اكتشاف مصدر البرمجيات الضارة

حالة استخدام

لا تظهر البرمجيات الضارة بشكل تلقائي على جهاز الشخص المستهدف وإنما تأتي دائمًا من مكان ما. في بعض الأحيان، يكون ذلك المكان واضحًا حيث يدرك الشخص المستهدف أن الرابط الذي نقر عليه كان ضارًا وفي حالات أخرى، قد يكون ناقل الإصابة أقل وضوحًا. يمكن أن يكون تعلم مصدر الإصابة مهمًا لإدارة المخاطر المستقبلية. إذا كان مصدر الإصابة الأولي غير مستهدفًا، فقد تكون الضحية قد وقعت في أيدي عصابة إجرامية ليس لها أهداف سوى كسب المال. من ناحية أخرى، إذا جاءت الإصابة الأولية من هجوم انتحال بالهندسة الاجتماعية مستهدف ومتطور، فمن المرجح أن يواجهوا هجمات مستقبلية مستمرة من نفس ممثل التهديد.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

• فهم كيفية عمل الطوابع الزمنية على أجهزة سطح المكتب والأجهزة المحمولة
• انظر إلى البيانات الوصفية لنظام التشغيل لمعرفة من أين تم تنزيل الملفات الضارة

العرض

الطوابع الزمنية للملفات

تمثل الخطوة الأولى في تتبع أصل الهجوم في تحديد وقت تثبيت البرمجية الضارة. وإذا كنت قد حددت ملف البرمجيات الضارة الذي تم تنزيله، فيمكنك استخدام الطوابع الزمنية الموجودة على الملف. هذا أصعب مما قد يتخيله المرء في البداية لأن الطوابع الزمنية لنظام الملفات معقدة. تُعدّ الإجابة المختصرة هي البدء بوقت إنشاء الملف للملف الأول الذي تم تنزيله. لاحظ أن الملفات المستخرجة من الأرشيف قد يكون لها أوقات إنشاء مختلفة ومن المهم أن تبدأ بالملف الفعلي الذي تم تنزيله.

ويندوز وماك أو إس ولينوكس

لمزيد من المعلومات حول الطوابع الزمنية لنظام ملفات سطح المكتب، راجع هذا المستند التقني من إس إيه إن إس حول ويندوزthis whitepaper from SANS on Windows، وهذا الوصف للطوابع الزمنية شبه اللانهائية على ماك أو إسthis description of the near-infinite time stamps on MacOS، وهذا الوصف للطوابع الزمنية لنظام لينوكس this description of linux timestampsوطريقة عرض وقت إنشاء الملف على a way of viewing file creation time on ext4.

آي أو إس وأندرويد

بالنسبة للأجهزة المحمولة، تُوفر موبايل فيريفيكيشن تولكيت بعض معلومات الطابع الزمني وبالنسبة لنظام التشغيل آي أو إس يرد وصف ذلك في الوثائقdescribed in the documentation، أما بالنسبة لنظام أندرويد، تستخرج معلومات أقل وقد تضطر إلى إجراء فحوصات على الجهاز.

يعرض تطبيق غوغل فايلز Google Files الوقت المعدل لملف من قائمة النقاط الثلاث لكل ملف.

لاحظ أن البرمجيات الضارة للجهاز المحمول عادة ما تكون أقل وضوحًا من حيث ترك آثار يسهل الوصول إليها على نظام الملفات. تُعدّ الطرق الشائعة لإصابة الأجهزة المحمولة هي تطبيقات وهمية محملة جانبيًا أو تطبيقات ضارة في متجر تطبيقات غوغل/آبل أو عبر عمليات استغلال متطورة للمتصفح يمكنها التمتع بوصول عميق إلى الجهاز قبل تنزيل أي ملفات. في الحالات الأخيرة، قد لا تظهر الملفات الضارة في أدلة التنزيل الشائعة.

الرسائل/التنزيلات المشبوهة

سواء وجدت ملفًا ضارًا أم لا، تتمثل الخطوة التالية هي العثور على مصدره ويوجد عدد من المعلومات التي يمكنك جمعها والبحث عنها.

في بعض أنظمة التشغيل، ترتبط التنزيلات بمصدرها وهذا يعني أن الملفات يمكن أن تحتوي على بيانات وصفية توضح الخادم الذي تم تنزيلها منه. يوضح هذا الدليل كيفية التحقق من هذه المعلومات على نظامي تشغيل ويندوز ولينوكس، في حين يوضح هذا الدليلالأمر ذاته لنظام التشغيل ماك أو إس. ستعرض لك هذه البيانات الوصفية الخادم الذي تم تنزيل الملف منه ولكن ليس ما تسبب في التنزيل. لاحظ أيضًا أن الرابط الذي نقر عليه الشخص المستهدف قد لا يكون عنوان الارتباط التشعبي للتنزيل بسبب عمليات إعادة التوجيه.

ابحث بعد ذلك عن رسائل البريد الإلكتروني والرسائل وما إلى ذلك التي قد تكون تسببت في التنزيل. يمكنك استخدام أي طابع زمني ومعلومات عنوان موقع الويب التي حددتها مسبقًا للمساعدة.

اختبار مهارة

اكتل جميع الطوابع الزمنية لخمسة ملفات على الأقل في مجلد التنزيلات:

• التي تحتويها عليها وما يمكن أن تشير إليه
• إذا كان ذلك متاحًا، ابحث عن السمات الموسعة أو البيانات التعريفية التي تصف عنوان موقع الويب أو الخدمة التي تم تنزيلها منها (في اختبارنا، لم تحتوي جميع الملفات على معلومات حول عناوين موقع الويب في بياناتها التعريفية لذلك لا تقلق إذا لم تتمكن من العثور عليها)

اطلب من أحد النظراء أو مُرشِد التحقق مرة أخرى من عملك والتأكد من أنك قرأت جميع البيانات التعريفية بشكل صحيح.

على أندرويد، قم بتثبيت تطبيق (غير ضار) واستخدم مدير الملفات للعثور على خصائص التطبيق والاطلاع على ما يمكنك معرفته عن التطبيق. إذا كان بإمكانك الوصول إلى هاتف أندرويد مخصص للاختبار، فقم بتنزيل تطبيق من خارج متجر غوغل بلاي وافعل الشيء نفسه. اطلب من أحد النظراء أو مُرشِد التحقق مرة أخرى من عملك والتأكد من أنك قرأت جميع الخصائص بشكل صحيح.

مصادر التعلّم

Notes