مقدمة
في هذا المشروع، ستتعلم كيفية استخدام Wireshark للكشف عن والتحقيق في حركة البرمجيات الخبيثة. يعد تحديد السلوك الضار على الشبكة أمراً بالغ الأهمية لحماية الشبكات والاستجابة للحوادث الأمنية.
تحذير أمني: هذا المشروع يتضمن التعامل مع حركة مرور ضارة. تأكد من العمل في بيئة معزولة وآمنة، وعدم تحميل ملفات PCAP على أنظمة الإنتاج.
المتطلبات الأساسية
- فهم أساسي لمفاهيم الشبكات وبروتوكولاتها
- تثبيت Wireshark على جهازك
- ملف PCAP عينة يحتوي على حركة برمجيات خبيثة (من مصادر مثل Malware Traffic Analysis)
- بيئة آمنة ومعزولة للتحليل
إعداد المعمل والأدوات
Wireshark
قم بتنزيل وتثبيت Wireshark من الموقع الرسمي.
ملفات PCAP عينة
قم بتنزيل ملف PCAP عينة يحتوي على حركة برمجيات خبيثة من Malware Traffic Analysis.
نصيحة: ابدأ بملفات PCAP للمبتدئين المسمى عليها "Beginner" أو "Easy" للممارسة الأولية.
مؤشرات البرمجيات الخبيثة الشائعة
اتصالات متكررة
اتصالات متكررة إلى عناوين IP مشبوهة أو نطاقات غير معروفة
منافذ غير عادية
استخدام منافذ غير قياسية للخدمات الشائعة (مثل 4444، 31337)
كميات بيانات كبيرة
نقل كميات كبيرة من البيانات في أوقات غير متوقعة
أنماط اتصال غير طبيعية
فترات اتصال منتظمة تشير إلى اتصال C&C (Command and Control)
التمارين العملية
1 تحميل ملف PCAP عينة
الخطوات
- افتح Wireshark.
- اذهب إلى "File" > "Open" واختر ملف PCAP العينة الذي قمت بتنزيله.
- سيتم تحميل الملف وعرض حركة المرور الملتقطة.
المخرجات المتوقعة
ملف PCAP العينة المحتوي على حركة مرور الشبكة محمل في Wireshark.
2 تحديد أنماط الحركة الضارة
الخطوات
- ابحث عن أنماط غير عادية في حركة المرور، مثل اتصالات متكررة إلى عناوين IP مشبوهة، أو بروتوكولات غير عادية، أو كميات كبيرة من البيانات المنقولة.
- استخدم شريط التصفية لعزل الحركة المشبوهة. من عوامل التصفية الشائعة:
ip.addr == x.x.x.x(استبدلx.x.x.xبعنوان IP مشبوه)
tcp.port == 4444(منفذ شائع تستخدمه البرمجيات الخبيثة)
http.request(لعرض طلبات HTTP التي قد تشير إلى نشاط C&C)
المخرجات المتوقعة
تم تحديد أنماط حركة مرور مشبوهة في الالتقاط الشبكي.
3 تحليل الحركة الضارة
الخطوات
- حدد حزمة تبدو مشبوهة بناءً على تحليلك الأولي.
- انقر على الحزمة لعرض تفاصيلها في لوحة تفاصيل الحزمة.
- وسع أقسام البروتوكول ذات الصلة لفحص تفاصيل الحزمة، مثل الرؤوس، وبيانات الحمولة، وأي شذوذ.
المخرجات المتوقعة
تم تحليل معلومات مفصلة عن حزمة مشبوهة.
4 متابعة تدفق اتصال البرمجيات الخبيثة
الخطوات
- انقر بزر الماوس الأيمن على حزمة مشبوهة واختر "Follow" > "TCP Stream" أو "UDP Stream" لعرض المحادثة الكاملة.
- حلل المحادثة بحثاً عن مؤشرات النشاط الضار، مثل أوامر غير عادية، أو بيانات مشفرة، أو عمليات نقل ملفات غير متوقعة.
المخرجات المتوقعة
تم تحليل تدفق اتصال كامل للبرمجيات الخبيثة.
5 توثيق النتائج وإعداد التقارير
الخطوات
- دوّن ملاحظات عن الأنشطة والأنماط المشبوهة التي حددتها في حركة المرور.
- وثّق النتائج الرئيسية، بما في ذلك عناوين IP، المنافذ، بيانات الحمولة، وأي تفاصيل أخرى ذات صلة.
- لخص النتائج في نموذج تقرير، والذي يمكن استخدامه لمزيد من التحقيق أو كجزء من تقرير حادث أمني.
المخرجات المتوقعة
تقرير مفصل يوثق النتائج من تحليل حركة البرمجيات الخبيثة.
نموذج تقرير التحقيق
- التاريخ والوقت: [تاريخ ووقت الالتقاط]
- عناوين IP مشبوهة: [قائمة العناوين]
- المنافذ المستخدمة: [قائمة المنافذ]
- أنماط الحركة المثيرة للشك: [الوصف]
- البروتوكولات المشبوهة: [قائمة البروتوكولات]
- التوصيات: [الإجراءات المقترحة]
الخاتمة
بإكمال هذه التمارين، تكون قد تعلمت كيفية الكشف عن والتحقيق في حركة البرمجيات الخبيثة باستخدام Wireshark. هذه المهارات أساسية لتحديد السلوك الضار على الشبكة، والاستجابة للحوادث الأمنية، وحماية البنية التحتية للشبكة.
نصيحة للتطوير: واصل التدرب على ملفات PCAP مختلفة لتعزيز قدرتك على التعرف على أنماط متنوعة من الهجمات.