل أو الخادم تحت نوع من الملفات يسمى حصان طروادة ومن خلالهما يتم تبادل المعلومات حسب قوة البرنامج المستخدم
في التجسس .
وتختلف برامج التجسس في المميزات وطريقة الإستخدام .. لكنهما جميعا تعتمد على نفس الفكرة
التي ذكرنـاها وذلك بإرسـال مانسـميه الملـف اللاصـق Patch file أو برنـامج الخـادم والـذي يرسلــه
المتجسس الى جهاز الضحية فيقوم الأخير بحسن نية بتشغيل هذا الملف ظنا منه بأنه برنامج مفيد
لكنه غالبا ما يفاجأ بعدم عمل الملف بعد النقر عليه فيظن أنه ملف معطوب .. فيبحث عن شئ آخر
أو برنامج ثاني ويهمل الموضوع بينما في ذلك الوقت يكون المتجسس قد وضع قدمه الأولى داخل
جهـــاز الضحــيــة ،، ويتم الإتصال بين الجهازين عبر منفذ إتصال لكل جهاز ، قد يعتقد البعض أن هذا
المنفذ مادي بإستطاعته أن يراه أو يلمسه مثل منفذ الطابعة أو الماوس ، ولكنه جزء من الذاكرة
له عنوان معين يتعرف عليه الجهاز بأنه منطقة يتم إرسال واستقبال البيانات عليها ويمكن إستخدام
عدد كبير من المنافذ للإتصال وعددها يقارب 65530 منفذ تقريبا .
وعند الإصابة بملف الباتش فإنه يقوم في أغلب الأحــوال بما يلي :

1- الإتجاه إلى ملف تسجيل النظام (registry) حيث أن النظام في كل مرة تقوم بتشغيل الويندوز يقوم

بتشغيل البرامج المساعدة في ملف تسجيل النظام مثل برامج الفيروسات وغيرها

2- يقوم بفتح ملف إتصال ( وهو ما يعبر عنه ب استماع ) داخل الجهاز المصاب تمكن برنامج العميل من النفوذ

3- يقوم بعملية التجسس وذلك بتسجيل كل ما يحدث أو عمل أشياء أخرى على حسب ما يطلب منه .

آلية عمل هذا ملف الباتش Pach:

ببساطة يمكننا القول إن ملف الباتش ينشر عند تشغيله عدة ملفات قد يصل عددها كما في السب سفن الى 350 ملف ويضعها
في مجلد System في الويندوز ....
وملف ال System كما تعلمون يحتوي ملفات DLL لكل ملف عمل معين ,وملفات الباتش تزرع نفسها فوق هذه
الملفات وتؤدي الخدمة التي تؤديها هذه الملفات في النظام وانما ليس لصالح صاحب الجهاز وانما للمخترق ...

ويأتي طلب الإتصال بأحد طريقين :

1- من قبل شخص يتعمد إختراق الجهاز المصاب بعينة ، وذلك لعلمه بوجود معلومات تهمه أو لإصابة

ذلك الجهاز بالضرر لأي سبب كان , ويتم هذا عن طريق عمل سكان ضمن مجال معين ليكشف عن الشخص الذي زرع عنده ملف الباتش .

2- من قبل شخص لا يتعمد إختراق هذا الجهاز بعينة ، ولكنه يقوم بعمل مسح scanning على

مجموعة من الأجهزة في مجال معين من العناوين لمعرفة أيها الذي لديه منافذ مفتوحة وبالتالي فهو
قابـل للإختراق .

3- ويتم ذلك عادة باستخدام البرامج المخصصة لذلك مثل السب سفن Sub7 والباك اورفيس Black Oriffic والنت باص Net Bus
الهاك تاك وهذه أقوى البرامج تقريبا...........
ووقد يمتاز بعضها عن الاخر كما قلنا بميزات ولكن مستخدمي ويندوز عادة يفضلون السب سفن ,
ويمتاز الباك أورفيس بأنه يستخدم على جميع الانظمة المتوفرة ......
كما أن حجم ملف الباتش قد يلعب دوره في التفاضل بين هذه البرامج ...
فحجم باتش الباك اورفيس مثلا 122 KB ... بينما في السب سفن يصل الى 372 KB ..
من هنا نعلم ان ميزات التحكم في السب سفن أقوى من الباك أورفيس ....
ولكنه مع ذلك يبقى الباك أورفيس في المقدمة وقد حصل على المرتبة الاولى على ما أذكر في مهرجان ديفكون العالمي للهكرز

ماذا يمكن ان تفعله هذه التروجانات بجهازك ؟؟
في الحقيقة هناك ميزات مشتركة بين معظم برامج التروجان وذلك كتحميل الملفات من جهاز الضحية
واسال معلومات عنه والتحكم بقرصه الصلب بشكل كامل ..
وهناك ميزات أخرى تختلف من برنامج لآخر مثل فتح وغلق السواقة الليزرية واصدار أصوات غريبة
وعرض صور على الشاشة والتقاط صور لسطح المكتب وتسجيل كبسات الكيبورد وهذه مهمة جدا وتشغيل برنامج معين
والتحكم بالماوس ....وما الى ذلك من الامور التي تستطيع التحكم من خلالها بجهاز الضحية ....
ومن الامور التي تعتبر هامة هنا هو عمل Upload لملف الباتش لتحديثه حتى لا تتمكن برامج الانتي فيروس
من كشفه ........

أخيرا أقول ان العمل بمثل هذه البرامج أصبح شائعا للغاية ...
ومعروفا من قبل كثير من مستخدمي الانترنت ممن يحبون العبث بأجهزة الغير ...
الا أنه لايمكن أن نسمي من يتقن العمل على هذه الاجهزة (هكر) .....
بل إن بعض الهكر ( وأقصد من يستحقون هذه الكلمة ) قد يعتبرون العمل على مثل هذه البرامج
عارا أو مهانة لهم .....
الا أن الهكر الحقيقي هو من يعرف كيف يتعامل مع ملف الباتش من حيث إخفاءه عن برامج الانتي فيروس
والضحية نفسه ....حتى يتمكن من فعل ما يريده بسهولة تامة .....



منقووول