Table of Contents

مقدمة

تستمر تهديدات الأمن السيبراني في التطور، وأحد أخطر الأساليب التي يستخدمها القراصنة هي القشرة العكسية. تسمح هذه الطريقة للمهاجمين بالتحكم عن بُعد في جهاز الضحية، متجاوزين بذلك التدابير الأمنية مثل جدران الحماية وبرامج مكافحة الفيروسات. تشرح هذه المقالة كيفية عمل القذائف العكسية والأدوات المستخدمة لتنفيذها والمخاطر المرتبطة بهذه الهجمات.

فهم Reverse Shells

Reverse Shell هي نوع من طرق الوصول عن بُعد حيث يقوم النظام المخترق ببدء اتصال بجهاز المهاجم، مما يسمح للمهاجم بتنفيذ الأوامر عن بُعد. على عكس القذائف التقليدية حيث يقوم المهاجم بالوصول المباشر إلى النظام المستهدف، فإن القذائف العكسية أكثر خفاءً ويصعب اكتشافها لأنها تستغل الاتصالات الصادرة التي غالباً ما تسمح بها جدران الحماية.

خطوات إنشاء Reverse Shells

إنشاء حمولة خبيثة:

    • غالبًا ما يستخدم المخترقون مولدات RAT (تروجان الوصول عن بُعد) المتاحة للجمهور لإنشاء حمولة.
    • يمكن تضمين هذه الحمولات في ملفات تبدو بريئة مثل المستندات أو الملفات التنفيذية.

    توصيل الحمولة إلى الضحية:

    • يوزع المهاجمون الملف الخبيث عبر رسائل البريد الإلكتروني التصيدية أو مواقع الويب الخبيثة أو أجهزة USB.
    • بمجرد قيام الضحية بتنفيذ الملف، يصبح النظام عرضة للخطر.

    تجاوز الحماية الأمنية:

    • قد تفشل برمجيات مكافحة الفيروسات في اكتشاف البرمجيات الخبيثة المعقدة، خاصةً إذا كانت مشوشة أو مشفرة.
    • قد يستخدم المهاجم ترميز base64 ونصوص PowerShell البرمجية للتهرب من الاكتشاف.

    إنشاء الاتصال:

    • يتم تنفيذ الحمولة وبدء اتصال خارجي بجهاز المهاجم.
    • يستمع نظام المخترق للاتصال باستخدام أدوات مثل Metasploit أو Netcat.

    اكتساب السيطرة على الجهاز الهدف:

    • يحصل المهاجم على جلسة عمل، مما يسمح له بتنفيذ الأوامر كما لو كان يستخدم حاسوب الضحية فعليًا.
    • ويمكنها استخراج الملفات أو تصعيد الامتيازات أو تثبيت برمجيات خبيثة إضافية.

      لماذا تعتبر الأصداف العكسية خطيرة

      • معدل اكتشاف منخفض: غالباً ما تفشل برمجيات الأمان التقليدية في اكتشاف الحمولات المصممة جيداً.
      • الوصول المستمر: يمكن للمهاجمين الحفاظ على إمكانية الوصول حتى بعد إعادة التشغيل من خلال تثبيت أبواب خلفية.
      • تُستخدم لبرمجيات الفدية والتجسس: يستخدم مجرمو الإنترنت قذائف عكسية لنشر برمجيات الفدية أو التجسس على الضحايا.
      • اختراق الشبكة: بمجرد الدخول إلى النظام، يمكن للمهاجمين التحرك أفقياً لاختراق الشبكة بأكملها.

      العلامات الشائعة التي تشير إلى تعرض الماكينة للاختراق بواسطة قذيفة عكسية

      قد يكون الكشف عن هجوم الصدفة العكسي أمرًا صعبًا، حيث أن هذه الهجمات مصممة للعمل خلسة. ومع ذلك، هناك العديد من المؤشرات التي يمكن أن توحي بأن النظام قد تعرض للاختراق:

      1. حركة مرور الشبكة الصادرة غير المعتادة
        • عادةً ما تتصل القواقع العكسية مرة أخرى بجهاز المهاجم، وغالبًا ما تستخدم منافذ غير شائعة أو حركة مرور صادرة عالية التردد.
        • استخدم أدوات مراقبة الشبكة مثل Wireshark أو Zeek لاكتشاف الاتصالات غير المتوقعة.
      2. العمليات غير المعترف بها التي تعمل في الخلفية
        • غالبًا ما يتم تشغيل الغلاف العكسي كعملية خلفية.
        • يمكن أن يكشف التحقق من قوائم عمليات النظام (tasklist على ويندوز، ps aux على لينكس) عن العمليات المشبوهة.
      3. تنفيذ أمر غير متوقع
        • إذا أظهرت سجلات النظام تنفيذًا غير مصرح به لأوامر النظام (whoami ، systeminfo ، netstat)، فقد يشير ذلك إلى وجود مهاجم يستكشف النظام.
      4. ملفات النظام المعدلة أو التي تم إنشاؤها حديثاً
        • قد يقوم المهاجمون بتثبيت حمولات إضافية أو أبواب خلفية للوصول المستمر.
        • استخدم أدوات مراقبة سلامة الملفات لتتبع التغييرات غير المتوقعة في ملفات النظام.
      5. ارتفاع استخدام وحدة المعالجة المركزية أو الذاكرة دون مبرر
        • قد تظهر على الجهاز المخترق مشاكل في الأداء بسبب البرامج النصية الخبيثة التي تعمل في الخلفية.
      6. ميزات الأمان المعطلة
        • غالباً ما يحاول المهاجمون تعطيل برامج مكافحة الفيروسات أو جدران الحماية أو تسجيل الدخول للتهرب من الاكتشاف.
        • تحقق من سجلات أمان النظام بحثاً عن محاولات التعطيل غير المعتادة.
      7. حسابات المستخدمين غير الاعتيادية أو تصعيد الامتيازات
        • في حالة ظهور حسابات مستخدمين جديدة في النظام أو ظهور حسابات جديدة في النظام أو حسابات حالية لها حقوق مسؤول غير متوقعة، فقد يشير ذلك إلى وجود هجوم.

      ماذا تفعل إذا كنت تشك في وجود قذيفة عكسية؟

      • قطع الاتصال بالإنترنت لإيقاف الاتصال مع المهاجم.
      • إيقاف العمليات المشبوهة لإنهاء اتصالات الصدفة العكسية النشطة.
      • قم بإجراء فحص كامل للنظام باستخدام أدوات أمان نقطة النهاية.
      • تحقق من سجلات النظام للحصول على مزيد من الأدلة على الوصول غير المصرح به.
      • إعادة تثبيت النظام أو استعادته من نسخة احتياطية نظيفة إذا لزم الأمر.

      كيف يمكن لتقنيات التعتيم مثل ترميز Base64 أن تساعد البرمجيات الخبيثة على التهرب من الاكتشاف؟

      التعتيم هو أسلوب يستخدمه المهاجمون لإخفاء الشيفرة البرمجية الخبيثة عن أدوات الأمان مثل برامج مكافحة الفيروسات وجدران الحماية وأنظمة كشف التسلل (IDS). أحد أكثر أساليب التعتيم شيوعًا هو ترميز Base64، والذي يسمح للبرمجيات الخبيثة بإخفاء هدفها الحقيقي. إليك كيفية عملها:

      1. ما هو ترميز Base64؟

      • Base64 هو مخطط ترميز ثنائي إلى نص يحول البيانات الثنائية إلى تنسيق سلسلة ASCII.
      • يُستخدم عادةً لنقل البيانات ولكن يتم استغلاله أيضًا من قِبل المهاجمين لإخفاء التعليمات البرمجية الخبيثة.

      2. لماذا يُستخدم ترميز Base64 في البرمجيات الخبيثة؟

      • التهرب من الكشف القائم على التوقيعات:
        • تعتمد برامج مكافحة الفيروسات على التعرف على الأنماط لتحديد البرمجيات الخبيثة.
        • نظرًا لأن الحمولات المشفرة بترميز Base64 تبدو كنص عشوائي، فإنها تتجاوز عمليات الكشف التقليدية القائمة على التوقيع.
      • تجنب عمليات البحث القائمة على الأوتار:
        • غالبًا ما يبحث المحللون الأمنيون والأنظمة الآلية عن سلاسل البرمجيات الخبيثة الشائعة.
        • إن ترميز الحمولة في Base64 يجعلها غير قابلة للتعرف عليها في عمليات البحث عن النص العادي.
      • تنفيذ التعليمات البرمجية الخبيثة بشكل سري:
        • يمكن للمهاجمين ترميز نصوص PowerShell أو Bash البرمجية في Base64، وفك تشفيرها أثناء وقت التشغيل، وتنفيذها دون كتابتها على القرص.
        • هذا يقلل من آثار الأقدام ويجعل من الصعب على أدوات الطب الشرعي اكتشافها.

      3. كيف يستخدم المهاجمون Base64 لإيصال البرمجيات الخبيثة

      • الخطوة 1: يقوم المهاجم بتشفير الحمولة باستخدام Base64.
        • مثال: echo 'malicious command' | base64 → ينتج سلسلة مشفرة غير قابلة للقراءة.
      • الخطوة 2: يقوم البرنامج النصي للبرمجية الخبيثة بفك تشفير الحمولة Base64 وتنفيذها.
        • مثال (PowerShell):
      powerhell.exe -encodedCommand UABvAHCAZAZQByAFMAAAABlAGABlAGAgAbAAgAC0AYWBBVAVAQBHQBHQBHQBHQBHUAZAQAZAQAZAZAAZAZAQBGAJWAJWAI
        • يؤدي هذا إلى تشغيل أمر خفي خبيث دون إثارة الشكوك الفورية.

      4. كيفية الدفاع ضد البرمجيات الخبيثة المشفرة بترميز Base64

      • مراقبة الأوامر المشفرة:
        • يجب أن تبحث فرق الأمن عن نشاط سطر الأوامر المشبوه الذي يتضمن -encodedCommand في PowerShell أو base64 -d في لينكس.
      • استخدام الكشف القائم على السلوك:
        • يمكن للحلول الأمنية الحديثة التي تحلل سلوك وقت التشغيل أن تكتشف الأنشطة الخبيثة، حتى لو كانت الحمولة مشفرة.
      • حظر تنفيذ البرامج النصية غير الموثوق بها:
        • تنفيذ النُهج التي تقيد تنفيذ أوامر PowerShell والأوامر المستندة إلى البرامج النصية من مصادر غير موثوق بها.
      • فحص حركة مرور الشبكة:
        • وغالباً ما يتم تسليم الحمولات المشفرة بترميز Base64 عبر رسائل البريد الإلكتروني التصيدية أو حركة مرور الأوامر والتحكم (C2).
        • يمكن أن تساعد أدوات الفحص العميق للحزم (DPI) في اكتشاف البيانات المشفرة المشبوهة.

      كيف يمكن للأفراد والمؤسسات الدفاع عن أنفسهم ضد هجمات القذائف العكسية؟

      تسمح هجمات الصدفة العكسية للمخترقين بالسيطرة على جهاز الضحية عن بُعد، وغالباً ما يتجاوزون التدابير الأمنية التقليدية. وللحماية من هذه الهجمات، يجب على الأفراد والمؤسسات تنفيذ مزيج من الاستراتيجيات الأمنية الوقائية والكشفية والتفاعلية.

      1. التدابير الوقائية

      الوقاية هي خط الدفاع الأول ضد هجمات الصدفة العكسية. تركز هذه التدابير على القضاء على نقاط الضعف قبل حدوث الهجوم.

      استخدام القائمة البيضاء للتطبيقات

      • اسمح للتطبيقات المعتمدة فقط بالتنفيذ على نظامك.
      • منع تشغيل البرامج النصية والبرامج التنفيذية غير المصرح بها.
      • يمكن لأدوات مثل Windows AppLocker أو Linux SELinux المساعدة في فرض ذلك.

      تنفيذ قواعد جدار حماية قوية

      • حظر الاتصالات الصادرة غير الضرورية، خاصة إلى عناوين IP المشبوهة.
      • تقييد الاتصالات الواردة إلى المصادر الموثوقة فقط.
      • استخدم تجزئة الشبكة للحد من الوصول إلى الأنظمة الحساسة.

      تعطيل الميزات غير الضرورية

      • يمكن إساءة استخدام PowerShell ولغات البرمجة النصية الأخرى لإطلاق قذائف عكسية.
      • إذا لم تكن مطلوبة، قم بتعطيل هذه الأدوات أو تقييد تنفيذها باستخدام النُهج.

      حافظ على تحديث البرامج وأنظمة التشغيل

      • تطبيق التصحيحات الأمنية بانتظام لمنع استغلال الثغرات الأمنية المعروفة.
      • استخدم التحديثات التلقائية للإصلاحات الأمنية الهامة.

      تثقيف المستخدمين حول الهندسة الاجتماعية والتصيد الاحتيالي

      • تبدأ العديد من هجمات الصدفة العكسية برسائل بريد إلكتروني تصيدية.
      • تدريب الموظفين على التعرف على مرفقات وروابط البريد الإلكتروني الضارة.

      2. تدابير التحري

      على الرغم من بذل قصارى الجهود، قد يستمر المهاجمون في محاولة شن هجمات القذائف العكسية. تساعد هذه التدابير في اكتشافها وإيقافها مبكرًا.

      مراقبة حركة مرور الشبكة الصادرة

      • استخدم أنظمة كشف التسلل (IDS) مثل Snort أو Suricata للإبلاغ عن الاتصالات الصادرة غير الاعتيادية.
      • كن حذرًا من الاتصالات الصادرة لعناوين IP النادرة أو الأجنبية.

      تمكين التسجيل والتدقيق

      • تمكين التسجيل التفصيلي لنشاط النظام والشبكة.
      • استخدم إدارة السجلات المركزية (على سبيل المثال، أدوات SIEM مثل Splunk أو ELK Stack) لتحليل السجلات بحثًا عن الحالات الشاذة.

      تحليل العمليات الجارية

      • استخدم مدير المهام (ويندوز) أو ps aux (لينكس) لاكتشاف العمليات غير المعروفة.
      • انتبه لعمليات تشغيل البرامج النصية أو الملفات التنفيذية غير الاعتيادية.

      مراقبة نشاط حساب المستخدم غير المعتاد

      • قد ينشئ المهاجمون حسابات مستخدمين مخفية للحفاظ على الوصول.
      • مراجعة حسابات مستخدمي النظام ونشاط تسجيل الدخول إلى النظام بانتظام.

      3. التدابير التفاعلية

      إذا تم اكتشاف هجوم بقذيفة عكسية، فمن الضروري اتخاذ إجراء سريع لتقليل الضرر.

      عزل الجهاز المتأثر

      • افصل النظام المخترق عن الشبكة على الفور.
      • وهذا يمنع المهاجم من تنفيذ المزيد من الأوامر.

      إيقاف العمليات المشبوهة

      • تحديد وإنهاء عملية الصدفة العكسية.
      • مثال (ويندوز)
      Get-Process | Where-Object { $_.Name -مثل "*powershell*" } | إيقاف العملية -قوة
      • مثال (لينكس)
      ps aux | grep nc
      kill -9 <PID>

      التحقيق في آليات الثبات وإزالتها

      • قد يقوم المهاجمون بإعداد مهام مجدولة أو تعديلات في السجل أو برامج نصية لبدء التشغيل.
      • تحقق من سجلات النظام وقم بإزالة أي مهام مجدولة غير مصرح بها أو إدخالات بدء التشغيل.

      الاستعادة من نسخة احتياطية نظيفة معروفة

      • إذا تم اختراق النظام بشدة، ففكر في الاستعادة من نسخة احتياطية حديثة وآمنة.
      • تأكد من تحديث النسخ الاحتياطية بانتظام وتخزينها بشكل آمن.

      الإبلاغ عن الحادث

      • بالنسبة للمؤسسات، اتبع خطة الاستجابة للحوادث وأبلغ فرق الأمن السيبراني بالهجوم.
      • إذا تم انتهاك البيانات الشخصية، امتثل لمتطلبات الإبلاغ القانونية.

      شاهد أيضاً

      Show Comments

      The MasterMinds Notes

      About the Author

      Mastermind Study Notes is a group of talented authors and writers who are experienced and well-versed across different fields. The group is led by, Motasem Hamdan, who is a Cybersecurity content creator and YouTuber.

      View Articles