البرمجيات الخبيثة Malware
مصطلح Malware هو اختصار لكلمتي"malicious software"وهو يشمل الكثير من انواع البرمجيات الخبيثة التى تتسبب في العديد من المشاكل، مثل عرقلة تشغيل الجهاز، جمع المعلومات الحساسة، أو الوصول إلى أنظمة تشغيل الجهازالخاصة. و تعتبر العامل الاكبر فى خسارة الشركات للبياناتها، و لاينجو منها الافراد أيضا.يتم تثبيتها على الجهاز الخاص بك عادة دون موافقة مسبقة منك ويمكن تثبيت هذه البرمجيات الخببيثة بعدة طرق.
هناك أنواع مختلفة من البرمجيات الخبيثة، وتشمل هذه البرامج الضارة الفيروسات، الديدان، أحصنة طروادة، الجذور الخفية، و برامج التجسس ، كيلوغرزKeylogger والكثير من الأنواع الأخرى. وللحصول على فكرة عامة عن الفرق بين كل هذه الأنواع من التهديدات و طرق عملها ، فمن المنطقي لتقسيمها إلى مجموعات:
1 - ماهي الفيروسات Viruses
فالفيروسات هي برامج صغيرة مصممة بغرض تغيير خصائص الملفات التي تصيبها، و يتم التحكم بها عن بعد وهذا يدل على احترافية مبرمجي هذه الفيروسات، لتقوم بتنفيذ بعض الأوامر مثل الإزالة والتعديل أو التخريب وتقوم بالسيطرة على الجهاز أو سرقة بياناته، وما يشبهها من عمليات أخرى. تتصف الفيروسات بقدرتها على التناسخ Replication والانتشار بحيث تربط نفسها ببرنامج أخر يسمى الحاضن Host.
تأثر الفيروسات في الملفات التنفيدية التي تنتهي بإمتداد Exe وملفات نظام التشغيل، و يمكنها أن تدمر أجزاء في البيانات والملفات على الجهاز أو تمسحها وتقوم بنقلها من جهازك للأجهزه أخرى.
من أبرز طرق الانتقال لحد الآن الشبكة العنكبوتية Internet، بحيث تعتبر بوابة سهلة لانتقال الفيروسات من جهاز لآخر.
تأتي ضمن رسائل البريد الإلكتروني و كثيرا ما ترسل الفيروسات كمرفقات مثل الصوروالبطاقات، أو ملفات الصوت و الفيديو التي ترفق رسائل البريد الإلكتروني أو في الرسائل الفورية. وهذا هو السبب في أنه من المهم عدم فتح المرفقات التي تاتي من جهة غير معروفة، إلا إذا كنت تعرف مرسلهذه الرسالة.
ومن جهة أخرى تتسرب إلى الجهازعبر وسائط التخزين مثل ذواكر الفلاش والأقراص الضوئية والملفات مخزنة على الأقراص أو أقراص المضعوطة أو ملفات Rar-Zip.
يمكن أن تنتشر أيضا من خلال التنزيلات عبر شبكة الإنترنت. لأنها يمكن أن تكون مخفية ضمن برامج غير مشروعة أو ملفات أو برامج أخرى مثل Keygen -Crack. وبإستطاعه المخترق أن يجعل الفيروس ينتقل من ملف لآخر ومن بارتيشن لآخر أثناء محاوله مسحه.
2 - ماهي أحصانة طروادة Trojan horse
ويستخدم برنامج ثالث لربط الناقل يعني حصان طرودة و الحمولة البايلود payload في ملف واحد، و يسمى هذا الأخير بلبيندرBinder .الذي يستخدم لربط الأولين، وكذلك لفك و الافراج عن الحمولة، وفقا لدروبرDropper،وهو البرنامج المسؤول عن تقديم و فك الضعط وتتبيث الحمولة.
هناك خاصيتين يتميز بهما حصان طروادة، أولا يبدو ظاهريا كأنه برنامج بريئ أو مفيد للمستخدم إلا أنه يحمل في داخله وظائف تحقق أغراض المتحكم فيه.الا أنه هو الناقل، أو الحامل للبرنامج الخبيث. و عادة يتسلل إلى الجهاز بطريق إقناع المستخدم الغافل بتشغيله بنفسه ليزرَع ذاته و يسيطر كليا أو جزئيا على الجهاز.
ثانيا سلوكه الخفي بحيث يتُنكَّر حصان طروادة في شكل دعابات برمجية، أو بريد، موسيقى، مقاطع فيديو أو عروض مثل البرامج المقرصنة...، و خاصة في كل الكراكات و الكي جن Crack- Keygen بلا إسثتناء.
** أنواع احصنة طروادة
- حصان طروادة الذي يحتفظ بحمولته عليه، بالإضافة إلى نشاط الخبيث الذي يقوم به. يسمى إسم البرنامج الخبيث الذي بداخله، على سبيل المثال كيلوجر أو باكدور Keyogger-Backdoor.- حصانة طروادة اللذي يفرج عن حمولته مع مواصلة نشاطه بشكل منفصل. و إذا تم إكتشافه وحدفه، تواصل الحمولة عملها، أو العكس. في هذه الحالة يصنف بإسم الفئة الخبيثة التي يحملها.
- حصان طروادة الذي ليس له أي نشاط آخر، أو أي نشاط واضح، إلا ترك أو تثبيت البرنامج الخبيث الذي يحمله. فيصنف هذا النوع بالناقل Dropper. و الحمولة تصنف باسم الفئة الخبيثة، و عادة ما تكون فيروس.
3 - ماهي الديدان Worms.
فهي برامج مستقلة لا تعتمد على غيرها، ولا تتطلب مساعدة الإنسان على نشرها، صنعت للقيام بأعمال تدميرية أو لغرض سرقة بعض البيانات الخاصة بالمستخدمين أثناء تصفحهم للإنترنت، تصيب الدودة الحواسيب الموصولة بالشبكة بشكل اوتوماتيكي، وتنتقل من جهاز لآخر عن طريق الشبكه وتبدأ في العمل بمهامها بموعد محدد لها مسبقاً، بحيث تلحق الضرر بالمستخدم أو بالمتصلين به، تمتاز بسرعة الانتشار ويصعب التخلص منها نظراً لقدرتها الفائقة على التلون والتناسخ والمراوغة.
تستغل الدودة نقطة ضعف النظام أو بعد استخدام المخترق نوع من الأسالييب الهندسة الاجتماعية Social engeniering لخداع المستخدمين. الهندسة الاجتماعية هي مجموعة من التقنيات لجعل الناس يقومون بعمل ما أو يفضون بمعلومات سرية عنهم. تعتبر من ضمن طرق الاحتيال عبر الإنترنت لتحقيق الغرض المنشود من الضحية، حيث أن الهدف الأساسي للهندسة الاجتماعية هو الإختراق للوصول إلى الهدف، بطرح أسئلة بسيطة أو تافهة، عن طريق الهاتف أو البريد الإلكتروني مع انتحال شخصية أو مؤسسة تسمح بطرح هذه الأسئلة دون إثارة الشبهات.
** أنواع الديدان
تصنف الديدان من خلال طريقة التي تستخدمها لنشر، وهذا يعني الطريقة التي تستخدمها لإرسال نسخ من نفسها إلى أجهزة أخرى. وذلك عبر جميع أنظمة النقل المعروفة، مستعلة الممرات بدلا من استهداف الأجسام القابلة للتنفيذ.- ديدان الرسائل الإلكترونية E-mail Worms
لأن البريد الكتروني يتضمن أداة جمع العناوين في الجهاز المصاب وأداة لإرسالها خادم SMTP .
- ديدان الرسائل الفورية Instant Messaging Worms
إذا كانت طريقة النقل هو IM التراسل الفوري مثل MSN Messenger و Whatsup ...
- ديدان الانترنت Internet Worms
إذا كانت طريقة النقل هوالشبكات المحلية LAN أو شبكة الشبكات WWW.
- ديدان مناطق الدردشة IRC :
إذا كانت طريقة النقل هي قنوات مناطق الدردشة IRC.
- ديدان شبكات مشاركة الملفات File-sharing Networks Worms :
إذا كانت طريقة النقل هي شبكات الند للند Peer to Peer ، فتصيب الملفات المشتركة أو تظهره بأنه ملف مشترك ، يتم تصنيفها الدودة الشبكات الديدان تقاسم الملفات.
و توجد تصنيفات أخرى و تنحصر في أسلوب التثبيت، طريقة إطلاق، وفي تعدد أشكالها، و قدرتها على التلون والتناسخ والمراوغة مثل الشبح.
ماهي الروتكيت Rootkit.
هناك فرق في تعريف الـروتكيت RootKits ، و ذلك حسب أنظمة التشغيل، سابقا في أنظمة Linux يطلق مصطلح RootKits على مجموعة من الأدوات التي يقوم المهاجم بتنصيبها على جهاز الضحية لإعطائه صلاحيات الجذر Root أو مدير النظام Administrator للتحكم الكامل بالجهاز. اما في أنظمة تشغيل الويندوز فيطلق هذا المصطلح على أي برنامج يقوم بأخفاء process الخاص به حتى لا يتم إيقاف تشغيله من قبل المستخدم. ترتبط الجذور الخفية اليوم عموما مع البرامج الضارة مثل حصان طروادة، و الديدان، و الفيروسات ....
فهي برنامج أو مجموعة من التطبيقات التي تخفي وجودها أو وجود تطبيق آخر الفيروسات، والبرمجيات التجسسية....،على الجهاز من خلال استغلال الطبقات السفلى من نظام التشغيل، و ذلك باعادة توجيه وظائف API ، وذلك باستخدام ميزات نظام التشغيل التي لا تحمل وثائق، مما يجعل إكتشافها يكاد غير ممكن من قبل مكافحة البرامج المعتادة ضد البرمجيات الخبيثة .
لاحظ أن الجذور الخفية يمكن أن تكون مشروعة أو ضارة . يمكن تثبيت الجذور الخفية المشروعة من قبل تطبيق صالح. لذلك فمن الضروري أن تدرس بعناية نتائج مكون مكافحة الجذور الخفية .
تتسلل الجذور الخفية إلى النظام بعدة طرق، و الأسلوب الأكثر شيوعا هي أحصنة طروادة أو الوثائق المرفقة.... . يمكن أيضا أن تثبت الجذور الخفية أثناء تصفح الإنترنت على سبيل المثال عبر plugin الذي من المفترض أن يكون مشروعا، بحيث يكون مطلوب لعرض صفحة ويب بشكل صحيح ، أو لفتح ملف.
المرحلة الأولى من عمل الجذور الخفية هي العثور على مجموعة ضعف عن طريق مسح مجموعة من عناوين IP أو عن طريق قاعدة بيانات، والخطوة التالية هي السعي للوصول إلى النظام، وليس بالضرورة امتياز وضع المسؤول.
وبعد تسللها إلى الجهاز وإكتساب صلاحية الدخول، تمر إلى المرحلة التالية هي التثبيت ، وذلك باستخدام برنامج التثبيت النصية و الأدوات اللازمة للحمولة لإنشاء الجذور الخفية، إن لم تكن قد تم تثبيتها أثناء مرحلة التلوث، وكذلك الأدوات الضرورية للإتخفاء.
القنابل الموقتة logic bomb.
يتم تشغيلها للاستجابة لحدث، مثل إطلاق تطبيق عندما يتم وصول موعد زمني محدد، وعادة ما تكون مبرمجة للإنفجار عندما يتم الوصول إلى تواريخ هامة ، مثل أعياد الميلاد أو غيرها من الأحداث أخرى. يمكن للمهاجمين استخدام القنابل الموقوتة في مجموعة متنوعة من الطرق. يتم تضمين تعليمات برمجية داخل تطبيقات وهمية أو الغير مشروعة مثل البرامج المقرصنة ، الفيروسات أو حصان طروادة ، ويتم تنفيذها كلما قمت بتشغيل البرنامج الاحتيالي.
يمكن للمهاجمين أيضا استخدام مزيج من برامج التجسس والقنابل الموقوتة في محاولة لسرقة هويتك . على سبيل المثال، فمجرمي الإنترنت يستخدامون برامج التجسس لتثبيت سرا الكيلوغر Keyoggerعلى جهاز. تم تصميمها لكي تنتظر حتى أن تقوم بزيارة موقع على شبكة الانترنت التي تتطلب منك الدخول ببيانات الاعتماد الخاصة بك، مثل موقع المصرفي أو شبكة اجتماعية ليتم التقاط جميع بياناتك و إرسالها إلى مهاجم.
ماهي برامج التجسس Spyware.
يمكن لبرامج التجسس أيضا أ ن تؤثر سلبا على أداء الكمبيوتر عن طريق تثبيت برامج إضافية، وإعادة توجيه عمليات البحث لمتصفح الويب، وتغيير إعدادات الجهاز، والحد من سرعة الاتصال، وتغيير الصفحة الرئيسية أو حتى تعطيل تماما قدرة الاتصال بالشبكة. ويمكن أيضا أن تستخدم برامج التجسس كنوع من ادوار Adware، التي توفر الإعلانات المنبثقة غير المرغوب فيها بالإضافة إلى تتبع سلوك المستخدم على الأنترنت.
ماهو راصد لوحة المفاتيح Keylogger.
طريقة عمله لا تختلف كثیراً عن الطرق التي تعمل بھا معظم فيروسات الحاسوب، فھو یتسرب عن طریق ثغرات الحمایة و یقوم بمراقبة الطریق الذي تأخذه المعلومات Security Flaws باتجاه أجزاء لوحة المفاتيح لمعالجة وتحویل البیانات في الجهاز.
لا يتطلب برنامج كيلوغر الوصول الفعلي إلى جهاز الخاص بالمستخدم إلا في حلات خاصة. ويمكن تحميله أو تثبيته عن قصد من قبل شخص يريد مراقبة النشاط على جهاز معين، أو يمكن تحميله عن غير قصد كبرنامج خبيث و تنفيذه كجزء من الجذور الخفية أو الإدارة عن بعد RAT عبرحصان طروادة. يتكون برنامج كيلوغر عادة من ملفين التي تتبث في نفس دليل مكتبة الارتباط الحيوي DLL. و ملف قابل للتنفيذ Exe الذي يقوم بتثبيت ملف DLL و يطلق العمل.
ويمكن أيضا أن يتم تثبيته من قبل شخص قريب منك. مثل بعض أرباب العمل قد يثبيتونه على أجهزة موظفيها لرصد كل ما يفعله الموظفين. الأباء في حالة الرقابة الأبوية التقليدية Control parental، مما يتيح لهم رؤية كل شيء و مراقبة كل ميفعله الأطفال. الزوج الغيور أو الزوجة...
هناك أيضا عتاد كيلوغرتختلف أنواعها، تصاميمها، و أحجامها، هناك الغير مرئية تقريبا للعين البشرية، لا يمكن الكشف عنها على الاطلاق، متصلة بلواي في ترسل تقارير تتضمن بيانات المخزنة على رسائل البريد الإلكتروني، أينما كنت.
ماهي البوتنت Botnets.
البوتنت هو مصطلح إنجليزي مشتق من كلمة Robot Network، لتمييز بين البوتنت والأنواع الأخرى من البرامج الخبيثة علينا ان نتعرف على مصطلحين، البوت و البوتماسترBotMaster لتعريف البوتنت.
البوت هو إختسار لكلمة الروبوت Robot، ويسمى أيضا باسم الاموات الاحياءZombie.والبوتنت فهي شبكة الروبوت أي مجموعة كبيرة تعد بالآلاف وقد تصل للملايين من الأجهزة التي تم اختراقها عبر شبكة الإنترنت.
أما فيما يخصBotMaster المعروف أيضا باسم BotHerder، فهو سيد البوت أي الشخص أو مجموعة من الأشخاص التي تتحكم في شبكة الروبوتات، لتنفيذ العمليات الخبيثة ببعض الأوامر من خلال إستخدام قناة و أوامر التحكم C&C، بعد تثبيت أكواد البوت على الأجهزة، لتصبح أجهزة البوت أو Zombie. على عكس البرامج الخبيثة مثل الفيروسات و الدودة التي ترتكز أنشطتها الرئيسية على مهاجمة و إصابة المضيف.
الخطر و الأضرار الذي تلحقه هذ الشبكة يكمن في التجسس، سرقة المعلومات و البيانات المهمة، حجب الخدمة الموزعة DDOS، أو إرسال الرسائل المزعجة Spam.
ماهي برامج الأمن الاحتيالية Rogue security software
تتنكر في ظل البرامج الأمن و الحماية، في حين أن التقارير التي تكشف عنها في الواقع فهي نتائج غير صحيحة لمسح البرمجيات الخبيثة الوهمية. يتم خداع معظم الناس إلى تركيب البرامج الحماية الإحتيالية عندما تظهر نافذة منبثقة على الشاشة لإبلاغهم أن أجهزة الخاصة بهم قد تكون مصابة، كما يمكن تثبيت هذه البرامج الإحتيالية عن طريق محرك أقراص أو بعد القيام بتحميلات عبر الشبكة.
فهي تعرض تنبيهات تظهر تعطل الجهاز و اعادة تشغيله، وتنبيه المستخدم من تهديدات البرمجيات الخبيثة الغير موجودة، وتعطيل أجزاء مختلفة من جهاز، تظهر أيضا عدم قدرة برنامج الحماية المثبتة على الجهاز على إزالة البرمجيات الخبيثة .
غالبا ما يكون عنصر حصان طروادة وراء تسربها إلى الجهاز، يمكن أن تتخذ شكل مكونات المتصفح [Plug in]، صورة أو ملف على رسالة بريد إلكتروني أو حتى عبر الإنترنت ضمن برامج مسح البرمجيات الخبيثة الحرة.
تعتبرالمخاطر المرتبطة لبرامج الحماية المزيفة تماما مثل أي تهديد خبيث، و المخاطر الأمنية الخطيرة المرتبطة بها الأكثر شيوعا، هي عدم حماية الجهازو جعله أكثر عرضة للإختراق، ذلك بتعطيل البرامج الأمنية المشروعة المثبتة على الجهاز أو تمنعك من زيارة مواقع البرمجيات الأمنية المشروعة المعروفة، لإحباط أي محاولة تحميل برنامج حماية حقيقي .
في كلمات بسيطة، الهدف من برامج الحماية لإحتيالية هو الخداع والتضليل بالاعتقاد أن يتم إصابة الكمبيوتر ببعض التهديدات الخطيرة، ومن ثم إجبارك على شراء هذه البرامج الوهمية .
بارك الله فيك
ردحذف