📕 المحور الثامن: البرمجيات الخبيثة – Malwares

بسم الله والصلاة والسلام على رسول الله
اليوم ان شاءالله راح اشرح المحور الثامن من سلسلة "مراحل اختبار الاختراق" وهو:-

📕 البرمجيات الخبيثة – Malwares:
    · كلمة مختصرة من Malicious Software وهي عبارة عن مجموعة البرامج الضارة، بما في ذلك الفيروسات وبرامج الفدية وبرامج التجسس. تتكون البرامج الخبيثة على تعليمات برمجية تم تطويرها بواسطة المهاجمين السيبرانيين، وهي مصممة لإحداث أضرار جسيمة بالبيانات والأنظمة أو للوصول غير المصرح به إلى الشبكة. عادةً ما يتم تسليم البرامج الضارة في شكل رابط أو ملف عبر البريد الإلكتروني وتتطلب من المستخدم النقر فوق الارتباط أو فتح الملف لتنفيذ البرامج الضارة.

📍 كيف تتسلل البرامخ الخبيثة إلى الجهاز:
    · تطبيق المراسلة الفورية
    · الأجهزة المحمولة كالـUSB، CD/DVD، Ext HDD
    · إدارة التصحيح البرامج الغير آمنة
    · تنزيل تطبقات الغير امنة والغير موثوقة
    · تنزيل الملفات من الإنترنت
    · مرفق البريد الالكتروني
    · الإنتشار عبر الشبكة

📍مكونات البرامج الخبيثة:
    · Payload: هذا هو المكون الأساسي للبرامج الضارة ، المصمم لتنفيذ دوافعه الفعلية كحذف او تغير الملفات، ظرب في نظام التشغيل OS، فتح منافذ تغير في إعدادات الجهاز وغيرها من الهجومات الضارة.
    · Obfuscator: عادة ما تكون أداة حزم أو واقي لتشفير أو ضغط البرامج الضارة لحماية الكودات من التحليل.
    · Persistence: كيف يدير البرنامج الضار نفسه والقابلية على البقاء في النظام.
    · Stealth component: يخفي البرامج الضارة من برامج مكافحة الفيروسات والأدوات الأخرى ومحللي الأمان.
    · Armoring: يحمي البرامج الضارة من التعرف عليها بسهولة من قبل الباحثين.
    · Command and control (C&C): هذا هو مركز التحكم الخاص بالبرامج الضارة.

🚩انواع البرامج الخبيث:
📍Virus:
    · من المحتمل أن تكون الفيروسات هي أكثر أنواع البرامج الضارة شيوعًا، فهو برنامج ضار يتكاثر ذاتيًا عن طريق نسخ نفسه إلى برنامج آخر حيث يقوم بإرفاق شفرته الخبيثة بملفات نظيفة ويصيب الملفات الأخرى دون علم او إذن من مالك الجهاز. كما انها تنتشر بسرعة وعلى نطاق واسع، مما يتسبب في إتلاف الوظائف الأساسية للأنظمة، وإفساد الملفات وإغلاق أجهزة الكمبيوتر الخاصة بهم، وعادة ما يتم تضمينها في ملف قابل للتنفيذ.

📍بعض أنواع الفيروسات:
    · Multipartite Virus: - ينتشر هذا النوع من الفيروسات بطرق متعددة. يصيب كل من قطاع التمهيد والملفات القابلة للتنفيذ في نفس الوقت.
    · Boot Sector Virus: - يصيب هذا النوع من الفيروسات سجل التمهيد الرئيسي وهو يمثل تحديًا ومهمة معقدة لإزالة هذا الفيروس وغالبًا ما يتطلب تهيئة النظام. ينتشر في الغالب من خلال الوسائط القابلة للإزالة.
    · Resident : والذي عند تنفيذه يصبح ذاكرة مقيم (وينتظر بعض المشغلات مثل تحميل أخرى برنامج). ثم يصيب البرامج الأخرى وما إلى ذلك.
    · Non-resident: بمجرد تنفيذ الفيروس ، سيبحث عنه الملفات التي يمكن أن تصيبها. ثم بعد إصابتهم سوف يتوقف. متي يتم تشغيل البرنامج المصابة مرة أخرى، سوف يقوم ببحث عن ملفات جديدة لإصابتها. 
    · Polymorphic Virus - يصعب التعرف على هذا النوع من الفيروسات من قبل برامج مكافحة الفيروسات لأن الفيروسات متعددة الأشكال تغير نمط توقيعها كلما اصابت ملفاً جديداً.
    · Overwrite Virus - هذا النوع من الفيروسات يحذف جميع الملفات التي يصيبها. الآلية الوحيدة الممكنة لإزالته هي حذف الملفات المصابة مما يعني بان المستخدم سيفقد جميع المحتويات الموجودة فيها. ويعد التعرف على فيروس الكتابة أمرًا صعبًا لأنه ينتشر عبر رسائل البريد الإلكتروني.
    · Logic Bombs - يتم تشغيل هذه الفايروسات عند استيفاء احدى شروط البرمجة، مثل بعد معالجة عدد من المعاملات، أو في تاريخ وزمان محدد 

📍 مراحل حياة الفايروسات:
    · التصميم: يتم تصميم البفايروس بإستخدام Programming Language أو Construction Kits.
    · النشر: إختيارة وسيلة ليتم نشر الفايروس.
    · التنفيذ: يتم تنشيط الفايروس في حال تم تشغيل الملف المصاب.
    · الإكتشاف: تم إكتشاف الفايروس بواسطة البرامج
    · الدفاع: يتم تحديث برامج الحماية للدفاع من هذه الفايروسات

🚩 Trojan:
    · تمامًا مثل الجنود اليونانيين الذين اختبأوا في حصان عملاق لتنفيذ هجومهم، يختبئ هذا النوع من البرامج الضارة داخل البرامج أو تتتنكر على أنهت برنامج شرعية والتي تم العبث بها. تميل إلى التصرف بحذر وإنشاء أبواب خلفية في الأمان للسماح للبرامج الضارة الأخرى بالدخول.

📍انواع الأحصنة:
    · Backdoor: يتيح حصان طروادة بإنشاء باب الخلفي للمستخدمين الخبثاء لتحكم عن بعد في الكمبيوتر المصاب. إنها تمكن المؤلف من فعل أي شيء يريده بما في ذلك إرسال الملفات واستلامها وتشغيلها وحذفها وعرض البيانات وإعادة تشغيل الكمبيوتر. غالبًا ما تُستخدم أحصنة طروادة المستترّة لتوحيد مجموعة من أجهزة الكمبيوتر الضحية لتشكيل شبكة بوت نت أو شبكة زومبي يمكن استخدامها لأغراض إجرامية.
   · Rootkit: تم تصميم الجذور الخفية لإخفاء أشياء أو أنشطة معينة في نظامك. غالبًا ما يكون الغرض الرئيسي منها هو منع اكتشاف البرامج الضارة - من أجل تمديد الفترة التي يمكن خلالها تشغيل البرامج على جهاز كمبيوتر مصاب.
    · Spyware: هو برنامج (نوع من البرامج الضارة) يستمر في العمل التجسس على أنشطة المستخدم مثل جمع معلومات المستخدم (ما يكتب)، سجل زيارة موقعه الإلكتروني وغيرها المعلومات دون موافقة صاحب الكمبيوتر.
    · Adware: هو في الأساس الإعلان عن البرامج المدعومة التي يعرض الإعلانات من وقت لآخر أثناء استخدام البرمجيات.
   · Bank Trojan: تعد  هذه الأحصنة نوعًا محددًا من برامج الضارة. فبمجرد التثبيت على جهاز، تستخدم هذه الاحصنة مجموعة متنوعة من التقنيات لإنشاء شبكات الروبوت، أو سرقة بيانات البنكية، أو سرقة الأموال.
   · Proxy Trojan: يقوم باختطاف الكمبيوتر وتحويله إلى خادم وكيل (زومبي)، وهو جزء من شبكة الروبوتات، والتي يمكن للمهاجم من خلالها تنفيذ أنشطة وهجمات مجهولة. القصيد من هذه الاحصنه هو إخفاء المهاجم، مما يجعل من الصعب تتبع الأصل الحقيقي للهجوم لأن الهجمات ستبدو وكأنها قادمة من اتجاهات عشوائية ومتعددة بسبب الروبوتات.

🚩 Ransomware:
    · برنامج الفدية هو برنامج ضار يصيب جهاز الكمبيوتر الخاص بك ويعرض رسائل تطالب بدفع رسوم حتى يعمل نظامك مرة أخرى. هذه الفئة من البرامج الضارة عبارة عن مخطط جنائي لجني الأموال يمكن تثبيته من خلال روابط خادعة في رسالة بريد إلكتروني أو رسالة فورية أو موقع ويب. لديه القدرة على قفل شاشة الكمبيوتر أو تشفير الملفات المهمة.

🚩 دودة - Worm:
    · هي نوع من انواع البرامج الضارة التي تنشر نسخًا من نفسها من كمبيوتر إلى كمبيوتر. يمكن للدودة أن تنسخ نفسها دون أي تدخل بشري، ولا تحتاج إلى ربط نفسها ببرنامج من أجل إحداث ضرر. يمكن للديدان تعديل الملفات وحذفها ، ويمكنها حتى حقن برامج ضارة إضافية على جهاز الكمبيوتر وكذلك يستغل وحدة المعالجة المركزية -CUP- والذاكرة – RAM-. ويمكن إزالتها بكل سلاسة عبر برامج مكافة للفايروسات.

🚩 تحليل البرامج الضارة - Malware analysis:
    · هي عملية فهم سلوك وغرض ملف أو عنوان URL والتأثير المحتمل لعينة معينة من البرامج الضارة مثل فيروس أو دودة أو حصان طروادة أو روتكيت أو باب خلفي. حيث تساعد مخرجات التحليل في الكشف عن التهديد المحتمل والتخفيف من حدته.

📍 لماذا تحليل البرامج مهمه:-
    · تحديد ما الذي يحدث بشكل دقيق
    · تحديد ما هو المقصد من البرامج الضارة
    · تحديد ما هي الثغرة المستغلة
    · تقييم الضرر الناجم عن التطفل

📍انواع التحليل:-
    · التحليل الأساسي الثابت: وهو تحليل قائم على فحص الملف بحثًا عن علامات النية الضارة والتعرف على البنية التحتية للملف أو المكتبات المستخدم أو الملفات المحزمة. في هذا التحليل لا يتم تشغيل الكود بالفعل. 
    · التحليل الديناميكي: وهو تحليل قائم على تنفذ البرامج الضارة في بيئة آمنة غير متصلة باي شبكة. حيث يتيح هذا النظام المغلق لمحترفي الأمن مراقبة البرامج الضارة أثناء العمل دون المخاطرة بالسماح لها بإصابة الانظمة او الإنتشار عبر الشبكة.

📍يتم التحليل الأساسي الثابت على:
    · File Fingerprinting: قراة الـHash Value للملف
    · Local & Online malware scanning: الفحص عبر برامج محلية او عبر الإنترنت
    · Preforming string search: البحث عن عمل وتحليل الكودات تفصيلياً
    · Finding the portable exe information: لمعرفة تاريخ و وقت تم صنع هذه البرامج
    · Identifying File Dependency: معرفة إذا كان البرنامج يعتدم على مصادر خارجية آخري
    · Malware Disassembly: تفكيك والتحليل
 
📍 يتم التحليل الديناميكي على متابعة جميع مصادر الجهاز من:-
    · Port monitoring
    · Process monitoring
    · Windows services
    · Event log
    · API calls
    · Registry Monitoring
    · Start up programs

📍 مراحل خلق بيئة التحليل الآمن:-
    · تخصيص نظام فيزيائي خاص لغرض المختبر
    · تثبيت VMware على الجهاز وخلق بيئة آمنه
    · العزل التام للنظام عن الشبكة او الإتصال باي من الاجهزة
    · محاكاة خدمة الإنترنت باستخدام أدوات مثل iNetSim
    · تثبيت أدوات مختلفة لتحليل البرامج الضارة
    · الحصول على قيمة التجزئة – Hash Value لنظام التشغيل الـOS
    · قم بتشغيل البرامج الضارة ومراقبة ما يحدث
    · توثيق العمل وكتابة تقرير

📍 برامج حماية من البرامج الخبيثة:
    · Kaspersky Internet Security
    · McAfee LiveSafe
    · Bitdefender
    · HitmanPro
    · Mawlrebytes
    · Trojan Remover
    · ZeroSpyware
    · Norton
    · Avast AntiVirus

📍برامج صنع البرامج الخبيثة:
    · MoSucker
    · ProRat/NjRat
    · Theef
    · JPS virus maker 
    · Internet worm maker
    · http rat

📍 برامج تحليل البرامج الخبيثة:
    · VirusTotal
    · IDA Pro
    · ollyddg
    · currport 


هكذا ولله الحمد انهيت شرح مبسط عن ماهي البرامج الخبيه – Malware وما هي انواعها وتصنيفها وما هي خطورتها وكيف التخلص منها.

ملخص من مادة CEHv10 
واسال الله لي ولكم التوفيق والنجاح
تحياتي لكم جميعاً 🌹 IronHulk

Comments

Post a Comment

Popular posts from this blog

📕 المحور الثاني عشر: اختطاف الجلسة - Session Hijacking

 بسم الله والصلاة والسلام على رسول الله اليوم ان شاء الله راح اشرح المحور الثاني عشر من سلسلة "مراحل اختبار الاختراق" وهو: -   📕 اختطاف الجلسة - Session Hijacking:      ·  هو هجوم يتم فيه الاستيلاء على جلسة المستخدم من قبل المهاجم. ومن المتعارف ان الجلسة تبدأ عند قيامك بتسجيل الدخول إلى إحدى المواقع او الخدمات، على سبيل المثال المواقع المصرفية او المتاجر، وتنتهي الجلسة عند تسجيل الخروج. وبالتالي يتم الاستلاء على هذه الجلسة والتصرف بها كأنه مالك الجلسة الفعلي.   🚩 مراحل اختطاف الجلسة:      ·   الاستطلاع : تتضمن الخطوة الأولى في عملية اختطاف الجلسة قيام المهاجم بتحديد هدفه من أجل العثور على جلسة نشطة. عادة، يستخدم المهاجمون تطبيقات مثل Sniffing Tools لمساعدتهم على إنجاز هذه الخطوة.      ·  مراقبة الشبكة : في هذه الخطوة، سيختبئ المهاجم في الشبكة المخترقة، محاولًا تحديد استخدام أي حركة مرور ضعيفة لم يتم تأمينها بشكل صحيح. من المعروف أن البروتوكولات مثل FTP وHTTP غير آمنة.      · تحد يد معرف الجلسة Se...
Read more

📕 المحور الاول: التحري والاستطلاع -‏ footprinting & reconnaissance

بسم الله والصلاة والسلام على رسول الله اليوم ان شاءالله راح اشرح المحور الاول من سلسلة "مراحل اختبار الاختراق" وهو:-  التحري والاستطلاع -‏ Footprinting & Reconnaissance:      • وهي المرحلة الاولى من سلسلة الإختراق وبدورها، يقوم المهاجم بالتحري والإستطلاع وجلب اكبر كمية من المعلومات المتوفرة على العلن عن الضحية وذلك لرسم طريق وخطة عمل عن كيفية عمل الإختراق. حيث يمكن ان يستخدم الهندسة الاجتماعية، وهجمات النظام والشبكات، مما ستؤدي إلى خساير مالية وفقدان سمعة الضحية. 📍 اهداف الفحص:     • جمع معلومات تتعلق بالشبكة : يتم فيها جمع معلومات عن الـDmain & Subdmain Name ومعرفة اي انواع الـIPِ Address الانظمة والشبكة وما هي خدمات TCP و UDP التي تعمل على الاجهزة وغيرها من المعلومات التي تتعلق بالشبكة.     • جمع معلومات تتعلق بالنظام : يتم جمع معلومات عن أسماء المستخدمين والمجموعات وما هي الـ Routing tables و الـSNMP وكلمات المرور إن تمكن من الوصول إليها.     • جمع معلومات المتعلقة بالمنظمة/الشركة : يتم جمع معلومات عن تفاصيل الموظف كاسمائم وا...
Read more

📕 المحور الثاني: الفحص - Network Scanning

بسم الله والصلاة والسلام على رسول الله اليوم ان شاءالله راح اشرح المحور الثاني من سلسلة "مراحل اختبار الاختراق" وهو :-   الفحص – Network Scanning      •  يبداء المخترق في فحص الشبكة والبحث عن مداخل – Entry-Point إلى الشبكة بإستخدام ادوات وبرامج وسكرباتت متطورة لإكتشاف الاجهزة المتصلة ( HOSTS )، البورتات المفتوحة ( OPEN PORTS )، والسيرفز الشغالة ( RUNNING SERVICES ) وغيرها من البيانات الي يحتاجها المخترق.   📍  انواع الفحص – Types of Scanning :      •    فحص المنافذ – Port Scanning :   ويقصد بها عمل فحص على الجهاز لإكتشاف البروت المفتوح، شو نوع السيرفز ( Service type )، وما هو إصدار الباتش( service version ) ويشمل الفحص جميع منافذ الـ TCP/UDP والبالغ عددهم 65535 منفذ.     •  فحص الشبكة –Network Scanning :  هي مرحلة يقوم بها المخترق/المختبر بإستكشاف جميع الـ IP Address على الشبكة لغرض الهجوم او فحص الاختراق على الاجهزة او السيرفرات.     •  فحص الثغرات -  Vulnerability Scanning :...
Read more