Last updated
Last updated
تُعدّ مراقبة حركة المرور على الشبكة خلال الهاتف إحدى أفضل الطرق لتحديد النشاط الضار دون التفاعل مع الهاتف المحمول وبالتالي تجاوز أي آلية قد تكون البرمجيات الضارة قد طورتها لتجنب الكشف، ولكنه أمر يتطلب أداة خارجية لتسجيل حركة المرور وبعض المعرفة بالشبكة لتحديد حركة المرور المشبوهة.
تقوم العديد من تطبيقات الأجهزة المحمولة والبرمجيات الضارة الآن بتمكين "تثبيت طبقة مآخذ توصيل آمنة (SSL Pinning)" مما يجعل من الصعب علينا فك تشفير حركة المرور الخاصة بها. وتُعدّ الطريقة الوحيدة لتجاوز تثبيت طبقة مآخذ توصيل آمنة هي تجذير (root) أو اختراق حماية (jailbreak) جهاز واستخدام أدوات مثل فريدا (Frida). لكن من أجل تحقيق هدف التحليلات الجنائية نحتاج فقط إلى القيام بذلك إذا كنا نشك بشدة في أن حركة المرور الضارة مخفية بتشفير تثبيت طبقة مآخذ توصيل آمنة.
بدلًا من مراقبة حركة مرور الشبكة الكاملة والتي تتطلب إعدادًا معقّدًا يمكننا مراقبة استعلامات نظام اسم المجال، وتسمح معظم أنظمة التشغيل للمستخدمين بتكوين خوادم نظام اسم المجال الخاصة بهم. ويمكننا تكوين خادم نظام اسم المجال الخاص بنا لتسجيل الاستعلامات وتوجيه الجهاز قيد الاختبار إلى خادمنا.
يمكننا نشر خادم نظام اسم المجال الخاص بنا من خلال:
تطبيق باي هول (Pi-hole).
تطبيق أدغارد هوم (Adguard Home).
أو استخدم خادم نظام اسم المجال قائم على السحابة مثل نيكست دي إن إس (NextDNS). يُعدّ الجانب السلبي لخادم خدمة اسم المجال المستند إلى السحابة هو أن مزود السحابة سيكون قادرًا على رؤية استعلامات الأجهزة.
أحد مزودي خدمة أسماء المجالات السحابية هو نيكست دي إن إس والذي يسمح لك بتكوين خادم خدمة أسماء المجالات بدون حساب. يوفر نيكست دي إن إس أيضًا تطبيقات لأنظمة التشغيل الرئيسية لتكوين الجهاز لاستخدام الخادم المخصص الخاص بك. انتقل أولًا إلى https://my.nextdns.io/start لإنشاء معرّف تكوين مؤقت يجب عليك إدخاله في تطبيق نيكست دي إن إس. بعدها سيتم تسجيل جميع استعلامات نظام أسماء النطاقات التي يجريها الهاتف في علامة التبويب السجلات.
تتمثل إحدى طرق مراقبة حركة مرور الشبكة من هاتفك في تسجيل حركة المرور مباشرة من جهاز راوتر واي فاي المتصل به هاتفك المحمول. حسب جهاز راوتر واي فاي الخاص بك قد يكون من الممكن تسجيل حركة المرور مباشرة منه (باستخدام أداة مثل ).
إذا لم تتمكن من تسجيل حركة المرور باستخدام جهاز راوتر واي فاي الفعلي فيمكنك بسهولة إنشاء جهاز توجيه باستخدام وبرنامج راسب أيه بي (انظر لمشاهدة دليل حول كيفية تثبيته).
بمجرد تثبيت جهاز راوتر الخاص بك، يمكنك الاتصال به باستخدام ssh والبدء في التقاط حركة المرور باستخدام . ثم قم بتوصيل الهاتف المحمول الذي تريد اختباره بشبكة الواي فاي هذه وسجل حركة المرور لمدة 30 دقيقة حتى ساعة واحدة.
بعد نهاية التسجيل قم بتنزيل ملف pcap على جهاز الكمبيوتر الخاص بك وراجع حركة مرور الشبكة باستخدام . تحقق بشكل خاص من العناصر التالية:
اتصالات بعناوين بروتوكول الإنترنت بدون طلبات نظام اسم المجال.
اتصالات على منافذ بخلاف 80 و443.
إذا وجدت أي حركة مرور مشبوهة إلى عنوان بروتوكول الإنترنت أو نطاق يمكنك استخدام الأدوات التالية للحصول على مزيد من المعلومات عنه:
تعمل هذه التطبيقات عادةً عن طريق إنشاء خادم شبكة ظاهرية خاصة على الجهاز وتكوين النظام لاستخدام خادم هذه الشبكة.
السلوكيات التالية أكثر إثارة للشك:
التطبيقات أو الاتصالات التي تولد الكثير من حركة مرور البيانات.
التطبيقات أو الاتصالات التي تحمّل بيانات أكثر من التنزيل.
الاتصالات التي تحدث بشكل دوري.
أسماء النطاقات الغريبة، والتي عند مواجهتها ما عليك سوى البحث عنها على Google أو VirusTotal.
منافذ غير شائعة.
إرسال أو استقبال البيانات عندما لا يكون الهاتف قيد الاستخدام، (مثل ما يكون المستخدم في فترة النوم.)
اتصالات بالنطاقات غير المدرجة في قوائم أليكسا توب .
تسمح برؤية مالك عنوان بروتوكول الإنترنت أو هو إز (WHOIS) للنطاق (لا يتطلب حسابًا).
تسمح برؤية سجل نظام اسم المجال وفيه العديد من المؤشرات حول عناوين بروتوكولات الإنترنت والنطاقات الضارة (يتطلب حسابًا وعددًا محدودًا من الاستعلامات مع حساب مجاني).
تُعدّ قاعدة بيانات كبيرة بالمؤشرات الضارة، يمكنك البحث عن عنوان بروتوكول الإنترنت هذا أو النطاق فيه لمعرفة ما إذا كان هناك نشاط ضار معروف منه (يتطلب حسابًا مجانيًا).
لإعداد بيئة لتحليل حركة المرور، راجع .
: لنظام آندرويد مفتوح المصدر.
: لنظام آي أو إس مفتوح المصدر.
: لنظام آي أو إس خاص.
تقدم منظمة وهي منظمة ولدت من في الجامعة التقنية التشيكية في براغ، خدمة لكشف الأجهزة المخترقة.
تسمح خدمة الشبكة الظاهرية الخاصة الطارئة بتحليل وتحديد حركة المرور المشبوهة من جهاز محمول يستخدمه الصحفيون والمنظمات غير الحكومية. سيرسل لك فريق المنظمة بيانات الاعتماد لتسجيل الدخول إلى الشبكة الخاصة بهم باستخدام هاتفك، وخلال استخدام الشبكة سيقومون بتسجيل جميع الزيارات القادمة من هاتفك لمدة أقصاها ثلاثة أيام. في نهاية التسجيل، سيقومون بتحليل حركة المرور باستخدام التقنيات الآلية واليدوية من أجل تحديد النشاط الضار أو المشكلات الأمنية في التطبيقات التي تعمل على هاتفك وإرسال نتيجة هذا التحليل إليك عبر البريد الإلكتروني.
يتمثل أحد قيود هذه التقنية في أنه يتعين عليك توفير حركة مرور الشبكة من هاتفك المحمول إلى منظمة تابعة لجهة خارجية أي منظمة مشروع المجال المدني، لكن يمكنك للحصول على مزيد من المعلومات حول كيفية تخزين هذه البيانات واستخدامها. تتمثل ميزة هذا الحل في أنه يمكنك الاعتماد عليها لتحليل حركة مرور الشبكة والتي يمكن أن تكون عملية معقدة وتستغرق وقتًا طويلًا.
تحقق من لمزيد من المعلومات.