أداة التحكم عن بعد Remote Administration Tool

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

محتويات

مقدمة

أدوات التحكم عن بعد Remote Administration Tools هي برمجيات يستطيع مستخدمها على جهازه التحكم بجهاز آخر سواء كان في الغرفة نفسها أو في البناء نفسه أو في بناء في دولة أخرى عبر استخدام شبكة الانترنت. تستخدم هذه الأدوات ضمن الشركات من قبل قسم الـ IT ضمن الشركة لإدارة الحواسب في الشركة وضمان تحديث أنظمة التشغيل ومساعدة الموظفين ضمن الشركة على تنصيب البرامج (خاصة أنهم عادة لا يملكون حقوق مدير Admin وأيضا لمساعدتهم في حال وجود مشكلة معينة. تستخدم أيضا للتحكم بالأجهزة التي لا يمكن الوصول إليها بشكل فيزيائي (مثلا التحكم بأجهزة بقمر صناعي في المدار أو مسبار في الفضاء البعيد...) وغير ذلك من الاستخدامات المشروعة. من هذه البرمجيات برنامج تيم فيوير TeamViewer.

إلا أن فئة من هذه البرمجيات تعتبر من أخطر بالبرمجيات الخبيثة. تسمى هذه البرمجيات Remote Administration Tool Trojans أو Remote Administration Trojans واختصارا يطلق عليها راتس RATs كناية عن الجرذان في إشارة إلى الشعور المقزز الذي يصيب خبراء الأمن عندما يسمعون عن إصابة أحد المستخدمين بها.

إذا فالراتس RATs تمنح مستخدمها الصلاحيات للولوج إلى النظام وملفات النظام بصلاحيات مدير النظام. أي بكلمات أخرى تمنح مستخدمها إمكانية معاينة كامل الملفات والأفلام وملفات الصوت المخزنة على الحاسب وإرسال نسخ منها عبر الانترنت إلى المهاجم. كما تسمح له بتشغيل ميكروفون الحاسب المصاب وتسجيل الصوت وإرساله إلى مستخدم الرات أو تشغيل كاميرا الحاسب المصاب وتسجيل الصورة وإرسالها إلى صاحب الرات أو كليهما (صوت وصورة) طالما كان الحاسب المصاب يعمل سواء كان المستخدم جالسا أمام الحاسب أو لم يكن. وأيضا تعطي مستخدم الرات إمكانية معاينة شاشة الجهاز المصاب عن بعد كما في البث المباشر طالما كان الجهاز متصلا بالانترنت. وقد تعطي مستخدم الرات إمكانية معاينة حسابات المستخدم على الانترنت (إن لم يكن قد أخذ الاحتياطات مسبقا لحمايتها) وقد يمكنه ذلك من استخدام الجهاز المصاب لإرسال رسائل إلى أشخاص آخرين بهدف إصابتهم أو استخدام الجهاز المصاب لمحاولة اختراق أجهزة أخرى باستخدام برمجيات خبيثة يشغلها مستخدم الرات عن بعد. ويحدث كل هذا دون علم صاحب الحاسب بذلك وغالبا دون إمكانية أن يعرف صاحب الحاسب حدوث ذلك. والقصص حول المصائب التي سببتها هذه البرمجيات كثيرة. وهي بذكل تشبه كثيرا برمجيات الروتكيتس Rootkits.

بالمختصر تعتبر الروتكيتس Rootkits ومثلها الراتس RATs على أنواعها من أخطر البرمجيات الخبيثة وأسوأها آثارا

بسبب خطورتها وبسبب صعوبة التعامل معها، سنناقش فيما يلي عددا من النقاط التي نعتقد أنها ستفيد القراء في فهم الأساليب الأكثر شيوعا بين المهاجمين لإصابة حواسب الضحايا بالروتكيتس (وأيضا بأحصنة طروادة للتحكم عن بعد Remote Administration Trojans والتي تعرف اختصارا بالـ راتس RATs)، وأيضا سنحاول توضيخ ماذا يفغل المهاجم بعد أن ينجح في تنصيب الروتكيت على جهاز الضحية. ثم سننتقل لمناقشة أساليب الوقاية من الإصابة بالروتكيتس وسنسرد أساليب إدارة الخطورة Risk Management المتعلقة بكارثة الإصابة بروتكيت وفي النهاية كيف نتصرف في حالة الشك أو اليقين بالإصابة بها. قبل المتابعة يجب الإشارة بأن يجب التعامل مع حالة الشك بالإصابة بالروتكيت كما في حال اليقين بالإصابة بالروتكيت، أي يكفي الشك بالإصابة لأخذ كامل الخطوات التي نأخذها في حال التأكد من الإصابة.

استراتيجيات المهاجم لإصابة الجهاز الهدف برات RAT أو بروتكيت Rootkit

يحتاج المهاجم إلى تنصيب الرات RAT أو الروتكيت Rootkit على الحاسب الهدف لذلك يحتاج للحصول على صلاحيات مدير للنظام لتنفيذ هجومه. يعتمد المهاجمون استراتيجيات مختلفة للوصول لتنصيب الرات أو الروتكيت على الحاسب الهدف. نورد هنا عددا من هذه الاستراتيجيات:

  • استغلال ثغرات في نظام التشغيل المتصل مع شبكة الانترنت. يقوم المهاجم هنا باستغلال ثغرة ما في نظام تشغيل الجهاز المتصل بالانترنت ويقوم المهاجم بذلك عن بعد عبر الانترنت. يقوم المهاجم بعد استغلال الثغرة بتنصيب الرات أو الروتكيت ومتابعة هجومه. تقوم شركات الأمن الرقمي باكتشاف الثغرات والاعلان عنها مشجعة بذلك الشركات المسؤولة عن أنظمة التشغيل أو التطبيقات إلى سد الثغرات لكن المشكلة تحدث عندما يكتشف المخترقون الثغرات قبل أن تقوم شركات الأمن الرقمي بالاعلان عنها، أو عندما لا يقوم مدراء الأنظمة في المؤسسات أو الشركات أو الأفراد بسد الثغرات في أنظمة التشغيل التي يديرونها. يمكن معاينة لوائح الثغرات بشكل مستمر عبر مواقع مختصة بذلك مثل: https://www.qualys.com/research/top10/ أو http://web.nvd.nist.gov/view/vuln/search. يتطلب هذا النوع من الهجوم إلى قدرات تقنية عالية
  • استغلال أساليب الهندسة الاجتماعية Social Engineering لخداع المستخدم وإقناعه بتشغيل ملف على حاسبه (مثلا يقوم الضحية بتشغيل ملف مرفق في إيميل يبدو سليم لكنه في الحقيقة خبيث) يؤدي بالنتيجة إلى تنصيب الرات أو الروتكيت على الحاسب ليتابع المهاجم بعد ذلك هجومه. تحتاج هذه الاستراتيجية قدرات تقنية متواضعة بالمقارنة مع الاستراتيجية السابقة. تعتبر هذه الطريقة من أكثر الطرق شيوعا للإصابة بالراتس بالروتكيتس. والطريقة الوحيدة التي يستخدمها الجيش السوري الالكتروني لتنصيب برمجية روتكيت خبيثة على أجهزة ضحاياهم. لذلك نجد أنه من المهم قراءة المقالة التالية حول الهندسة الاجتماعية Social Engineering.

ماذا يفعل المهاجم بعد إصابة الجهاز الهدف مباشرة Attacker's next steps

بعد أن يتمكن المهاجم من تنصيب الرات أو الروتكيت على الحاسب وتشغيله يقوم المهاجم عادة (سواء بشكل مؤتمت أو بشكل يدوي) بـ

  • يقوم المهاجم بمحاولة إخفاء آثار الاختراق كي لا يتيح للضحية ملاحظة أن جهازه مخترق وبحيث يعمل المهاجم بشكل سري وخفي. فاكتشاف حدوث التدخل أو أي نشاط أو حدث على الحاسب الضحية سيساعده على معالجة المشكلة وأيضا على تجنب المشكلة في المرات القادمة. تقوم الروتكيتس عادة بهذا العمل وبما أن سجلات الوصول للموارد access logs هي أهم الملفات التي يلجأ لها الضحية لكشف الولوج الغير شرعي لحاسبه لذلك يعمد المهاجم على حذف المعلومات التي تشير إلى دخوله إلى الحاسب من هذه السجلات وأي سجلات أخرى التي تشير للعمليات التي تم إجراؤها على الحاسب. فعلى سبيل المثال تقوم الروتكيت بحذف أي تسجيل أو بند في سجلات النظام لأي عملية process تم تشغيلها عليه، كما قد يستخدم لإخفاء بعض الملفات التي أنشأها المهاجم أو تعديل بعض أوامر النظام لتعطي نتائج مزورة للمستخدم بحيث لا يتم اكتشاف أي تغيير تم حدوثه على ملفات النظام.
  • يقوم المهاجم بفتح بوابات خلفية Backdoors في النظام كي يقوم المهاجم عبرها بإرسال البيانات والتحكم بالجهاز وبالرات وبالروتكيت. من أكثر الأساليب شيوعا بالنسبة للروتكيتس هي فتح قناة اتصال إس إس إتش SSH إذ أن هذه القناة تمنح المهاجم إمكانية الوصول إلى الحاسب والتحكم به بالإضافة لإمكانية تشفير البيانات التي تمر عبر قناة الاتصال هذه ما يساعد في منع تحليلها من قبل أنظمة كشف التدخل Intrusion Detection Systems IDSs و أجهزة تجنب التدخل Intrusion Prevention Systems IPSs
  • يقوم المهاجم بمعاينة الحاسب ومعاينة الملفات الموجودة ليعرف إن كان هناك ملفات مهمة وإن كان استمرار الهجوم موضوع مهم.
  • يقوم المهاجم بمحاولة معاينة حسابات الضحية أونلاين (إذا كانت كلمات سرهم محفوظة في المتصفح مثلا أو عبر متابعة شاشة الضحية بشكل مباشر أيضا لتقييم الفائدة التي استخدامه لصلاحيات وصول لموارد إدارية privileged access، قد يمنحه هذا إمكانية التدخل بالحاسب الهدف أو الشبكة أو الأجهزة الأخرى المتصلة بالحاسب.
  • يقوم المهاجم بمتابعة الهجوم بالشكل الذي يناسبه أهدافه

الوقاية من هذا الهجوم How to protect yourself from this attack

بناء على ما ورد سابقا من استراتيجيات إصابة الضحية بهجوم رات RAT أو بهجوم روتكيت Rootkit ، نورد فيما يلي عددا من النصائح الموجهة للمستخدمين:

  • احرص على تحديث نطام التشغيل بشكل دوري لتتمكن من تغطية الثغرات الأمنية. ومن الممكن أن يتم ذلك بشكل تلقائي عبر تفعيل خاصية التحديث التلقائي.
  • قم باستخدام "حساب غير مدير" للاستخدام اليومي حتى تتجنب تحميل برامج غير مرغوب بها. وعند استخدامك "حساب مدير" كن حذرا عند تنصيب أية برامج إضافية. فعند استخدام حساب غير مدير لا يمكن لك تنصيب برنامج بصلاحيات مدير للنظام بطريق الخطأ. ما قد يساعدك على ملاحظة هجوم برات وإفشاله.
  • إستخدم كلمات سر قوية لمنع الآخرين من الوصول إلى جهازك الشخصي.
  • لا تقع ضحية لأساليب الهندسة الاجتماعية Social Engineering.
  • انظر بعين الشكل إلى كل الملفات المرفقة ضمن البريد الالكتروني ووسائل الاتصال الأخرى مثل سكايب. احذر بشكل خاص من الملفات ذات اللواحق التالية:
exe .cmd .bat .vbs .js .mdb .doc .xls .lnk .zip .scr .wsf .rar.
لا تقم بفتح هذه الروابط حتى بعد التأكد من مصدرها ومرسلها (إذ قد يكون مرسلها قد أصيب والمهاجم يحاول استغلال ثقتك بالضحية الأولى لإصابتك).
إن كنت مضطرا لتحميل أحد هذه الملفات أو المرفقات قم باستخدام موقع http://www.virustotal.com للتأكد من عدم احتوائه إلى رات Rat أو روتكيت Rootkit أو ملف خبيث آخر معروف.
ثم بدل تشغيل الملف على جهازك مباشرة قم بتجربة الملف على حاسب افتراضي Virtual Machine بحيث تقلل بذلك إمكانية إصابة نظام التشغيل الأساسي لديك بالرات أو الروتكيت وتقتصر الإصابة عندها على الحاسب الافتراضي Virtual Machine التي يمكن بسهولة حذفه (مع الرات أو الروتكيت). إن استخدام برمجيات sandbox أو البيئة الافتراضية لتنصيب البرمجيات تساعد على عزل البرمجيات التي قد تكون مصابة بالرات أو بالروتكيت عن نظام التشغيل و بالتالي تعمل على منع إصابة النظام الأصلي به.
  • استخدم تطبيق جدار ناري Firewall معد بشكل صحيح ومناسب
  • قم بعمليات إصلاح أمنية دورية للنظام
  • إن كنت من مطوري البرمجيات أو كان جهازك يتضمن مترجمات برمجية compilers قم بالحد من إمكانياتها على الأجهزة المستضيفة، العديد من برمجيات الرات RAT أو الروتكيت Rootkit تحتاج إلى مترجمات compiler و مكتبات libraries ليتم تنصيبها، فالحد من وجودها على أنظمة الجهاز الهدف يمنع من تنصيب بعض الروتكيت.
  • لا تقم أبدا بتحميل تطبيقات أو برامج من مصادر غير موثوقة على الإنترنت أو من أقراص مضعوطة أو فلاش ميموري. وتأكد عند تحميل التطبيق من أن الـ Checksum الخاص بالتطبيق مطابق للـ Checksum المذكور في الموقع (للتأكد أن ملف التطبيق هو الملف الأصلي وغير مزور)
  • تأكد دوما من قفل جهازك وعدم تركه بمتناول الآخرين.

الاستعداد لكارثة الإصابة Preparing for a catastrophy

تعتبر الإصابة سواء برات أو بروتكيت إحدى أسوأ الكوارث التي قد تصيب الحاسب. بالوقت نفسه هي أكثر أساليب الهجوم الالكتروني انتشارا منذ بداية الأزمة في سوريا. نلاحظ في فريق سلامتك بشكل مستمر محاولات المهاجمين سواء من الجيش السوري الالكتروني أو من غيرهم للسيطرة على حواسب ضحاياهم عبر استخدما مختلف أساليب الهندسة الاجتماعية Social Engineering لتنصيب الراتس RATs أو الروتكيتس Rootkits على أجهزة الضحايا.

ولأن احتمال الإصابة بها وارد جدا. نرى أن الاستعداد لكارثة من هذا النوع أمر مهم جدا لتفادي نتائجه. لا نتحدث هنا عن أساليب الوقاية من الإصابة ولا عن أساليب العلاج عند الإصابة أو الشك بالإصابة. نتحدث عن تقليل أضرار الإصابة بروتكيت في حال حدوثها رغم احتياطات الوقاية. أي علينا أن نعالج الموضوع كما يعالج اليابانيون موضوع الزلازل في بلادهم. فالزلازل تقع في اليابان ومع ذلك عدد ضحاياها وآثارها منخفض للغاية. السبب هو أن اليابانيين وضعوا الآليات المناسبة للتعامل مع هذا النوع من الكوارث بحيث أنه عندما تقع الكارثة يكون كل شئ في مكانه لتقليل آثارها.

من الجدير بالذكر يسمى هذا النوع من التحليل تحليل الخطورة Risk Analysis أما تقييم الخطورة Risk Assessment وتسمى الاجراءات التي يتخذها المرء للتقليل من آثار الكارثة بتخفيف الخطورة Risk Mitigation والمصطلح الذي يشمل تحليل الخطورة وتقييمها والاجراءات الازمة لتقليل الخطورة وغيرها من النواحي التي تعنى بالخطورة بمصطلح إدارة الخطورة Risk Management. وهو فرع مهم جدا من فروع الإدارة وأيضا من فروع إدارة أمن المعلومات Information Security Management.

إذا كيف نقلل من أضرار كارثة الإصابة بروتكيت أو برات؟ أو كيف نخفف من الخطورة؟

تقسيم القرص الصلب إلى جزء لنظام التشغيل وجزء للملفات

بما أن استخدام النسخ الاحتياطية Backups لنظام التشغيل هي الأسلوب المعتمد لمعالجة الإصابة (أو الشك بالإصابة) بالرات أو بالروتكيت فننصح بتقسيم القرص الصلب للحاسب Hard Disk إلى عدة أجزاء بحيث يتم تخزين ملفات نظام التشغيل على قسم وملفات المستخدم على أنواعها في سواقات أخرى. بحيث تكون النسخ الاحتياطية لملفات نظام التشغيل ذات حجم صغير وبحيث يتمكن المستخدم من تكرار العملية بشكل دوري دون الحاجة لاستخدام وسائط تخزين كبيرة وبدون استهلاك وقت كبير لعملية النسخ الاحتياطي. من المهم وضع النسخ الاحتياطية بشكل منفصل فيزيائيا عن الحاسب. مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ،

إجراء النسخ الاحتياطية لنظام التشغيل

بما أن أهم طرق المعالجة من هذه البرمجيات الخبيثة هي استعادة نظام التشغيل System Recovery لذلك يحتاج المستخدم لأخذ نسخ احتياطية عن النظام بين الفينة و الأخرى كي يستخدمها لعملية الاستعادة عند حدوث الكارثة. ويفضل إجراء نسخة احتياطية لملفات نظام التشغيل قبل كل عملية تنصيب جديدة. من المهم وضع النسخ الاحتياطية Backups بشكل منفصل فيزيائيا عن الحاسب. مثلا على قرص صلب خارجي مخصص للنسخ الاحتياطية محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ،

إجراء نسخ احتياطية للملفات

قد يرغب المهاجم بتخريب ملفات المستخدم سواء عبر الحذف أو عبر التعديل. لذلك ننصح بإجراء نسخ الاحتياطية Backups لملفات المستخدم بشكل دوري,

ينصح بأخذ النسخة الاحتياطية على حسب أهمية الملفات المنسوخة و اختلاف تواتر تغييرها، إذا كانت الملفات على قدر عالي من الأهمية و تتغير بشكل يومي فلا بد من أخذ نسخ يومية تحذف بعد فترة شهر من أخذها، أما إذا كان التغيير نادر الحدوث فيمكن من إطالة المدة بين عمليات أخذ النسخ الاحتياطية، كما ينصح بوضعها على قرص صلب خارجي محمي من العوامل الطبيعية كالتعرض للشمس، البلل، الرطوبة… إلخ، و لإتمام عملية النسخ الاحتياطي يوجد عدة أدوات و برمجيات مساعدة أو يمكن استخدام خاصية النسخ الاحتياطي المدمجة بالنظام نفسه.

عدم حفظ كلمات سرّ الحسابات في المتصفح

تتيح المتصفحات المتختلفة مثل كروم Chrom وفايرفوكس Firefox إمكانية حفظ كلمات السرّ لمساعدة المستخدم من دخول حساباته أونلاين. يستغل المخترقون باستخدام روتكيتس هذه الخاصية للحصول على كلمات السرّ الخاصة بالضحايا. لذلك يساعد عدم احتفاظ كلمات السرّ مخزنة في المتصفح من حصول المهاجم على كلمات سرّه حتى لو لم يعلم الضحية بحضول الهجوم وبإصابته.

يمكن الاستعاضة عن تخزين كلمات السرّ في المتصفح باستخدام تطبيقات إدارة كلمات السرّ. ننصح هنا باستخدام تطبيق كي باس KeePass

استخدام ميزة التحقق بخطوتين أينما توفّرت Two Factor Authentication

لنفترض أن المهاجم قام باختراق الحاسب ولنفترض أنه استطاع مراقبة نقرات لوحة المفاتيح وبالتالي الحصول على كلمة سرك على حسابك على Gmail. إذا يستطيع المهاجم الدخول لحسابك على Google ومعاينة مراسلاتك وأيضا لاستخدام حسابك للإيقاع بأصدقاء لك أو لإصابة أصدقاء لك. لكي نحد من هذه الخطورة ننصح باستخدام ميزة التحقق بخطوتين والتي تتيحها الكثير من المنصات على الانترنت مثل Gmail، Facebook، Dropbox وغيرها. بهذا الشكل حتى لو حصل المخترق على كلمة السرّ الخاصة بحسابك، سيحتاج أيضا للوصول لهاتفك المحمول أو لسرقته أو لاختراقه كي يستطيع الوصول لحسابك أونلاين.

للمزيد حول ميزة التحقق بخطوتين اقرأ المقال التالي: التحقق بخطوتين Two Factor Authentication أو مجموعة المقالات الممتازة من زملائنا في مشروع Cyber-Arabs: استخدام التحقق بخطوتين لحماية حساباتكم الشخصية من الاختراق.

الاحتفاظ بالملفات المهمة بشكل مشفر

يقوم المخترق عادة بمعاينة ملفاتك للوصول لمعلومات مهمة قد يستخدمها ضدك أو ضد فريقك أو يستخدمها ليرسم صورة أوضح عنك. لذلك احتفظ بالملفات المهمة بشكل مشفر. اتبع الرابط للمزيد حول التشفير Encryption

تغطية الكاميرا عند عدم استخدامها

يقوم المهاجمون عادة بتشغيل الكاميرا دون علم الضحية لتصوير الضحية أو لمعرفة مكان تواجده حتى عندما يكون الضحية بعيدا عن الكاميرا. لذلك للتقليل من خطورة ذلك. قم بتغطية الكاميرا المدمجة عند عدم استخدامها أو بفصل الكاميرا الخارجية عن الحاسب عند عدم استخدامها. يكفي تغطية الكاميرا باستخدام قصاصة من الورق المقوى والأفكار في هذا المجال كثيرة.

فصل الميكروفون عند عدم استخدامه

يقوم المهاجمون عادة بالتنصت على المايكروفون دون علم الضحية للتنصت على ما يدور في محيطه أو على اتصالاته ويرافق ذلك عادة تشغيل الكاميرا. لذلك للتقليل من خطورة ذلك. قم بفصل الميكروفون الخارجي عن الحاسب عند عدم استخدامها. يمكن أيضا وصل كابل السماعات إلى مدخل الميكروفون (لأن السماعات ميكروفونات سيئة للغاية) والأفكار هنا أيضا كثيرة.

جعل محتوى الحاسب يبدو وكأن الحاسب لا يستحق جهد المخترق ووقته

لا يهتم المهاجم الجاد والخطير بالحواسب المملة أي التي لا تحتوي معلومات وملفات مهمة. لذلك إن كان بإمكانك جعل حاسبك يبدو مملا تكون قد خدعت المهاجم الذي سيقوم ربما بترك حاسبك ليستغل الوقت لمهاجمة ضحية أخرى. أو ليبقي على جهازك خلية نائمة. على كل حال خداع المهاجم جزء من الوقاية من آثار الكارثة.

اكتشاف إصابة الحاسب بالروتكيت Rootkit attack detection

ليس من السهل اكتشاف الروتكيت و ذلك لأن المهاجمين يعملون على إخفاء آثار الاخنراق وآثار الهجوم والروتكيت تستخدم تقنيات مختلفة لإخفاء نشاطها على الحاسب الضحية. على الرغم من ذلك يعتقد البعض بأنه لا يمكن أن يتواجد مهاجم باحترافية عالية جداً لدرجة عدم ترك أي دليل على حدوث التدخل و هو ما يتم استخدامه لاكتشاف الروتكيت عادة.

وبما أن من الصعب على المستخدم العادي اكتشاف الروتكيت بنفسه فعليه الاستعانة إما بخبراء لاكتشافه أو ببعض الأدوات، لذلك ننصح بدل الانتظار للتأكد بالإصابة بروتكيت والتصرف بعدها بأخذ الاحتياطات الكاملة للوقاية من الإصابة بروتكيت والمذكورة في هذه المقالة وأيضا اتخاذ الاجراءات التي تخفف من آثار كارثة الإصابة المذكورة في هذه المقالة وأيضا القيام بالإجراءات العلاجية بمجرد الشك بالإصابة.

نورد فيما يلي بعض الإيضاح حول صعوبة اكتشاف الروتكيت.

برمجيات للكشف عن الروتكيت

لا تتوفر حاليا أدوات أو برمجيات تمتلك القدرة الكاملة على التقاط كل أنواع الروتكيت على الأجهزة. إلّا أنه هناك عدد من الأدوات التي قد تستطيع اكتشاف المشهور منها قبل تنصيبها على أنظمة التشغيل ويندورز Windows مثل حزم مضادات الفيروسات. لذلك إن كان المستخدم يستخدم برمجية روتكيت مشهورة في هجومه قد يستطيع مضاد فيروسات اكتشافه قبل حدوث الضرر لكنه من الصعب جدا أن يكتشفه بعد حدوث الضرر بسبب تقنيات التخفي التي تستخدمها معضم برمجيات الروتكيت لتفادي الاكتشاف من مضاد الفيروسات. يوجد أيضا أدوات منفصلة عن حزم مضادات الفيروسات تساعد على التخلص من روتكيتس معينة مثل DarkComet RAT Remover وهي أداة خاصة لاكتشاف وإزالة أحد أنواع الروتكيت والذي يطلق عليه اسم DarkComet.

هناك أيضا أنظمة التقاط التدخل Intrusion Detection system وأنظمة تجنب التدخل Intrusion prevention Systems خاصة بالشبكات يمكن تحليل بياناتها لالتقاط أي حركة مشبوهة من قبل أي نظام تم استهدافه. وهو الطريقة التي تعتمدها الشركات والمنظمات الكبيرة لكشف كارثة حدوث اختراق بروتكيت.

أما بالنسبة لأنظمة التشغيل لينوكس Linux بالتحديد أو الشبيهة بها يتوفر عدد إضافي من الأدوات التي تكشف الشهير من أنواع الروتكيت المشهورة مثل برنامج Chkrootkit و برنامج Rootkit Revealer ويجب التأكيد على القيام بتحديث هذه البرمجيات والأدوات بشكل دائم كحال مضاد الفيروسات.

اكتشاف الروتكيت بشكل ظرفي

أيضا يمكن كشف وجود روتكيت على جهاز ما أو الشك بوجوده بشكل ظرفي, فمثلا:

  • وصول رسالة بريد الكتروني من جهة A إلى جهة B على الرغم أن A أكد لـ B أنه لم يرسل أي بريد الكتروني توحي أن حساب الجهة A مخترق وربما سبب الاختراق وجود روتكيت على جهاز الجهة A.
  • ملاحظة كمية كبيرة من المعلومات المرفوعة مع الانترنت على الرغم من عدم رفع أي ملف إلى الانترنت يشير إلى أن هناك من يرسل من حاسبك حجما كبيرا من المعلومات قد يكون الـ روتكيت
  • يقوم نظام التشغيل بتسجيل عمليات تسجيل الولوج وعمليات الوصول للموارد والعمليات الهامة التي تجري عليه عادة. تسمى هذه السجلات بشكل عام System Logs. قد يستطيع الخبير من قراءة سجلات نظام التشغيل أن يكتشف حدثا يشير إلى وجود روتكيت على الجهاز أو قد يلاحظ أن حدثا ما قد اختفى من جداول سجلات نظام التشغيل ما يشير إلى وجود شئ ما يحاول إخفاء آثاره وقد يكون الروتكيت.

معالجة الإصابته أو الشك بالإصابة برات أو روتكيت Dealing with a Rootkit or RAT attack

عند الإصابة أو الشك بالإصابة بروتكيت أو برات على المستخدم القيام بالخطوات التالية:

  1. تغطية الكاميرا بغطاء ما (إن كان للجهاز كاميرا مدمجة) أو فصل الكاميرا المتصلة بالجهاز (إن وجدت)
  2. تغطية الكايكروفون (إن كان للجهاز مايكروفون مدمج) أو فصل المايكروفون المتصل بالجهاز (إن وجد)
  3. فصل الجهاز عن الانترنت عبر فك كابل الانرتنت LAN أو عبر وقف تشغيل الـ Wireless Router أو وضع الجهاز خارج نطاق الوصول للانرتنت اللاسلكي في حال لم يكن بالإمكان وقف تشغيل الـ Wireless Router لقطع إمكانية التواصل بين البرمجية الخبيثة والمهاجم.
  4. تبليغ المختصين بموضوع الأمن الرقمي (سواء مدير الأمن الرقمي في المؤسسة التي تعمل ضمنها) أو الزميل أو الصديق الذي تستشيره في موضوع الأمن الرقمي عن حدث الإصابة أو الشك بالإصابة عبر استخدام جهاز آخر للتبليغ (إما بشكل مباشر، أو عبر الهاتف أو عبر الانترنت (لكن لا تستخدم الجهاز المصاب في ذلك الغرض).

إن كان القرار إزالة الرات أو الروتكيت من الجهاز

  1. تأكد مجددا من أن الجهاز غير متصل بالانترنت عبر فك كابل LAN أو عبر وقف تشغيل الـ Wireless Router أو وضع الجهاز خارج نطاق الوصول للانرتنت اللاسلكي في حال لم يكن بالإمكان وقف تشغيل الـ Wireless Router
  2. حاول تقدير متى تمت الإصابة بالروتكيت
  3. ابحث عن نسخة احتياطية Backup لنظام التشغيل تحمل تاريخ قبل التاريخ المقدر للإصابة.
  4. قم باستعادة النظام Recovery باستخدام النسخة الاحتياطية إلى مرحلة ما قبل الإصابة بالروتكيت وفي حالة الشك في توفر نسخة نظيفة من النظام يمكن استعادتها، على المستخدم أن يقوم بإعادة تنصيب النظام و البرمجيات من جديد للتأكد من أن الحاسب قد تمت معالجته تماماً من الإصابة.

يجب بعد ذلك أن يقوم المصاب بمحاوبة كتابة تقرير يشمل مصدر الإصابة "البرمجية الخبيثة"، نوع الإصابة "الملفات المتضررة.."، الهدف من الإصابة "المعلومات و البرمجيات المستهدفة" ، و الجهات المهاجِمة و المستهدَفة، والاستفادة من هذا التقرير لإعلام الجهات التي قد تكون قد تأثرت بسبب الإصابة وبسبب فقدان سرية المعلومات مثلا.

وأيضا من المهم إعلام المختصين التقنيين مثل إخبار العاملين في مشروع سلامتك SalamaTech عن الروتكيت كي يقوم الخبراء بمحاولة توعية بقية المجموعات العاملة والشركات التقنية والمستخدمين حول وجود التهديد الجديد وأيضا معاينة الملف الذي يحتوي البرمجية الخبيثة وتحليل عملها (ضمن بيئة آمنة في مختبراتها) وفي النهاية إعلام شركات مضادات الفيروسات ومخدمات الانترنت والشركات صاحبة أنظمة التشغيل بوجود تهديد جديد لتشمل تحديثاتها إغلاق الثغرات التي تستغلها البرمجية الخبيثة الجديدة وللكشف عنها ضمن الملفات المرفقة من قبل مضادات الفيروسات.

لائحة ببعض برمجيات الراتس RATs

فيما يلي بعض أسماء برمجيات الروتكيتس والتي لاحظنا انتشارها واستخدامها خاصة من قبل الجيش السوري الالكتروني Syrian Electronic Army:

  • Blackshades
  • DarkComet
  • Fynloski
  • Rbot
  • Zapchast
  • Xtreme RAT

تنقّل في الكتيب eBook Navigation

السابق: أحصنة طروادة Trojan Horses

التالي: الروتكيتس Rootkits

الهجمات الالكترونية المسيئة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

اصطياد كلمات السرّ Passwords Phishing

مراجع References

استخدام «التحقق بخطوتين» لحماية حساباتكم الشخصية من الاختراق من Cyber-Arabs

What is the Syrian Electronic Army?

5 scary things about the ‘Blackshades’ RAT