Review Network Connections
ستحتاج برمجيات التجسس في النهاية إلى نقل البيانات التي تم جمعها (مثل لقطات الشاشة وكلمات المرور وضغطات المفاتيح وما إلى ذلك) إلى موقع بعيد وهو خادم القيادة والتحكم. وبالرغم من أنه من غير الممكن أن تتمكن من التنبؤ بموعد حدوث عمليات الإرسال هذه، من الممكن أن بعض برمجيات التجسس تجري اتصالًا دائم مع الخادم أو تتصل به بشكل متكرر بما يكفي لكشفها.
من أجل التحقق من الاتصالات الجارية يمكنك على سبيل المثال تسجيل حركة مرور الشبكة بأكملها باستخدام Wireshark وفحص النتائج المخزنة لاحقًا، ولكن النهج الأكثر الأفضل هو استخدام الأدوات التي لا تراقب نشاط الشبكة فحسب بل يمكنها أيضًا ربطها بالعمليات قيد التشغيل. بشكل عام يجب أن تبحث عن عمليات غير عادية تتصل بعناوين بروتوكول إنترنت مشبوهة.
وإحدى الأدوات الشائعة للقيام بذلك هي تي سي بي فيو (TCPView) أيضًا من سيسينترنال سويت (Sysinternals Suite) من مايكروسوفت.
تُعدّ هذه الأداة سهلة للغاية فهي تسرد جميع اتصالات الشبكة القائمة وتوفر معلومات حول عملية المصدر والوجهة، ومن المحتمل أن تتفاجأ بملاحظة كمية اتصالات الشبكة النشطة حتى في الأنظمة التي تبدو خاملة. غالبًا ما سترى نشاط شبكة من العمليات الخلفية على سبيل المثال لخدمات مايكروسوفت وجوجل كروم وأدوبي ريدر (Adobe Reader) وسكايب (Skype) وما إلى ذلك.
توجد أداة أخرى يمكننا استخدامها لمراقبة اتصالات الشبكة النشطة وهي كراود إنسبكت التي عرضناها في القسم السابق حول فحص العمليات قيد التشغيل. تشابه المعلومات التي تقدمها أداة كراود إنسبكت كثيرًا تلك التي تقدمها تي سي بي فيو.
على سبيل المثال، في لقطة الشاشة أعلاه يمكننا رؤية عملية iexplore.exe
قيد التشغيل والتي تظهر عليها علامة محقونة، ويبدو أيضًا أنها تحاول بنشاط الاتصال ببروتوكول إنترنت بعيد على العنوان 216.6.0.28
. نظرًا لعدم وجود نافذة ظاهرة لبرنامج إنترنت اكسبلورر تعمل على النظام، يثير الشك بالتأكيد مشاهدة اتصالات شبكة نشطة منه، ويظهر تي سي بي فيو كما يلي على النظام المصاب ذاته:
(ملاحظة: تعرض هذه الأدوات محاولات الاتصال بالمواقع البعيدة حتى لو كان الكمبيوتر في الوقت الحالي غير متصل بالإنترنت).
عندما تشك في وجود اتصال نشط يمكنك (ويفضل أن تقوم بذلك من جهاز كمبيوتر منفصل) البحث عن عنوان بروتوكول الإنترنت ومحاولة تحديد لمن يعود وما إذا كان معروفًا أنه سليم أم ضار باستخدام أدوات عبر الإنترنت مثل Central Ops أو ipinfo. على سبيل المثال، ينتج عن بحث WHOIS بسيط يتعلق بعنوان بروتوكول الإنترنت هذا:
يشير هذا إلى أن برنامج iexplore.exe
المحقون كان يحاول بشكل مريب للغاية الاتصال بعنوان بروتوكول إنترنت موجود في سوريا. في الواقع ولغرض العرض التوضيحي استخدمنا نسخة قديمة من فيروس حصان طروادة الذي يتيح الوصول عن بُعد المسمى DarkComet الذي عثر على أنه يُستخدم في سوريا في عام 2011 تقريبا,
وحتى بحث بسيط عن عنوان بروتوكول الإنترنت عبر محرك البحث المفضل لديك قد يكشف عن معلومات مفيدة. بالإضافة إلى ذلك، قد ترغب في التفكير في استخدام خدمات أبحاث التهديدات مثل ريسك آي كيو (RiskIQ) أو ثريت ماينر (ThreatMiner) لمعرفة ما إذا كان لديهم أي معلومات عن عناوين بروتوكول الإنترنت أو أسماء النطاقات التي تصادفها.
Last updated