افتح القائمة الرئيسية

أحصنة طروادة Trojan Horses

محتويات

مقدمة

 

أحصنة طروادة Trojan Horses وتسمى أيضا برامج تروجان عن الانجليزية، هي برامج تصيب الأجهزة المستهدفة من دون علم الضحايا، عبر التخفي ضمن برنامج أو غلاف يبدو حميدا. تتيح هذه الطريقة للمهاجمين تجاوز حذر المستهدفين، وتجاوز تحذيرات نظام التشغيل للمستخدمين. عند إصابة الجهاز، يصبح بامكان المهاجمين فعل ما يشاؤون بالجهاز عن بعد، كنسخ الملفات إلى خادمات المهاجمين، حذف الملفات أو تخريبها، تشفير الملفات بقصد الابتزاز المادي، أو فتح الكاميرا والميكروفون للتجسس على الضحايا.

أطلقت هذه التسمية على هذه البرامج نسبة إلى قصة حصان طروادة، وهي قصة الطريقة التي استخدمها اليونانيون القدماء للنجاح في اقتحام مدينة طروادة Troy التي سكنها الإجئيون (نسبة عن بحر إيجة) في حرب خلدها هوميروس في ملحمة الإلياذة والأوديسة. طروادة المدينة جيّدة التّحصين ذات الأسوار العالية، ظلّت منيعة عن المهاجمين اليونان أياما طويلة. فلما عجزوا عن اقتحامها بالطرق التقليدية. قاموا ببناء مجسّم خشبيّ كبير لحصان، تاركين فراغا في منطقة بطن الحصان يتسع لعدد من الجنود. ولإيهام الطرواديين بنجاتهم من الحصار، قام اليونانيين بتنظيم انسحاب ليبدوا للطرواديين ان اليونانيين انهزموا عائدين إلى ديارهم. ترك اليونانييون خلفهم خيما وعتاد والحصان الخشبي حيث اختبأ بعض الجنود. لما أدرك الطرواديون انتصارهم، ما لبثوا أن بدأوا بالاحتفال بفك الحصار وانتصار المدافعين، وبدأوا بجمع الغنائم وإدخالها داخل أسوار المدينة، عارضينها في ساحة المدينة، ومن بينها الحصان الخضبي، الذي نسميه اليوم حصان طروادة. بعد حلول الليل وانتهاء السكان إلى النوم، خرج الجنود من بطن الحصان الخشبي، وقاموا بفتح باب المدينة للجيش اليوناني الذي كان قد تسلسل عائدا مع جناح الليل إلى حدود المدينة. دخل الجيش اليوناني مدينة طروادة، مفاجئا المدينة التي كانت قد نامت ثملى قريرة العين، مدخلا الجزع في قلوب الجنود السكارى بعد بهجة النصر الكاذب. وبعد معركة قصيرة في الشوارع والساحات، سقطت المدينة في يد اليونان المغيرين، غنيمة دهائهم وحسن تدبيرهم.

إذا برنامج حصان طروادة أو التروجان، هو برنامج خطير جدا، تكمن خطورته في أن المهاجم يخفيه ضمن برنامج أو غلاف يبدو حميدا. ويصيب حصان طروادة جهاز الضحية بعد خداعه، ودون إدراكه. هذا يعرض الضحية لتجسّس وسرقة البيانات الشخصية والصور والملفات السريّة، أو حتى إفسادها أو تعطيل الجهاز أو جمع الكلمات السرية لحسابات المستهدف على مواقع خدمات الإنترنت المختلفة، كالبريد الالكتروني Email أو منصات التواصل الاجتماعي Social Media Platform ومن تم معاينتها، تغييرها، واستخدامها كوسيلة للابتزاز أو لنشر الإشاعات أو نشر البرامج الخبيثة... وغيرها من المخاطر المرعبة.

يختلف التروجان عن الفيروسات Viruses والديدان Worms بأنه لا يقوم بمحاولة الانتشار بشكل أوتوماتيكي كما هو الحال مع الفايروسات والديدان، وإنما بشكل يدوي، كأن تقوم الضحية بنسخ الملف الذي يتضمن التروجان وتشغيله، أو كأن تقوم الضحية بتحميل الملف الخبيث من رابط ما على الانترنت وتشغليه.

طريقة عمله

 

هذه الفقرة ما تزال قيد الانشاء

يتكون برنامج التروجان من نسختين: خادم و مستفيد. ويقوم المهاجم بنشر نسخة الخادم على الانترنت بعد ربطها مع أي ملف أو برنامج آخر (مثلا: لعبة أو عرض تشغيلي) وعندما يقوم المستخدم (الضحية) بتشغيل ذلك الملف يتم تحميل نسخة الخادم على جهازه من دون علمه (فهو لا يرى إلا البرنامج الأساسي ولا يعلم أن هناك برنامج تروجان ملحق معه)، وتقوم نسخة الخادم بفتح منفذ(ثغرة) على جهاز الضحية ليكون جاهز لاستقبال الأوامر من المهاجم الذي يقوم باستخدام نسخة المستفيد وإرسال الأوامر عن طريق الشبكة إلى جهاز الضحية. وقد تقوم نسخة الخادم بإرسال رسالة بريد الكتروني إلى المهاجم لإخباره عن معلومات الجهاز الضحية(اسم الجهاز وعنوانه على الشبكة) الذي تم تحميل نسخة الخادم عليه حتى يتمكن من معرفته. كما أن نسخة الخادم لها المقدرة على تشغيل نفسها حتى مع إعادة تشغيل الجهاز وحماية الدخول عليها بكلمة مرور حتى لا يستطيع أي مهاجم آخر من التحكم بجهاز الضحية.

أما عن طريقة انتشاره فهو ليس مثل الفيروسات التي تنتقل آليا وبدون تدخل العنصر البشري بل ينتشر التروجان عن طريق تبادل الملفات وتشغيلها من قبل المستخدمين دون علمهم أن هذه الملفات تحتوي على برامج التروجان.

و في الصورة التالية يمكن مشاهدة تروجان برنامج Poison Ivy 2.3.2 الذي يمكن من خلاله التحكم بجهاز الضحية خلال أمور منها: فتح وإغلاق سواقة الأقراص المضغوطة (CD-Room)، أخذ لقطة للشاشة الحالية التي تظهر لمستخدم الجهاز ، إغلاق الجهاز أو الشاشة ، تشغيل خادم لنقل الملفات مع تصفح ملفات الجهاز والتحكم فيها، سرقة كلمات المرور (السرية).. وغيرها.

 

عن ماذا يبحث المهاجم

يستخدم المهاجم برامج التروجان على جهاز الضحية للحصول على أمور عديدة منها:

  • أرقام بطاقات الائتمان (الفيزا أو الماستركارد) سواء كانت مخزنة على الجهاز أو عندما يقوم المستخدم باستخدامها على الانترنت.
  • أرقام حسابات وكلمات سرّ Passwords سواء حساب بنك أو بريد الكتروني أو موقع تجارة الكترونية.
  • وثائق أو ملفات أو معلومات سرية أو هامة.
  • عناوين البريد الكتروني المخزنة في الجهاز.
  • صور أو أفلام فيديو خاصة أو عائلية وقد يستخدمها لابتزاز صاحب الجهاز.
  • استخدام جهاز الضحية لأغراض غير شرعية مثل اختراق مواقع أو تعطيل أجهزة أخري.
  • تعطيل أو تخريب أوإفساد ملفات الضحية أو نظام التشغيل على الجهاز المصاب أو تعطيل العتاد.
  • تشفير الملفات على جهاز الضحية، أي أخذها رهينة وابتزاز الضحية للحصول على فدية مادية لفك تشفير الملفات وإطلاق سراح الملفات.

Cryptojacking

أنواع التروجان

التروجان لها أنواع عديدة ولكن يمكن تصنيفها مجازا إلى ستة أنواع رئيسية:

حصان طروادة للتحكم عن بعد Remote Administration Trojan

حصان طروادة للتحكم عن بعد Remote Administration Trojan أو أداة التحكم عن بعد Remote Administration Tool: وهو أشهر أنواع التروجان وأكثرها انتشارا وخطرا ومن أشهر أمثلته (Poison Ivy.bifrost .Spt-Net.Lost Door). فيقوم هذا النوع من التروجان بإعطاء المهاجم كامل التحكم بجهاز الضحية ومزايا كثيرة لم تكن متوفرة أصلا للضحية مثل جمع الكلمات السرية أو جمع ما تم ضغطة من أزرار لوحة المفاتيح أو عكس اتجاه حركة الفأرة أو تشغيل البرامج عن بعد.

تروجان خادم الملفات File Server Trojan

تروجان خادم الملفات File Server Trojan يحول جهاز الضحية إلى خادم للملفات FTP Server متيحا للمهاجم تحميل أي ملف من الملفات الموجودة على جهاز الضحية وكذلك، متيحا للمهاجم وضع أي ملف من الملفات على جهاز الضحية كملفات حصان طروادة للتحكم عن بعد Remote Administration Trojan عند رغبة المهاجم بالمزيد من التحكم بجهاز الضحية.

تروجان إرسال كلمات السرّ Password Sending Trojan

تروجان إرسال كلمات السرّ Password Sending Trojan له هدف واحد فقط وهو سرقة وجمع جميع كلمات السرّ التي يقوم الضحية باستخدامها على جهازه ومن ثم إرسالها بواسطة البريد الالكتروني أو بطريقة أخرى إلى المهاجم.

تروجان تسجيل نقرات لوحة المفاتيح Keystrokes Logger Trojan

تروجان تسجيل نقرات لوحة المفاتيح Keystrokes Logger Trojan يقوم بتسجيل كل الضغطات التي يقوم بها الضحية على لوحة المفاتيح ومن ثم إرسالها بالبريد الالكترونيأو بطريقة أخرى إلى المهاجم، أو يقوم تجميعها في ملف يقوم المهاجم بتحميله لاحقا. للمزيد اقرأوا المقالة حول تسجيل نقرات المفاتيح Keystroke Logging.

تروجان الهجمات الموزعة لتعطيل الخدمات Distributed Denial of Service Trojan

تروجان الهجمات الموزعة لتعطيل الخدمات Distributed Denial of Service Trojan وهو نوع من أنواع التروجان يتيح للمهاجم استغلال جهاز الضحية لتنفيذ هجمات الحرمان من الخدمة الموزعة Distributed Denial of Service Attacks ضد أهداف أخرى مثل أجهزة وشبكات خدمة ما أو موقع ما، ويقوم المهاجم بذلك بحيث يكون مصدر هذه الهجمات أجهزة الضحايا وليس المهاجم نفسه. فيقوم المهاجم بتشغيل الهجمة على أجهزة الضحايا واحد تلو الأخر أو يقوم باستخدام جهاز معين يقوم بمخاطبة جميع الأجهزة آليا. وتسمى مجموعة الأجهزة المصابة بهذا التروجان عادة بشكبة بوت Botsnet اختصارا لـ Robots Network والتي تعني شبكة الروبوتات.

تروجان إرسال الرسائل غير المرغوب بها Spam Relaying Trojan

يقوم تروجان إرسال الرسائل غير المرغوب بها Spam Relaying Trojan باستغلال جهاز الضحية وحسابه البريد لإرسال رسائل غير مرغوب بها Spam اسمه وهويته ومن دون علمه إلى آخرين باستخدام

طرق الإصابة بها

 

هذه الفقرة ما تزال قيد الانشاء

توجد عدة طرق للإصابة ببرامج التروجان وأود أن أنوه إلى أن المستخدم قد لا يشعر أبدا بأن جهازه قد أصيب أصلا، ولكن يمكن تلخيص بعض طرق ومصادر الإصابة ببرامج التروجان من خلال النقاط التالية:

  • الملفات المنتشرة على الانترنت أو بواسطة البريد الالكتروني: وهذا يعد المصدر الرئيسي لانتشار التروجان بحيث يتم إلصاق برنامج التروجان بأي برنامج تشغيلي آخر فتكون المحصلة برنامج واحد على شكل لعبة أو لقطة متحركة أو حافظ شاشة أو برنامج مشهور ومن ثم إرساله إلى قائمة بريدية أو منتدى ليتم تداولها بين المستخدمين، وهذه بعض امتدادات الملفات المشهورة التي يستخدمها التروجان للتخفي بها (.exe, .com, .bat, .src).
  • البرامج المنسوخة أو مفكوكة الحماية: وقد يقوم المهاجم بفك حماية أحد البرامج المشهورة والمطلوبة بكثرة وإلصاق التروجان بها ومن ثم وضعها على خادم ملفات أو موقع ليتم تحميلها فيما بعد من قبل المستخدمين.
  • برامج المحادثة المشهورة مثل (ICQ) أو(IRC): استخدام نسخ غير محدثة من برامج المحادثة التي تسمح بتبادل الملفات قد تتيح للمهاجم إرسال ملف وتشغيله على جهاز الضحية دون علمه، كما أن استقبال الملفات من الأشخاص الغير معروفين يشكل خطرا كبيرا على المتلقي.
  • الدخول المباشر على الجهاز: إذا كان الجهاز مشترك أو غير محمي بكلمة مرور فسيستطيع أي شخص الدخول على الجهاز حسيا ومن ثم تحميل برنامج التروجان على جهازك ومن دون علمك.
  • وجود مشاكل أو ثغرات في برامج متصفح الانترنت أو برامج البريد الالكتروني: مما يتيح لأصحاب المواقع أو مرسلي البريد الالكتروني من استغلال هذه الثغرات وتحميل الملفات دون علم صاحب الجهاز.

طريقة الحماية منها

 

هذه الفقرة ما تزال قيد الانشاء

يجب توفر الوعي الأمني لدي مستخدمي الشبكة ومعرفة خطورة هذه البرامج وعدم إعطاء الثقة الزائدة على الشبكة لأي شخص أو لأي موقع حتى لا تقع فريسة سهلة للمهاجمين، ويمكن للمستخدم حماية جهازه من برامج التروجان وذلك بإتباع الخطوات التالية:

  • استخدام برامج مكافحة التروجان و الفيروسات.
  • استخدام برنامج الجدار الناري (Firewall) للتحكم بالبرامج التي تستخدم الشبكة.
  • تحديث برامج مكافحة التروجان والفيروسات باستمرار وبشكل آلي.
  • تحديث نظام التشغيل والتطبيقات باستمرار وبشكل آلي.
  • تفحص الجهاز باستمرار وبشكل دوري ضد برامج التروجان.
  • عدم تحميل أو فتح البرامج من المواقع أو الأشخاص الغير موثوق فيهم أو الغير معروفين.
  • عدم استخدام البرامج المنسوخة أو الغير معروفة المصدر.
  • عدم تشغيل الملفات المنتشرة على الانترنت إلا بعد التأكد من نوع الملف وأنه لا يحتوي على تروجان حتى ولو كان من صديق.
  • تحميل الملفات والبرامج من الموقع الرسمي وليس من مواقع بديلة.
  • الحذر كل الحذر من برامج فك الحماية أو توليد الأكواد أو الكلمات السرية.
  • حماية جهازك بكلمة سرية حتى لا يتطفل علية الآخرين أو يقومون بتحميل البرامج دون علمك.

بعض برامج أحصنة طروادة الشهيرة

  • DarkComet – CIA / NSA
  • FinFisher – Lench IT solutions / Gamma International
  • DaVinci / Galileo RCS – HackingTeam
  • 0zapftis / r2d2 StaatsTrojaner – DigiTask
  • TAO QUANTUM/FOXACID – NSA
  • Magic Lantern – FBI
  • WARRIOR PRIDE – GCHQ

تنقّل في الكتيب eBook Navigation

اقرأ أيضا See Also

مراجع References

MediaWiki spam blocked by CleanTalk.