مقال : التحقيق الرقمي والتفكير خارج الصندوق

من اهم استراتيجيات التحقيق الرقمي هو التفكير خارج الصندوق

 لكل انسان ولد على سطح هذه البسيطة بصمته الخاصة التي لا تتكرر بشكل طبيعي وهي هوية الانسان منذ القدم

وكما هو الحال في كل شيء فان التفرد صفة اساسية للتميز واهم ما يميز المحقق الرقمي او المستشار الامني هو اسلوب عمله ومنهجيته والاستراتيجية المتبعة .

لايمكن لهذه الاستراتيجيات والمنهجيات ان تدرس او تاخذ شكل واحد فلكل انسان اسلوبه وبصمته

ساذكر لكم فيما يلي مثال واضح عن المقصود بهذا الكلام

في احد الايام اتصل بي صديق يعمل كمدير شبكة في شركة متخصصة بامور الاستيراد والتصدير والتخليص الجمركي وطلب مني ان اكتب له كود او برنامج صغير
يقوم بالتحقق من احدى خدمات الويندوز ويتاكد من عملها ويشغلها في حال كانت متوقفة لسبب من الاسباب
وفعلا كان له ما اراد وارسلت له الكود بالايميل
وبعد حاولي الشهر التقينا مجددا ودار حديث عن المشكلات التي تحدث في العمل واخبرني بان لديه مشكلة غريبة في الايزا سيرفر
ISA Server
ولمن لا يعرفونه هو عبارة عن فايروول من انتاج شركة مايكروسوفت وغالبا ما يستعمل ضمن بيئة شبكات ويندوز دومين
الشبكات المحلية المبنية على اساس نطاق وليس شبكة عادية .
كانت الملاحظة بان التقارير اليومية Log تشير احيانا الى خلل في بروتوكول الـ DNS وبعدها انتهى الحديث بشكل طبيعي ، في طريق عودتي تذكرت طلبه السابق مني بخصوص الكود الذي يشغل خدمة متوقفة , اتصلت به وسالته هل هذا الكود من اجل الايزا سيرفر اجابني بنعم

فاخبرته بما يدور في بالي بخصوص ربط المشكلتين مع بعض مشكلة توقف خدمة الفايروول في الايزا بشكل عشوائي وغير مبرر ومشكلة الـ Log بخصوص خدمة الـ DNS
وبالفعل ذهبنا سوية الى الشركة وقمنا بمراجعة ملفات الـ Log وتوصلنا بان كل مرة تظهر فيها مشكلة الـ DNS تتوقف خدمة الايزا عن العمل .

من الواضح الان اننا اما سيناريو مشكلة ولكنها ليست واضحة المعالم هل هي خلل في اعدادات سيرفر الايزا او سيرفر الدي ان اس في الشركة ام فايروس في الشبكة

بدأنا بملاحقة المعطيات التي بين يدينا واستنادا على كل ما توفر لنا من فايلات الـ Log الموجودة على السيرفرات توصلنا الى ان هذه الحالة قد بدأت قبل بضعة ايام من طلبه للكود الذي كتبته له.

(فايلات الـ Log نحصل عليها اما من الـ Event Viewer او من الايزا سيرفر نفسه)

وبهذا التاريخ بالتحديد لم يقم باي تعديل رئيسي او ثانوي في الشبكة ولم يقم بعملية ابديت للسيرفرات او الخدمات ولم يعدل على البوليسي الخاصة بالاجهزة او بالسيرفرات الموجودة بالشركة , وبالتالي الموضوع اصبح واضحا بانه خرق امني
طلبت منه اخبار مدير الشركة بالمشكلة كي اخذ موافقته على العمل لحلها وبالفعل كان لنا ذلك .

لاحظت بان الايام التي تحدث فيها المشكلة هي ايام عمل الشركة اما في العطل فلا تحدث تلك المشكلة , بالتالي هي مشكلة من طرف اليوزر وليست من طرف السيستم يعني طالما السيرفرات تعمل طوال السنة ولكن المشكلة فقط تحدث اثناء عمل الموظفين بالتاكيد المشكلة تاني من جهة اليوزر .

وبالفعل تم تضييق البحث اكثر حتى وصلنا الى آي بي الجهاز الذي دوما تنتهي المشكلة عنده وهو جهاز مدير الحركة التجارية , وبالفعل بعد فحص الجهاز تبين ما يلي :

الجهاز تعرض لاصابة تدعى dns hijacking وقد تم تعديل فايل الـ Host واستبدال اسماء مواقع بايبيات غير الاساسية ليتم تحويل اي طلب لها الى صفحات بديلة وغالبا مزورة
زرع في الجهاز Keylogger يقوم بتسجيل كل البيانات التي يتم ادخالها على الكيبورد وتحفظ في مكان ضمن ملفات النظام ليتم اخذها لاحقا باسلوب مبتكر

اما الاتصال العكسي الذي كان يقوم به الهاكر المخترق فكان عن طريق tcp over dns حيث قام باستغلال قناة اتصال ضمن خدمة الدي ان اس ليقوم بعمل اتصال من جهازه الى جهاز الموظف ليقوم بنقل الملف الذي يسجله الـكي لوغر

واتضح لي بانه قد قام بدراسة تركيبة الشبكة وبنيتها الامنية والداخلية ووجد بان هذه انسب طريقة ليقوم بها بنقل الملف دون ان يشعر النظام بشيء وتمر حزمة الاتصال من سيرفر الايزا دون التاكد من محتواها لانه يمرر البيانات عن طريق خدمة DNS والتي تستخدم الـ UDP بينما لو كان يستخدم خدمة اخرى لكانت TCP وبالتاكيد كان الايزا سيرفر سيفلتر هذه العملية

من قام بهذه العملية هو احد عملاء الشركات في الصين يتعامل معهم ولكنه يريد ان يضمن بانهم لا يتعاملون مع منافسين له فقام بهذه العملية عن طريق استغلال ثغرات ادوبي ريدر , والاكسيل ماكرو فايلز , وباتش مدمج مع فايل Winrar قام بارسالها للمدير على انها ملفات تخص العمل وبالفعل كلها ملفات تحتوي على ماتم ذكره ولكن كل منها كان له عمله في هذه الخطة وبالتاكيد الانتي فايروس لم يتحسس وجود اي شيء لان تشفير الملفات محكم

كل هذا السيناريو تم اكتشافه بسبب الخلل الذي كان يظهر ضمن الايزا سيرفر الذي كان يستشعر بمرور داتا من خلال خدمة الـ DNS ولكنها لم تكن لتثير شكوك بهذا الحجم

الخلاصة :

كونك مهتم باختبار الاختراق والهاكر الاخلاقي واساليب الحماية يجب عليك الانتباه لادق التفاصيل مهما كانت بسيطة فلا توجد معلومة ليست مهمة
كونك مهتم بالحماية والتحقيق الجنائي الرقمي يجب عليك ان تعمل وفق منهجية وتفكر بشكل منطقي متسلسل حتى تصل الى النتائج باسرع وقت ممكن وباقل جهد لك وباقل ضرر وعطل لعميلك

التفكير بالخطوات بشكل مسبق وكيفية البحث يوفر عليك الوقت والجهد والتعب في العمل