0555333017

اهلا بكم فى الموقع الرسمى للمهندس خالد ابو ابراهيم

 المدير التنفيذي للمضيف الاول للاتصالات وتقنية المعلومات (ون هوست) والخبير في مواقع التواصل الاجتماعي 

: أداة التحكم عن بعد Remote Administration Tool

 : أداة التحكم عن بعد Remote Administration Tool                        

: أدوات التحكم عن بعد Remote Administration Tools هي برمجيات يستطيع مستخدمها على جهازه التحكم بجهاز آخر سواء كان في الغرفة نفسها أو في البناء نفسه أو في بناء في دولة أخرى عبر استخدام شبكة الانترنت. تستخدم هذه الأدوات ضمن الشركات من قبل قسم الـ IT ضمن الشركة لإدارة الحواسب في الشركة وضمان تحديث أنظمة التشغيل ومساعدة الموظفين ضمن الشركة على تنصيب البرامج (خاصة أنهم عادة لا يملكون حقوق مدير Admin وأيضا لمساعدتهم في حال وجود مشكلة معينة. تستخدم أيضا للتحكم بالأجهزة التي لا يمكن الوصول إليها بشكل فيزيائي (مثلا التحكم بأجهزة بقمر صناعي في المدار أو مسبار في الفضاء البعيد...) وغير ذلك من الاستخدامات المشروعة. من هذه البرمجيات برنامج تيم فيوير TeamViewer وفي برنامج اسمه ايمي Ammyy وبرنامج اخر اني ديسك وبرامج كثير تؤدي نفس الغرض                        
: إلا أن فئة من هذه البرمجيات تعتبر من أخطر بالبرمجيات الخبيثة. تسمى هذه البرمجيات Remote Administration Tool Trojans أو Remote Administration Trojans واختصارا يطلق عليها راتس RATs كناية عن الجرذان في إشارة إلى الشعور المقزز الذي يصيب خبراء الأمن عندما يسمعون عن إصابة أحد المستخدمين بها.                        
: إذا فالراتس RATs تمنح مستخدمها الصلاحيات للولوج إلى النظام وملفات النظام بصلاحيات مدير النظام. أي بكلمات أخرى تمنح مستخدمها إمكانية معاينة كامل الملفات والأفلام وملفات الصوت المخزنة على الحاسب وإرسال نسخ منها عبر الانترنت إلى المهاجم. كما تسمح له بتشغيل ميكروفون الحاسب المصاب وتسجيل الصوت وإرساله إلى مستخدم الرات أو تشغيل كاميرا الحاسب المصاب وتسجيل الصورة وإرسالها إلى صاحب الرات أو كليهما (صوت وصورة) طالما كان الحاسب المصاب يعمل سواء كان المستخدم جالسا أمام الحاسب أو لم يكن. وأيضا تعطي مستخدم الرات إمكانية معاينة شاشة الجهاز المصاب عن بعد كما في البث المباشر طالما كان الجهاز متصلا بالانترنت. وقد تعطي مستخدم الرات إمكانية معاينة حسابات المستخدم على الانترنت (إن لم يكن قد أخذ الاحتياطات مسبقا لحمايتها) وقد يمكنه ذلك من استخدام الجهاز المصاب لإرسال رسائل إلى أشخاص آخرين بهدف إصابتهم أو استخدام الجهاز المصاب لمحاولة اختراق أجهزة أخرى باستخدام برمجيات خبيثة يشغلها مستخدم الرات عن بعد. ويحدث كل هذا دون علم صاحب الحاسب بذلك وغالبا دون إمكانية أن يعرف صاحب الحاسب حدوث ذلك. والقصص حول المصائب التي سببتها هذه البرمجيات كثيرة. وهي بذكل تشبه كثيرا برمجيات الروتكيتس Rootkits.
بالمختصر تعتبر الروتكيتس Rootkits ومثلها الراتس RATs على أنواعها من أخطر البرمجيات الخبيثة وأسوأها آثارا وقد تكلمنا عن الروتكيتس قبل ذلك وللاطلاع عليه زيارة موقعي الرسمي khaliid.com                        
: بسبب خطورتها وبسبب صعوبة التعامل معها، سنناقش فيما يلي عددا من النقاط التي نعتقد أنها ستفيد القراء في فهم الأساليب الأكثر شيوعا بين المهاجمين لإصابة حواسب الضحايا بالروتكيتس (وأيضا بأحصنة طروادة للتحكم عن بعد Remote Administration Trojans والتي تعرف اختصارا بالـ راتس RATs)، وأيضا سنحاول توضيخ ماذا يفغل المهاجم بعد أن ينجح في تنصيب الروتكيت على جهاز الضحية. ثم سننتقل لمناقشة أساليب الوقاية من الإصابة بالروتكيتس وسنسرد أساليب إدارة الخطورة Risk Management المتعلقة بكارثة الإصابة بروتكيت وفي النهاية كيف نتصرف في حالة الشك أو اليقين بالإصابة بها. قبل المتابعة يجب الإشارة بأن يجب التعامل مع حالة الشك بالإصابة بالروتكيت كما في حال اليقين بالإصابة بالروتكيت، أي يكفي الشك بالإصابة لأخذ كامل الخطوات التي نأخذها في حال التأكد من الإصابة.                        
: استراتيجيات المهاجم لإصابة الجهاز الهدف برات RAT أو بروتكيت Rootkit
يحتاج المهاجم إلى تنصيب الرات RAT أو الروتكيت Rootkit على الحاسب الهدف لذلك يحتاج للحصول على صلاحيات مدير للنظام لتنفيذ هجومه. 
يعتمد المهاجمون استراتيجيات مختلفة للوصول لتنصيب الرات أو الروتكيت على الحاسب الهدف. نورد هنا عددا من هذه الاستراتيجيات:
- استغلال ثغرات في نظام التشغيل المتصل مع شبكة الانترنت. 
يقوم المهاجم هنا باستغلال ثغرة ما في نظام تشغيل الجهاز المتصل بالانترنت ويقوم المهاجم بذلك عن بعد عبر الانترنت. 
يقوم المهاجم بعد استغلال الثغرة بتنصيب الرات أو الروتكيت ومتابعة هجومه. 
تقوم شركات الأمن الرقمي باكتشاف الثغرات والاعلان عنها مشجعة بذلك الشركات المسؤولة عن أنظمة التشغيل أو التطبيقات إلى سد الثغرات لكن المشكلة تحدث عندما يكتشف المخترقون الثغرات قبل أن تقوم شركات الأمن الرقمي بالاعلان عنها، 
أو عندما لا يقوم مدراء الأنظمة في المؤسسات أو الشركات أو الأفراد بسد الثغرات في أنظمة التشغيل التي يديرونها. 
يمكن معاينة لوائح الثغرات بشكل مستمر عبر مواقع مختصة بذلك مثل: https://www.qualys.com/research/top10/ 
أو http://web.nvd.nist.gov/view/vuln/search. 
يتطلب هذا النوع من الهجوم إلى قدرات تقنية عالية
2- استغلال أساليب الهندسة الاجتماعية Social Engineering لخداع المستخدم وإقناعه بتشغيل ملف على حاسبه (مثلا يقوم الضحية بتشغيل ملف مرفق في إيميل يبدو سليم لكنه في الحقيقة خبيث) 
يؤدي بالنتيجة إلى تنصيب الرات أو الروتكيت على الحاسب ليتابع المهاجم بعد ذلك هجومه. 
تحتاج هذه الاستراتيجية قدرات تقنية متواضعة بالمقارنة مع الاستراتيجية السابقة. تعتبر هذه الطريقة من أكثر الطرق شيوعا للإصابة بالراتس بالروتكيتس.                        
: ماذا يفعل المهاجم بعد إصابة الجهاز الهدف مباشرة Attacker's next steps
بعد أن يتمكن المهاجم من تنصيب الرات أو الروتكيت على الحاسب وتشغيله يقوم المهاجم عادة (سواء بشكل مؤتمت أو بشكل يدوي) بـالتالي :
- يقوم المهاجم بمحاولة إخفاء آثار الاختراق كي لا يتيح للضحية ملاحظة أن جهازه مخترق وبحيث يعمل المهاجم بشكل سري وخفي. 
فاكتشاف حدوث التدخل أو أي نشاط أو حدث على الحاسب الضحية سيساعده على معالجة المشكلة وأيضا على تجنب المشكلة في المرات القادمة. 
تقوم الروتكيتس عادة بهذا العمل وبما أن سجلات الوصول للموارد access logs هي أهم الملفات التي يلجأ لها الضحية لكشف الولوج الغير شرعي لحاسبه لذلك يعمد المهاجم على حذف المعلومات التي تشير إلى دخوله إلى الحاسب من هذه السجلات وأي سجلات أخرى التي تشير للعمليات التي تم إجراؤها على الحاسب. 
فعلى سبيل المثال تقوم الروتكيت بحذف أي تسجيل أو بند في سجلات النظام لأي عملية process تم تشغيلها عليه، 
كما قد يستخدم لإخفاء بعض الملفات التي أنشأها المهاجم أو تعديل بعض أوامر النظام لتعطي نتائج مزورة للمستخدم بحيث لا يتم اكتشاف أي تغيير تم حدوثه على ملفات النظام.
- يقوم المهاجم بفتح بوابات خلفية Backdoors في النظام كي يقوم المهاجم عبرها بإرسال البيانات والتحكم بالجهاز وبالرات وبالروتكيت. 
من أكثر الأساليب شيوعا بالنسبة للروتكيتس هي فتح قناة اتصال إس إس إتش SSH إذ أن هذه القناة تمنح المهاجم إمكانية الوصول إلى الحاسب والتحكم به بالإضافة لإمكانية تشفير البيانات التي تمر عبر قناة الاتصال هذه ما يساعد في منع تحليلها من قبل أنظمة كشف التدخل Intrusion Detection Systems IDSs و أجهزة تجنب التدخل Intrusion Prevention Systems IPSs
- يقوم المهاجم بمعاينة الحاسب ومعاينة الملفات الموجودة ليعرف إن كان هناك ملفات مهمة وإن كان استمرار الهجوم موضوع مهم.
- يقوم المهاجم بمحاولة معاينة حسابات الضحية أونلاين (إذا كانت كلمات سرهم محفوظة في المتصفح مثلا أو عبر متابعة شاشة الضحية بشكل مباشر أيضا لتقييم الفائدة التي استخدامه لصلاحيات وصول لموارد إدارية privileged access، 
قد يمنحه هذا إمكانية التدخل بالحاسب الهدف أو الشبكة أو الأجهزة الأخرى المتصلة بالحاسب.
- يقوم المهاجم بمتابعة الهجوم بالشكل الذي يناسب أهدافه                        
: الوقاية من هذا الهجوم How to protect yourself from this attack
بناء على ما ورد سابقا من استراتيجيات إصابة الضحية بهجوم رات RAT أو بهجوم روتكيت Rootkit ، نورد فيما يلي عددا من النصائح الموجهة للمستخدمين:
- احرص على تحديث نطام التشغيل بشكل دوري لتتمكن من تغطية الثغرات الأمنية. ومن الممكن أن يتم ذلك بشكل تلقائي عبر تفعيل خاصية التحديث التلقائي.
- قم باستخدام "حساب غير مدير" للاستخدام اليومي حتى تتجنب تحميل برامج غير مرغوب بها. 
وعند استخدامك "حساب مدير" كن حذرا عند تنصيب أية برامج إضافية. 
فعند استخدام حساب غير مدير لا يمكن لك تنصيب برنامج بصلاحيات مدير للنظام بطريق الخطأ. 
ما قد يساعدك على ملاحظة هجوم برات وإفشاله.
- إستخدم كلمات سر قوية لمنع الآخرين من الوصول إلى جهازك الشخصي.
- لا تقع ضحية لأساليب الهندسة الاجتماعية Social Engineering.
- انظر بعين الشكل إلى كل الملفات المرفقة ضمن البريد الالكتروني ووسائل الاتصال الأخرى مثل سكايب. احذر بشكل خاص من الملفات ذات اللواحق التالية:
exe .cmd .bat .vbs .js .mdb .doc .xls .lnk .zip .scr .wsf .rar.
- لا تقم بفتح هذه الروابط حتى بعد التأكد من مصدرها ومرسلها (إذ قد يكون مرسلها قد أصيب والمهاجم يحاول استغلال ثقتك بالضحية الأولى لإصابتك).
- إن كنت مضطرا لتحميل أحد هذه الملفات أو المرفقات قم باستخدام موقع http://www.virustotal.com للتأكد من عدم احتوائه إلى رات Rat أو روتكيت Rootkit أو ملف خبيث آخر معروف.
ثم بدل تشغيل الملف على جهازك مباشرة قم بتجربة الملف على حاسب افتراضي Virtual Machine بحيث تقلل بذلك إمكانية إصابة نظام التشغيل الأساسي لديك بالرات أو الروتكيت وتقتصر الإصابة عندها على الحاسب الافتراضي Virtual Machine التي يمكن بسهولة حذفه (مع الرات أو الروتكيت). 
إن استخدام برمجيات sandbox أو البيئة الافتراضية لتنصيب البرمجيات تساعد على عزل البرمجيات التي قد تكون مصابة بالرات أو بالروتكيت عن نظام التشغيل و بالتالي تعمل على منع إصابة النظام الأصلي به.
- استخدم تطبيق جدار ناري Firewall معد بشكل صحيح ومناسب
- قم بعمليات إصلاح أمنية دورية للنظام
- إن كنت من مطوري البرمجيات أو كان جهازك يتضمن مترجمات برمجية compilers قم بالحد من إمكانياتها على الأجهزة المستضيفة، 
العديد من برمجيات الرات RAT أو الروتكيت Rootkit تحتاج إلى مترجمات compiler و مكتبات libraries ليتم تنصيبها، 
فالحد من وجودها على أنظمة الجهاز الهدف يمنع من تنصيب بعض الروتكيت.
- لا تقم أبدا بتحميل تطبيقات أو برامج من مصادر غير موثوقة على الإنترنت أو من أقراص مضعوطة أو فلاش ميموري. 
وتأكد عند تحميل التطبيق من أن الـ Checksum الخاص بالتطبيق مطابق للـ Checksum المذكور في الموقع (للتأكد أن ملف التطبيق هو الملف الأصلي وغير مزور)
- تأكد دوما من قفل جهازك وعدم تركه بمتناول الآخرين.                        
: اكتشاف إصابة الحاسب بالروتكيت Rootkit attack detection
ليس من السهل اكتشاف الروتكيت و ذلك لأن المهاجمين يعملون على إخفاء آثار الاختراق وآثار الهجوم والروتكيت تستخدم تقنيات مختلفة لإخفاء نشاطها على الحاسب الضحية. 
على الرغم من ذلك يعتقد البعض بأنه لا يمكن أن يتواجد مهاجم باحترافية عالية جداً لدرجة عدم ترك أي دليل على حدوث التدخل و هو ما يتم استخدامه لاكتشاف الروتكيت عادة.
وبما أن من الصعب على المستخدم العادي اكتشاف الروتكيت بنفسه فعليه الاستعانة إما بخبراء لاكتشافه أو ببعض الأدوات، 
لذلك ننصح بدل الانتظار للتأكد بالإصابة بروتكيت والتصرف بعدها بأخذ الاحتياطات الكاملة للوقاية من الإصابة بروتكيت 
وأيضا اتخاذ الاجراءات التي تخفف من آثار كارثة الإصابة وأيضا القيام بالإجراءات العلاجية بمجرد الشك بالإصابة.
نورد فيما يلي بعض الإيضاح حول صعوبة اكتشاف الروتكيت
برمجيات للكشف عن الروتكيت
لا تتوفر حاليا أدوات أو برمجيات تمتلك القدرة الكاملة على التقاط كل أنواع الروتكيت على الأجهزة. 
إلّا أنه هناك عدد من الأدوات التي قد تستطيع اكتشاف المشهور منها قبل تنصيبها على أنظمة التشغيل ويندورز Windows مثل حزم مضادات الفيروسات. 
لذلك إن كان المستخدم يستخدم برمجية روتكيت مشهورة في هجومه قد يستطيع مضاد فيروسات اكتشافه قبل حدوث الضرر لكنه من الصعب جدا أن يكتشفه بعد حدوث الضرر بسبب تقنيات التخفي التي تستخدمها معضم برمجيات الروتكيت لتفادي الاكتشاف من مضاد الفيروسات. 
يوجد أيضا أدوات منفصلة عن حزم مضادات الفيروسات تساعد على التخلص من روتكيتس معينة مثل DarkComet RAT Remover وهي أداة خاصة لاكتشاف وإزالة أحد أنواع الروتكيت والذي يطلق عليه اسم DarkComet.
هناك أيضا أنظمة التقاط التدخل Intrusion Detection system وأنظمة تجنب التدخل Intrusion prevention Systems خاصة بالشبكات يمكن تحليل بياناتها لالتقاط أي حركة مشبوهة من قبل أي نظام تم استهدافه. 
وهو الطريقة التي تعتمدها الشركات والمنظمات الكبيرة لكشف كارثة حدوث اختراق بروتكيت.
أما بالنسبة لأنظمة التشغيل لينوكس Linux بالتحديد أو الشبيهة بها يتوفر عدد إضافي من الأدوات التي تكشف الشهير من أنواع الروتكيت المشهورة مثل برنامج Chkrootkit 
و برنامج Rootkit Revealer ويجب التأكيد على القيام بتحديث هذه البرمجيات والأدوات بشكل دائم كحال مضاد الفيروسات.                        
: لائحة ببعض برمجيات الراتس RATs
فيما يلي بعض أسماء برمجيات الروتكيتس والتي لاحظنا انتشارها واستخدامها:
Blackshades
DarkComet
Fynloski
Rbot
Zapchast
Xtreme RAT                        
: لو احد سألني سؤال وقال اش اول حل تسويه اذا اكتشفت ان جهازك مصاب برمجيات الروتكيتس او RATs بدون اي تردد او تفكير هوفصل الانترنت من الجهاز وبعد كذا اقوم بالمعالجة                        
: اتمنى ان اكون وفقت بإيصال المعلومة الله يكفيكم شر الروتكيتس او RATs ولكم كل الود والاحترام