الأمن التقني

ماذا تعرف عن التروجان هورس؟

المجد-

كثر في الآونة الأخيرة الحديث عن اختراقات الأجهزة بسبب برامج التروجان والضرر الناتج عن هذه البرامج وخصوصا مع تعدد أنواعها وازدياد أضرارها وقدرتها على التخفي والالتصاق بالبرامج الأخرى, وكثير من الناس يجهل ماهيتها وخطرها وأضرارها مع العلم أن أجهزتهم قد تكون مصابه بها من دون علمهم. وقد اختلف الناس على تسميتها فالبعض يسميها “تروجان” أو”تروجان هورس” أو “برامج التروجان” وبعض منهم يسميها “برامج التحكم عن بعد التجسسيسة” والبعض الآخر يسميها “حصان طروادة” وكلها تعطي نفس المدلول وسأقوم باستخدام الاسم “تروجان” في هذه الورقة لسهولته وبساطته.

ما هو التروجان؟

هو برنامج متخفي يصيب جهاز الضحية من دون علمه ويتيح للمهاجمين التحكم أو التجسس أو استغلال الجهاز لأغراض غير شرعية دون علم صاحب الجهاز.

وسمي بهذا الاسم للطريقة التي استخدمها اليونانيون في فتح مدينة طروادة (Troy) التي ظلت محصنة أمامهم بقوة وعجزوا عن اقتحامها بالطرق التقليدية فقاموا ببناء مجسم كبير جدا على شكل حصان خشبي مفرغ من الداخل وقاموا بوضع داخله جنود وتركوه كهدية عند حصون المدينة وانسحبوا منها. فقام أهلي المدينة بإدخال المجسم واعتبره رمز للانتصار على الأعداء وعند منتصف الليل قام الجنود بالخروج من المجسم وفتح أسوار المدينة للجيش الذي قام بالدخول ومن ثم احتلال المدينة.

إذن التروجان هو برنامج خطير جدا وتكمن خطورته في أنه يكون موجود على جهاز الضحية دون علم صاحبة مما قد يعرض صاحب الجهاز لمخاطر التجسس وسرقة المعلومات الشخصية أو الصور أو الملفات السرية أو إفسادها أو تعطيل الجهاز أو جمع كلماته السرية التي يستخدمها على شبكة الانترنت (مواقع البريد الالكتروني أو المواقع التجارية الالكترونية) ومن تم تغييرها واستخدامها كوسيلة للابتزاز… وغيرها من المخاطر المرعبة.

طريقة عمله:

يتكون برنامج التروجان من نسختين: خادم و مستفيد. ويقوم المهاجم بنشر نسخة الخادم على الانترنت بعد ربطها مع أي ملف أو برنامج آخر (مثلا: لعبة أو عرض تشغيلي) وعندما يقوم المستخدم (الضحية) بتشغيل ذلك الملف يتم تحميل نسخة الخادم على جهازه من دون علمه (فهو لا يرى إلا البرنامج الأساسي ولا يعلم أن هناك برنامج تروجان ملحق معه)، وتقوم نسخة الخادم بفتح منفذ(ثغرة) على جهاز الضحية ليكون جاهز لاستقبال الأوامر من المهاجم الذي يقوم باستخدام نسخة المستفيد وإرسال الأوامر عن طريق الشبكة إلى جهاز الضحية. وقد تقوم نسخة الخادم بإرسال رسالة بريد الكتروني إلى المهاجم لإخباره عن معلومات الجهاز الضحية(اسم الجهاز وعنوانه على الشبكة) الذي تم تحميل نسخة الخادم عليه حتى يتمكن من معرفته. كما أن نسخة الخادم لها المقدرة على تشغيل نفسها حتى مع إعادة تشغيل الجهاز وحماية الدخول عليها بكلمة مرور حتى لا يستطيع أي مهاجم آخر من التحكم بجهاز الضحية.

أما عن طريقة انتشاره فهو ليس مثل الفيروسات التي تنتقل آليا وبدون تدخل العنصر البشري بل ينتشر التروجان عن طريق تبادل الملفات وتشغيلها من قبل المستخدمين دون علمهم أن هذه الملفات تحتوي على برامج التروجان.

و في الصورة التالية (صورة 1) يمكن مشاهدة تروجان نت بس برو (NetBus Pro) الذي يمكن من خلاله التحكم بجهاز الضحية خلال أمور منها: فتح وإغلاق سواقة الأقراص المضغوطة (CD-Room)، أخذ لقطة للشاشة الحالية التي تظهر لمستخدم الجهاز ، إغلاق الجهاز أو الشاشة ، تشغيل خادم لنقل الملفات مع تصفح ملفات الجهاز والتحكم فيها، سرقة كلمات المرور (السرية).. وغيرها.

 

تروجان نت بس NetBus

عن ماذا يبحث المهاجم:

يستخدم المهاجم برامج التروجان على جهاز الضحية للحصول على أمور عديدة منها:

·        أرقام بطاقات الائتمان (الفيزا أو الماستركارد) سواء كانت مخزنة على الجهاز أو عندما يقوم المستخدم باستخدامها على الانترنت.

·        أرقام حسابات والكلمات السرية سواء حساب بنك أو بريد الكتروني أو موقع تجارة الكترونية.

·        وثائق أو ملفات أو معلومات سرية أو هامة.

·        عناوين البريد الكتروني المخزنة في الجهاز.

·        صور أو أفلام فيديو خاصة أو عائلية وقد يستخدمها لابتزاز صاحب الجهاز.

·        استخدام جهاز الضحية لأغراض غير شرعية مثل اختراق مواقع أو تعطيل أجهزة أخري.

·        تعطيل أو تخريب و إفساد جهاز الضحية.

أنواع التروجان:

التروجان لها أنواع عديدة ولكن يمكن تصنيفها مجازا إلى ستة أنواع رئيسية:

تروجان التحكم عن بعد (Remote Administration Trojan): وهو أشهر أنواع التروجان وأكثرها انتشارا وخطرا ومن أشهر أمثلته (Subseven, netbus, back orifice). فيقوم هذا النوع من التروجان بإعطاء المهاجم كامل التحكم بجهاز الضحية ومزايا كثيرة لم تكن متوفرة أصلا للضحية مثل جمع الكلمات السرية أو جمع ما تم ضغطة من أزرار لوحة المفاتيح أو عكس اتجاه حركة الفأرة أو تشغيل البرامج عن بعد.

تروجان خادم الملفات (File Server Trojan): وهذا النوع يجعل من جهاز الضحية خادم للملفات (FTP Server) مما يتيح للمهاجم وضع الملفات (ملفات تروجان التحكم عن بعد) أو تحميلها باستخدام جهاز الضحية ومن أشهر أمثلتها تروجان دارك لايت (Dark Light).

تروجان إرسال كلمات السر (Password Sending Trojan): وهذا النوع له هدف واحد فقط وهو سرقة وجمع جميع كلمات السر التي يقوم الضحية باستخدامها على جهازه ومن ثم إرسالها بواسطة البريد الالكتروني إلى المهاجم.

تروجان جمع ضغطات أزرار لوحة المفاتيح (Key Logger Trojan): وهذا النوع يقوم فقط بجمع كل الضغطات التي يقوم بها الضحية على لوحة المفاتيح ومن ثم إرسالها بالبريد الالكتروني للمهاجم أو تجميعها في ملف لكي يتم تحميله لاحقا من قبل المهاجم.

تروجان الهجمات الموزعة لتعطيل الخدمات (Distributed Denial of Service Trojan): وهو أحدث أنواع التروجان حيث يقوم المهاجم باستغلال هذا النوع في القيام بعمل هجمات موزعة لتعطيل خدمات هامة أو مواقع مشهورة أو أجهزة أخرى على الشبكة بحيث يكون مصدر هذه الهجمات أجهزة الضحايا وليس المهاجم نفسه. فيقوم المهاجم بتشغيل الهجمة على أجهزة الضحايا واحد تلو الأخر أو يقوم باستخدام جهاز معين يقوم بمخاطبة جميع الأجهزة آليا.

تروجان إرسال الرسائل المزعجة (Spam Relaying Trojan): ويقوم هذا النوع باستغلال جهاز الضحية وحسابه البريد وذلك بإرسال رسائل مزعجة عن طريق جهاز الضحية وباستخدام اسمه وهويته ومن دون علمه.

طرق الإصابة بها:

توجد عدة طرق للإصابة ببرامج التروجان وأود أن أنوه إلى أن المستخدم قد لا يشعر أبدا بأن جهازه قد أصيب أصلا، ولكن يمكن تلخيص بعض طرق ومصادر الإصابة ببرامج التروجان من خلال النقاط التالية:

الملفات المنتشرة على الانترنت أو بواسطة البريد الالكتروني: وهذا يعد المصدر الرئيسي لانتشار التروجان بحيث يتم إلصاق برنامج التروجان بأي برنامج تشغيلي آخر فتكون المحصلة برنامج واحد على شكل لعبة أو لقطة متحركة أو حافظ شاشة أو برنامج مشهور ومن ثم إرساله إلى قائمة بريدية أو منتدى ليتم تداولها بين المستخدمين، وهذه بعض امتدادات الملفات المشهورة التي يستخدمها التروجان للتخفي بها (.exe, .com, .bat, .src).

البرامج المنسوخة أو مفكوكة الحماية: وقد يقوم المهاجم بفك حماية أحد البرامج المشهورة والمطلوبة بكثرة وإلصاق التروجان بها ومن ثم وضعها على خادم ملفات أو موقع ليتم تحميلها فيما بعد من قبل المستخدمين.

برامج المحادثة المشهورة مثل (ICQ) أو(IRC): استخدام نسخ غير محدثة من برامج المحادثة التي تسمح بتبادل الملفات قد تتيح للمهاجم إرسال ملف وتشغيله على جهاز الضحية دون علمه، كما أن استقبال الملفات من الأشخاص الغير معروفين يشكل خطرا كبيرا على المتلقي.

الدخول المباشر على الجهاز: إذا كان الجهاز مشترك أو غير محمي بكلمة مرور فسيستطيع أي شخص الدخول على الجهاز حسيا ومن ثم تحميل برنامج التروجان على جهازك ومن دون علمك.

وجود مشاكل أو ثغرات في برامج متصفح الانترنت أو برامج البريد الالكتروني: مما يتيح لأصحاب المواقع أو مرسلي البريد الالكتروني من استغلال هذه الثغرات وتحميل الملفات دون علم صاحب الجهاز.

طريقة الحماية منها:

يجب توفر الوعي الأمني لدي مستخدمي الشبكة ومعرفة خطورة هذه البرامج وعدم إعطاء الثقة الزائدة على الشبكة لأي شخص أو لأي موقع حتى لا تقع فريسة سهلة للمهاجمين، ويمكن للمستخدم حماية جهازه من برامج التروجان وذلك بإتباع الخطوات التالية:

·        استخدام برامج مكافحة التروجان و الفيروسات.

·        استخدام برنامج الجدار الناري (Firewall) للتحكم بالبرامج التي تستخدم الشبكة.

·        تحديث برامج مكافحة التروجان والفيروسات باستمرار وبشكل آلي.

·        تحديث نظام التشغيل والتطبيقات باستمرار وبشكل آلي.

·        تفحص الجهاز باستمرار وبشكل دوري ضد برامج التروجان.

·        عدم تحميل أو فتح البرامج من المواقع أو الأشخاص الغير موثوق فيهم أو الغير معروفين.

·        عدم استخدام البرامج المنسوخة أو الغير معروفة المصدر.

·        عدم تشغيل الملفات المنتشرة على الانترنت إلا بعد التأكد من نوع الملف وأنه لا يحتوي على تروجان حتى ولو كان من صديق.

·        تحميل الملفات والبرامج من الموقع الرسمي وليس من مواقع بديلة.

·        الحذر كل الحذر من برامج فك الحماية أو توليد الأكواد أو الكلمات السرية.

·        حماية جهازك بكلمة سرية حتى لا يتطفل علية الآخرين أو يقومون بتحميل البرامج دون علمك.

كما يجدر التنبيه على أن أغلب برامج مكافحة الفيروسات تقوم بمكافحة التروجان والتعرف عليها ولكنها ليست بقوة وقدرة البرامج السابقة المتخصصة فيها. لذلك تحتاج إلى برنامج مكافحة التروجان بالإضافة إلى برنامج مكافحة الفيروسات.

الخاتمة:

بعد معرفة وتوضيح برامج التروجان وتحديد أنواعها و تعريف خطرها على المستخدمين وكيفية الحماية منها، تبقى لنا أمر واحد مهم وهو ضرورة نشر الوعي التقني والأمني بين مستخدمي الانترنت حول هذه البرامج حتى لا يكونوا فريسة سهلة للمهاجمين. كما يجب التنبيه إلى حقيقة مؤلمة وهي أن المهاجمين يطورون أساليبهم وطرقهم باستمرار لذلك يجب الحذر منهم وإتباع وسائل الحماية الممكنة بعد التوكل على الله عز وجل أولا وأخيرا.

بقلم: عبد العزيز العكوز

موقع القبعة البيضاء

مقالات ذات صلة