آموزش CEH (هکر کلاه سفید): شنود سایبری و روبایش نشست‌ها راهکار هکرها برای سرقت اطلاعات

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

سازندگان بدافزارها تمایلی ندارند شرکت‌های امنیتی نحوه عملکرد ویروس هایشان را متوجه بشوند. هرچه اطلاعات کمتری در ارتباط با یک ویروس وجود داشته باشد، آسیبی که وارد می‌کند بیشتر است. بنابراین، نویسندگان بدافزارها گاهی اوقات از تکنیک‌های ضد ماشین مجازی برای خنثی کردن تلاش برای تجزیه و تحلیل استفاده می‌کنند. اگر سعی می‌کنید بدافزاری را در یک ماشین مجازی اجرا کنید و هیچ اتفاق خاصی نیافتد، این احتمال را بدهید که بدافزار به گونه‌ای طراحی شده که روی ماشین مجازی اجرا نشود. به عنوان مثال، یک راه ساده دریافت مک آدرس است. اگر OUI با یک فروشنده ماشین مجازی مطابقت داشته باشد برخی از بدافزارها اجرا نمی‌شوند.

نکته: تغيير مک آدرس رویکردی برای غلبه بر این تکنیک ضد اجرا است.

بدافزارها همچنین ممکن است این مسئله را بررسی کنند که آیا یک شبکه ارتباطی فعال وجود دارد یا خیر. اگر پاسخ منفی است، ممکن است کاری انجام ندهند. از جمله ابزارهایی که برای غلبه بر این مشکل در دسترس قرار دارد FakeNet است. FakeNet اتصال شبکه را شبیه‌سازی می‌کند تا تعامل نرم‌افزارهای مخرب با یک میزبان از راه دور ادامه یابد. اگر مجبور هستید مکان بدافزار روی یک ماشین محلی را شناسایی کنید، در این‌جا ابزارهای کاربردی مختلفی وجود دارد که به شرح زیر هستند:

■ Running processes

■ Device drivers

■ Windows services

■ Startup programs

■ Operating system files

نرم‌افزارهای مخرب باید خود را در مکانی نصب کند تا کارشناسان امنیتی بتوانند با تحلیل دقیق سیستم‌، فایل‌ها، حافظه و پوشه‌ها آن‌را پیدا کنند.

خلاصه‌ای از آنچه گفته شد

تا این بخش از آموزش به معرفی انواع مختلفی از برنامه‌های مخرب پرداختیم. ویروس‌ها‌، کرم‌ها، تروجان‌ها، درب‌های پشتی، تغییر مسیر درگاه، ارتباطات پنهانی، جاسوس‌افزارها‌، کی‌لاگرها و تشخیص و تجزیه و تحلیل بدافزارها با استفاده از ابزارهای امنیتی از جمله مباحثی بودند که به آن‌ها اشاره کردیم. کارشناسان امنیتی باید بدانند که چگونه تروجان‌ها کار می‌کنند‌، ابزارهای انتقال آن‌ها چیست، چه قابلیت‌هایی دارند و چگونگی آن‌ها را شناسایی کرده و مانع گسترش آلودگی شوند. بسیاری از تروجان‌ها یک درب پشتی در کامپیوتر قربانی باز می‌کنند. درب‌های پشتی راه‌هایی هستند که به هکرها اجازه می‌دهند با دور زدن فرآیند احراز هویت عادی به سامانه‌ها وارد شوند. در مقابل برخی دیگر از تروجان‌ها با ایجاد کانال‌های مخفی ارتباطاتی به فعالیت ادامه می‌دهند. کانال مخفی یک کانال ارتباطی است که به یک تروجان امکان می‌دهد با نقض خط‌مشی‌های امنیتی سیستم اطلاعات را ارسال کرده و ناشناس باقی بماند. Loki نمونه خوبی از یک برنامه کانال مخفی است، زیرا بسته‌های پینگ برای برقراری ارتباط استفاده می‌کند. تغییر مسیر درگاه گزینه دیگری است که بسیاری از این ابزارها در اختیار دارند. تغییر مسیر درگاه اجازه می‌دهد اتصالات را روی یک پورت خاص دریافت کرده و در ادامه از طریق یک پورت خاص دوم به ارسال مجدد اطلاعات بپردازید. تغییر مسیر درگاه برای دور زدن تنظیمات دیوارآتش و انجام فعالیت‌های هکری استفاده می‌شود.

یکی دیگر از بدافزارهای مخرب این روزهای دنیای سایبری جاسوس‌افزارها یا همان Spyware هستند. جاسوس‌افزارها نقاط مشترک زیادی با تروجان‌ها دارند و برای جمع‌آوری اطلاعات یا هدایت کاربر به یک سایت مخرب استفاده می‌شوند. سازندگان نرم‌افزارهای جاسوسی بیشتر تکنیک‌هایی که سازندگان تروجان‌ها استفاده می‌کنند را به کار می‌گیرند تا ابزارهای خود را روی سامانه قربانیان نصب کنند.

در تمامی موارد کارشناسان امنیتی مجبور هستند دست به اقدامات متقابلی بزنند. به‌روزرسانی ضدویورس‌ها یک کار منطقی است. در کنار نصب ضدویروس‌ها لازم است از ابزارهای مختلفی شبیه به Netstat ، TCPView ، Process Viewer برای تحلیل عمیق‌تر سامانه‌های مشکوک به ویروس استفاده کرد. نکته‌ای به عنوان یک کارشناس امنیتی باید به آن توجه داشته باشید این است که پورت‌ها در صورتی که از آن‌ها استفاده می‌شود باز نگه داشته شوند و همچنین اطمینان حاصل کنید خط‌مشی‌های دیوارآتش به درستی بر روند ترافیک وارد و خارج شونده به سامانه یا شبکه نظارت داشته باشند.

چگونه یک برنامه مخرب را پیدا کنیم؟

برای آن‌که با نحوه اصولی انجام این‌کار آشنا باشید در ادامه به روش‌های مختلفی اشاره می‌کنیم که اجازه می‌دهند کدهای مخرب درون یک سیستم را شناسایی کنید. انجام این فرآیندها به شرح زیر است:

مرحله 1: فرض کنید که تروجانی روی یک سیستم نصب شده و شما در نظر دارید آن‌را شناسایی کنید. برای این منظور ابتدا به آدرس زیر رفته و نسخه ویندوزی نرم‌افزار Netcat را دانلود کنید.

https://github.com/diegocr/netcat/

مرحله 2: اکنون یک گوش‌دهنده Netcat را روی سیستم راه‌اندازی کنید. برای انجام این‌کار باید به خط فرمان رفته و دستور زیر را اجرا کنید:

nc -n -v -l -p 80

مرحله 3: اکنون Netcat روی سیستم و در وضعیت آماده به گوش اجرا شده است. اکنون باید به دقت فعالیت‌های انجام شده توسط Netcat را زیر نظر بگیرید.

مرحله 4: یک پنجره خط فرمان جدید باز کرده و فرمان netdtst -an را درون آن وارد کنید. اکنون باید اطلاعاتی به شرح زیر را مشاهده کنید:

C:\ >netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING

TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING

مرحله 5. نتایجی که اجرا می‌کنید باید شبیه به موارد نشان داده شده در بالا باشند. همان‌گونه که مشاهده می‌کنید ابزار فوق روی پورت 80 آماده به گوش است. آیا در نتایج دریافت شده مورد غیرعادی را متوجه نشده‌اید؟ در نتایج بالا مشاهده می‌کنید که برنامه در حال گوش دادن به پورت 12345 است که درگاه پیش‌فرض NetBus است.

مرحله 6. اکنون به آدرس زیر رفته و برنامه

https://technet.microsoft.com/en-us/sysinternals/tcpview

و برنامه TCPView را دانلود کنید. TCPView یک نشان‌دهنده فرآیند‌های مبتنی بر GUI است که اطلاعاتی در مورد اجرای فرآیندها را با جزئیاتی به مراتب بیشتر از Netstat نشان می‌دهد. با استفاده از ابزار فوق می‌توانید اطلاعات مربوط به تمام نقاط پایانی TCP و UDP در یک سیستم شما و همچنین آدرس‌های محلی و از راه دور و وضعیت اتصالات TCP را مشاهده کنید. اگر ابزار Netcat در حال اجرا است اطلاعات مربوط به این برنامه نیز توسط TCPView نشان داده می‌شود.

مرحله 7. برنامه TCPView را ببندید و به آدرس زیر بروید.

 https://technet.microsoft.com/en-us/sysinternals/processexplorer

در آدرس فوق باید ابزار دیگری به‌نام Process Explorer را دانلود کنید. عملکرد ابزار فوق شبیه به TCPView است و به شما امکان می‌دهد اگر Netcat هنوز در حال اجرا است به راحتی آن‌را مشاهده کنید.

مرحله 8. اگر تصمیمی ندارید از برنامه Netcat یا هر برنامه‌ای که در طول این تمرین نصب کرده‌اید استفاده کنید آن‌ها را حذف کنید.

چگونه از Process Explorer ‌استفاده کنیم؟

‌در مثال فوق قصد داریم نحوه کار با ابزار Process Explorer را به شما نشان دهیم.

مرحله 1. در اولین مرحله باید ابزار Process Explorer را از آدرس زیر دانلود کنید.

http://technet.microsoft.com/en-us/ sysinternals/processexplorer

مرحله 2. فایل دانلود شده را در پوشه‌ای قرار دهید که امکان اجرای سریع آن وجود داشته باشد.

مرحله 3. از خط فرمان ، procexp را تایپ کنید.

مرحله 4: این ابزار مشابه Task Manager است، اما اطلاعات بیشتری در اختیارتان قرار می‌دهد. زمانی که ابزار فوق را اجرا کنید برخی از مولفه‌های به رنگ‌های آبی، صورتی و بنفش نشان داده می‌شوند. آبی برجسته، زمینه امنیتی را تعیین می‌کند. به‌طور خاص، نشان می‌دهد که فرایند در زمینه یکسان با ابزار Process Explorer در حال اجرا است. صورتی نشانگر سرویس‌های ویندوز است و بنفش نشانگر مواردی است که فشرده شده یا رمزگذاری شده‌اند و اغلب به آن‌ها فرآیندهای بسته‌بندی شده می‌گویند.

مرحله 5. مرورگر وب را باز کنید و سپس روی فرآیند آن از داخل Process Explorer کلیک کنید. باید به صورت پیش‌فرض روی برگه Image قرار بگیرید. اکنون حجم بسیار زیادی از اطلاعات را مشاهده می‌کنید. به عنوان مثال، می‌توانید نسخه و اطلاعات زمانی، مسیر برنامه والد، ​​‌فرمانی که برای مقداردهی اولیه فرآینده استفاده شده و اطلاعاتی از این دست را مشاهده کنید. علاوه بر این، می‌توانید ادامه اجرای یک فرآیند را تایید، اجرای آن‌را خاتمه داده یا به حالت تعلیق درآورید.

مرحله 6. روی برگه Performance کلیک کنید. توجه داشته باشید که علاوه بر پردازنده مرکزی به اطلاعات حافظه موجود، داده‌های ورودی و خروجی و دستگیرها از طریق Task Manager دسترسی دارید.

مرحله 7. روی زبانه Threads کلیک کنید. اطلاعات مربوط به ریسمان‌هایی که از پردازنده مرکزی استفاده می‌کنند را مشاهده می‌کنید. علاوه بر جزئیات استفاده از پردازنده مرکزی، به شناسه‌های ریسمان‌ها، زمان شروع ، آدرس و مواردی از این دست دسترسی دارید.

مرحله 8. روی یکی از ریسمان‌ها دوبار کلیک کنید تا اطلاعات بیشتری در ارتباط با ریسمان‌ها به دست آورید. لازم به توضیح است که ابزار فوق اجازه می‌دهد به شکل دقیقی درباره ریسمان‌ها و از طریق شناسه منحصر به فردی ریسمان‌ها (TID) اطلاعات کسب کنید.

مرحله 9. روی OK کلیک کنید.

مرحله 10: گزینه Permissions را کلیک کنید. اکنون می‌توانید مجوزها و وراثت را برای ریسمان‌های خاص مشاهده کرده و تغییر دهید.

مرحله 11. سایر زبانه‌ها اطلاعات ارزشمندی دیگری ارائه می‌کنند.

مرحله 12. برنامه Process Explorer را ببندید.

حملات سایبری محدود به مواردی نمی‌شوند که به آن‌ها اشاره شد. هکرها از تکنیک‌های دیگری برای شنود یا دسترسی غیرمجاز به اطلاعات استفاده می‌کنند که از آن جمله به موارد زیر می‌توان اشاره کرد:

■ Sniffers: اگرچه به‌طور خاص برای هک طراحی نشده، اما از sniffers می‌توان برای پیدا کردن ترافیک‌های قابل ردگیری شبکه استفاده کرد.

■ Session Hijacking: تکنیک به سرقت بردن نشست‌ها در زیرمجموعه شنود اطلاعات طبقه‌بندی می‌شود. روبایش نه تنها به مشاهده ترافیک، بلکه به رهگیری و کنترل یک ارتباط نیز اشاره دارد.

■ انکار سرویس توزیع شده: درست است که این مدل حملات به مهاجم امکان دسترسی به سامانه‌ها را نمی‌دهد، اما آن‌ها را قادر می‌سازد تا دسترسی قانونی به سرویس‌ها را مختل کنند. این تکنیک‌ها می‌توانند برای انکار خدمات یا حتی برای اخاذی استفاده شوند.

هر یک از این تکنیک‌ها در جای خود می‌‌توانند به سلاح قدرتمندی در دستان هکرها تبدیل شوند.

حملات شنود می‌توانند اصل محرمانگی اطلاعات در زمان انتقال را نقض کنند. شنود راهی برای ضبط داده‌ها و رهگیری گذرواژه‌ها از سوی هکرها است. در این حمله ممکن است داده‌های FTP یا متن‌های عادی انتقال داده شده توسط پروتکل HTTP ضبط شوند.

روبایش نشست‌ها نیز دو اصل محرمانگی و یکپارچگی را نشانه می‌روند. اگر مهاجم بتواند با موفقیت از ابزارهای روبایش نشست‌ها استفاده کند، به معنای واقعی کلمه می‌تواند یک نشست قانونی را روبایش کرده و با همان امتیاز و مجوزهای کاربران قانونی به نشست‌ها وارد شود. در ادامه قادر به مشاهده، پاک کردن، تغییر یا ویرایش اطلاعات است. حمله منع سرویس به مهاجمان امکان می‌دهد مانع از دسترسی کاربران مجاز به اطلاعات و خدماتی شوند که حق استفاده از آن‌ها را دارند. اگرچه حمله DoS به مهاجمان امکان دسترسی به سامانه‌ها را نمی‌دهد، اما مانع از ادامه فعالیت سایر کاربران می‌شود.

شنودگران

Sniffing به فرآیند نظارت و دریافت اطلاعات اشاره دارد. شنود یکی از مفاهیم مهم دنیای امنیت و نرم‌افزار است که می‌تواند در قالب یک فرآیند مخرب یا یک فرآیند عادی که هدفش تبلیغات است استفاده شود. یک کارت شبکه می‌تواند تمامی داده‌هایی که مشاهده می‌کند و نه فقط بسته‌هایی که آدرس‌ آن‌ها مشخص است را دریافت کند. به‌طور مثال، اگر در مجموعه‌ای که کار می‌کنید از یک هاب برای اتصال دستگاه‌ها استفاده شده باشد، این احتمال وجود دارد که ترافیک تمامی دستگاه‌ها در معرض تهدید قرار بگیرند. هاب‌ها ضمن آن‌که قادر به ارسال ترافیک برای تمامی دستگاه‌های تحت شبکه هستند، این پتانسیل را دارند که مورد هجوم هکرها قرار گیرند. شنود یک هاب به عنوان یک شنود غیرفعال شناخته می‌شود. با این حال، هاب‌ها جزء دستگاه‌های تقریبا منسوخ شده شبکه هستند، بنابراین در شبکه‌های امروزی به ندرت از آن‌ها استفاده می‌شود. بیشتر شبکه‌های مدرن از سوئیچ‌ها استفاده می‌کنند که عملکردی هوشمندانه نسبت به هاب‌ها دارند. شنود یک حمله مبتنی بر سوییچ به نام شنود فعال مشهور است. با توجه به این‌که سوییچ ترافیک را تقسیم می‌کند، این امکان وجود ندارد تا تمامی ترافیک شبکه مربوطه به یک دستگاه متصل به سوییچ را که در وضعیت بی قاعده قرار دارد در ارتباط با یک پورت خاص شنود کرد. برای غلبه بر این محدودیت، تولیدکنندگان سوئیچ راه‌حلی ابداع کرده‌اند که به‌نام port mirroring یا در سوئیچ‌های سیسکو به‌نام Switched Port Analyzer  معروف است.

تکنیک فوق نه تنها به کاربر اجازه می‌دهد وضعیت ارسال و دریافت اطلاعات روی یک پورت‌ خاص را مشاهده کند، بلکه اجزاه می‌دهد ترافیکی که از طریق سوییچ مبادله می‌شود را مشاهده کند. این ویژگی باعث می‌شود تا سوئیچ پیکربندی شود به گونه‌ای که هر زمان داده‌ای به هر پورت سوئیچ منتقل شد، سوییچ اطلاعات را SPAN سرنام Switched Port Analyzer ارسال کند. این قابلیت به ویژه زمانی که در حال استفاده از یک شنودگر هستید و از تجهیزاتی شبیه به سیستم‌های تشخیص نفوذ (IDS) استفاده می‌کنید عالی است. RFC 2613 روش‌های استانداردی برای مدیریت و پیکربندی درگاه‌های SPAN تعریف کرده است. ابزارهایی مانند Nmap دارای اسکریپت‌هایی هستند که می‌توانند برای شناسایی کارت‌های شبکه (NIC) که در حالت پیش‌فرض قرار دارند‌، استفاده شوند. به مثالی در این ارتباط توجه کنید:

nmap --script=sniffer-detect [target IP Address/Range of IP addresses]

هکرها برای شنود از لایه پیوند داده مدل OSI استفاده می‌کنند. در نتیجه آن‌ها مجبور نیستند مطابق با قواعد یکسانی که برنامه‌ها و سرویس‌ها از آن‌ها پیروی می‌کنند کار کنند. شنودگرها می‌توانند هر آنچه را که روی سیم می‌بینند ضبط کنند و در زمان مناسب به بررسی آن‌ها بپردازند. آن‌ها به کاربر اجازه می‌دهند تمام داده‌های موجود در بسته را مشاهده کند، حتی اطلاعاتی که ممکن است شما تمایلی نداشته باشید دیگران  مشاهده کنند. بسیاری از پروتکل‌ها و برنامه‌های کاربردی به گونه‌ای طراحی شده‌اند که اطلاعات را در پشته TCP / IP به شکل متن ساده ارسال می‌کنند. از جمله این برنامه‌ها و پروتکل‌ها می‌توان به FTP، HTTP، Telnet، TFTP، SMPT، POP3، IMAP و DNS اشاره کرد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH