كوبرا نت - Coobra.Net

كوبرا نت - Coobra.Net (http://www.coobra.net/index.php)
-   منتدى اختراق الايميل الحسابات و الشات (http://www.coobra.net/forumdisplay.php?f=20)
-   -   [ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك) (http://www.coobra.net/showthread.php?t=35132)

alcrackr 08-19-16 23:15

[ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)
 
http://technawi.net/wp-content/theme...468&h=290&zc=1

انتشر عبر موقع الفيسبوك قبل عدة ايام اشعار (تنبيه) يصل للمستخدمين يخبرهم بأن احد الاصدقاء قد قام بالإشارة لهم على منشور. هذا الإشعار هو اشعار وهمي وخبيث فبمجرد النقر عليه لمشاهدة التعليق يطلب منك تحميل ملف بإمتداد JSE ويكون اسمه على الشكل التالي comment_xxxxxxx.jse.


اذا تمت عملية تحميل الملف وتشغيله فإن الضحية سيلاحظ بأنه قد تم اغلاق المتصفح الخاص به وبعدها ستبدأ تصل اشعارات وهمية كالتي وصلت للضحية لأصدقاءه على الفيسبوك لكي يقوم هذا البرنامج الخبيث بنشر نفسه, حيث أن هذا الأمر فقط يعمل اذا كان الضحية يستخدم متصفح Chrome.


بمجرد ان تم اخبارنا من قبل اصدقاء بوجود مثل هذا الأمر. قمنا بالبحث عن الغاية مه فوجدنا بأنه قد انتشر بشكل كبير لمستخدمي الفيسبوك وقد اصاب عدد كبير جداً من الأجهزة.


تواصلت مع احد الأصدقاء وهو احد المختصين بمجال تحليل البرامج الخبيثة و الهندسة العكسية (يمكنكم زيارة صفحته من هنا : https://www.facebook.com/zhiri.ismail ) وقام بتزويدي ببعض الأمور المفيدة التي ساعدتنا على اجراء واتمام هذا التقرير (وخاصة بأنه قد قام بتزويدي بالملف الذي يتم تحميله بإمتداد jse) كما أننا وجدنا نقاشاً على موقع stackexchange ساعدنا في فهم بعض الأمور.


لكن قبل ان نقوم بكتابة هذا الموضوع كنا قد نشرنا ثلانة أجزاء على المنتدى توضح عدة امور عن اختراق الفايسبوك .هده الثغرة التي بصدد شرحها الان هي ملف خبيث ووجدنا بأنه عبارة عن برنامج فدية أو Ransomware ينشر نفسه عبر اضافة وهمية يتم تثبيتها على متصفح Chrome عبر ملف jse الذي يتم تحميله وتشغيله على جهاز الضحية وهو يصيب ويؤثر فقط على أنظمة تشغيل ويندوز. الا ان هذا البرنامج الخبيث هو جزء من شبكة Botnet وانه ينشر نفسه عبر جميع المتصفحات ويصيب جميع أنظمة التشغيل.


قمنا بعدها بإعادة عملية التحليل والبحث ووجدنا بأن هذا البرنامج الخبيث هو برنامج من نوع حصان طروادة (Trojan Horse) يحتوي على خصائص خبيثة مثل التجسس على لوحة المفاتيح للضحية و الإتصال بجهاز المخترق عن بعد وغيرها من الأمور الأخرى, لكنه لا يقوم بنشر نفسه سوى بواسطة متصفح الكروم ولا يصيب الا أنظمة تشغيل ويندوز وهذا ما سنوضحه في هذا التقرير.


دعونا نبدا الآن في هذا التقرير.. بإسم الله نبدأ :)



أولاً : وصول الإشعار الوهمي.

بعد أن يصل للضحية اشعار وهمي بأن احد الأصدقاء قد اشار له في تعليق على احدى المنشورات وبمجرد النقر على هذا الإشعار يتم الطلب من الضحية ان يقوم بتحميل ملف بإمتداد JSE (حيث وجد بأن الملف تم رفعه على خدمات جوجل لرفع الملفات وتم حذفه بعد التعرف على انه برنامج خبيث) وفي حالة كان المتصفح لديك قد تم اعداده مسبقاً لفتح الملفات بشكل تلقائي بعد ان تتم عملية تحميلها سيتم فتحه بشكل تلقائي ويبدأ بعمله.


هذا الإمتداد يعود لملفات مكتوبة بلغة Javascript الا انه قد تم حمايتها من عملية قراءة الشفرة المصدرية عبر عمل ما يسمى Encoding لبعض محتوياته (للتعرف على مفهوم الـ Encoding يمكنك قراءة الموضوع التالي :إضغط هنا ) بالإضافة الى ان هذه الطريقة تعتبر احدى طرق تجاوز برامج كشف الفيروسات والحماية المختلفة.




ثانياً : تحليل ملف الـ Javascript.

عند فتح الملف واستعراضه عبر أي معالج من معالجات النصوص نجد بأن السطر الأول فيه عبارة عن مصفوفة (Array) والبيانات الموجودة بداخلها تم عمل encoding للنص فيها ليصبح على شكل HEX

بعدها وجدنا مصفوحة تحتوي على العديد من الأمور مثل اسماء ملفات سيتم تحميلها بإمتداد jbg والتي سيتم تغيير امتدادها لاحقاً حسب ماهو موجود في المصفوفة (وهذا ما سنوضحه بعد قليل) بالإضافة الى بعض الإعدادات والمهام التي سيقوم هذا السكريبت بإجراءها.




قمنا بتحليل الدوال الموجودة في الملف. الدالة الأولى والتي تدعى (_0xc4a4x2) تقوم بعمل طلبات من نوع GET Request لتحميل الملفات الموجودة في المصفوفة السابقة و تغيير امتداداتها من jpg للإمتداد المطلوب

الدالة الثانية والتي تدعى (_0xc4a4x6) لم نعلم ما الغاية منها لأنها غير مستخدمة أبداً في هذا السكريبت وقد يكون لها استخدام مستقبلي من قبل المخترقين

ووجدنا جزء يفحص اذا كان هنالك مجلد بإسم Mozila موجود على المسار التالي (%appdata%) ام لا, واذا لم يكن موجود يقوم بإنشاءه وبعدها يقوم بإضافة المسار التالي (%appdata%\Mozila) للمتغير الذي يدعى Path في إعدادات المستخدم على نظام تشغيل ويندوز للضحية وهو مكافيء لـلمسار التالي :



C:\Users\VictimUserName\AppData\Roaming\Mozila



بعد ذلك يقوم هذا الجزء بتشغيل ملف run.bat وهو ملف يتكون من سطرين فقط حيث يقوم بتشغيل ملف autoit.exe ويمرر له ملف آخر يدعى ekl.au3 كمتغير وهما ملفان تم تحميلهما سابقاً بواسطة أول دالة.

* ملاحظات :

– VictimUserName هي عبارة عن اسم المستخدم على جهاز الضحية.

– المسار السابق هو المسار الذي يتم تحميل وحفظ جميع الملفات الخاصة بهذا البرنامج الخبيثة عليه.


ملخص تحليل هذا الملف بأن هذا الملف يعتبر ملف خبيث من نوع Downloader أي ملف لا يقوم بأي شيء سوى تحميل الملفات الخاصة بالبرنامج الخبيث الذي يصيب جهاز الضحية من خادم المخترق كطريقة من طرق تجاوز أنظمة الحماية وكشف الفايروسات.



هذا وقد قمنا بفحص النطاق السابق والذي يتم تحميل الملفات منه فوجدنا بأن المخترقين قد قاموا بإستخدام خدمة لإخفاء بيانات الإتصال الخاصة بصاحب النطاق كما أنه قد تم شراؤه مؤخراً بتاريخ 27-3-2016.


ثالثاً : نظرة حول الملفات التي تم تحميلها في الخطوة السابقة.

– ملفي bg.js و manifest.json هما ملفان خاصان بإضافة (Extension) لمتصفح Chrome والتي يتم استغلالها لنشر الإشارات الوهمية لحسابات اصدقاء الضحية على الفيسبوك.
– ملف ff.zip وهو ملف فارغ لا يحتوي على شيء ولكننا سنجد لاحقاً في هذا التقرير ان هذا الملف هو عبارة عن اضافة Firefox يبدو انه سيتم اعدادها مستقبلاً لجعل هذا البرنامج الخبيث ينتشر عبر متصفح Firefox ايضاً وليس فقط متصفح Chrome.
– ملفات ekl.au3 و force.au3 و sabit.au3 هي ملفات تحتوي على دوال خاصة بهذا البرنامج الخبيث مكتوبة بلغة Autoit والتي يقوم ملف Autoit.exe بتفسيرها وها ما سنقوم بشرحه في الجزء الرابع ان شاء الله تعالى.
– ملف up.au3 هو ملف لم يتم تحميله لأنه على ما يبدو قد تم حذفه من الخادم.



رابعاً : تحليل الملفات بإمتداد au3 والتي يتم تنفيذها من قبل المفسر Autoit.exe.

تعتمد عملية تحليل الملفات الخبيثة على طريقتين رئيسيتين وهما :
– Static Analysis : تعتمد هذه الطريقة على القيام بهندسة عكسية (Reverse Engineering) للبرنامج الخبيث وتحليل الكود البرمجي الناتج عن هذه العملية ولكنها تحتاج لوقت وخبرة ومهارات كبيرة للقيام بهذا الامر.
– Dynamic Analysis : تعتمد هذه الطريقة على تشغيل البرنامج الخبيث ومن ثم مراقبة الأمور التي يقوم بها من إتصالات على الشبكة وعمليات الكتابة والقراءة و التعديل على ملفات نظام التشغيل و مسجل النظام (Regsitry) وغيرها من أمور ومن الممكن ان يتم اجراءها بطريقتين Active (والتي تعني فحص التغيريرات بشكل مباشر) أو Passive (والتي تعني ترك البرنامج الخبيث يعمل لفترة من الزمن و تسجيل وحفظ جميع الفعاليات التي يقوم بها ومن ثم تحليلها).


سنعتمد في التحليل على طريقة Static Analysis وذلك لأن السكريبات المكتوبة بلغة AutoIt يمكن قرائتها وتتبع ما يتم تنفيذه من خلالها.



أول أمر يقوم به هذا البرنامج الخبيث هو أنه يقوم بإيقاف تشغيل المتصفحات المستخدمة من قبل الضحية وهذا ما تظهره الجزئية التالية للسكريبت الخبيث

بعدها يقوم البرنامج بمعرفة مسار وجود الملف التنفيذي للمتصفحات سواءً Chrome او Internet Explorer وأيضاً مسار مجلد Program Files من خلال الدوال

ثم يقوم بحذف الإختصارات (Shortcuts) الخاصة بالمتصفحات ويقوم بإنشاء اختصارات خبيثة خاصة به لتشير على البرنامج الخبيث

بعد ذلك يقوم هذا البرنامج الخبيث بإضافة نفسه لقائمة الـ Startup حتى يحافظ على تشغيله في كل مرة يتم فيها اقفال الجهاز واعادة تشغيله

خامساً : تحليل إضافة متصفح Chrome


كما تبين سابقاً فإن السكريبتات السابقة هي في الغالب مستخدمة فقط لإجراء بعض الإعدادات الخاصة بهذا البرنامج الخبيث والذي يبدو انه يعتمد في عمله على الإضافة الخاصة بمتصفح Chrome.


الإضافة الخبيثة الخاصة بمتصفح Chrome تحصل على صلاحيات كثيرة

وكما ذكرناه في الجزء الرابع بأن السكريبت الخبيث يعمل على حذف الإختصارات الخاصة بالمتصفحات ويستبدلها بإختصارات خبيث والتي تقوم عند تشغيلها بفتح شاشة الدخول لموقع الفيسبوك لتوهم المستخدم بأن المتصفح قد قام بعمل Recovery بسبب توقفه بشكل غير صحيح.



ملف bg.js الخاص بالإضافة يحتوي على مجموعة من النطاقات التي تقوم الإضافة بحجبها عن المستخدم والتي في غالبها مواقع لبرامج مضادات للفايروسات مثل موقع virustotal

تعمل الإضافة على طلب ملف جافا سكريبت بإسم data.js من النطاق التالي appcdn.co والذي يقوم بعمل العديد من الأمور منها :

– الإشارة لأصدقاء صاحب الحساب لنشر نفسه.
– اعتراض جميع الطلبات التي يقوم الضحية بطلبها للحصول على بيانات الدخول.

من الصلاحيات التي تحصل عليها هذه الإضافة يثير الشك بأنه يمكن ان تقوم ايضاً بالقيام بأمور كثيرة اخرى مستقبلاً.


اذا كنت ممن قاموا بالنقر على هذه الإشارة وتعرضوا لمثل هذا البرنامج الخبيث فعليك القيام بمايلي :


– قم بالدخول للمتصفح واعمل على حذف أي اضافة لا تعرفها (ذلك لأن الإضافة الخبيثة يختلف اسمها من ضحية لأخرى).
– قم بالذهاب الى قائمة ابدأ (start menu) وبعدها اكتب run ومن ثم اكتب التالي : %AppData%\Mozila . ستجد بأنه يوجد داخل المجلد العديد من الملفات والتي يجب عليك ان تقوم بحذفها.
– قم بتسجيل الخروج من حسابك على الفيسبوك واي حسابات اخرى و ادخل عليها من جهاز آخر واعمل على تغيير بيانات الدخول لها.
– قم بالذهاب الى قائمة ابدأ مرة أخرى ومن ثم اكتب msconfig وبعدها الى startup وقم بحذف “Samsung Appstore”.
– قم بتنصيب برنامج مكافح فايروسات واعمل على تحديثه وبعدها قم بفحص الجهاز بشكل كامل.


يذكر بأنه قد تم حظر جميع النطاقات التي استخدمها المخترقين لشن هذه الهجمة وتم حذف ملفات الـ javascript من خوادم شركة جوجل الا أن المخترقين بإمكانهم شن مثل هذا النوع من أنواع الهجمات بواسطة نطاقات جديدة. وللحد من مثل هذا النوع من أنواع الهجمات يرجى الغاء التشغيل التلقائي للملفات بعد انتهاء تحميلها من اعدادات المتصفح كما انه يجب ان تكون على وعي مستقبلاً بعد الإنجرار لتحميل وتشغيل مثل هذه الملفات.

هذا التقرير قيد التعديل والأضافة ففي حال ان اي منكم وجد اي شيء اضافي او خاطيء يرجى كتابة تعليق ينبهنا به لكي نقوم بتعديله :) وشكر ا


لم أشأ وضع السكربت لكن بامكانكم الحصول على أجزاء منه و الاستفادة أكثر عند مشاهدته من هنا
hg[.x hgvhfu , hghodv - 'vr kav hgv,hf' hgofdem ugn hgtdsf,; (jrvdv p,g thdv,s hgYahvm td jugdrhj hgtdsf,;)


الساعة الآن 19:59

Coobra.Net ©2017



الامتياز

Protected by Coobra Team

3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 28 29 31 32 33 34 35 36 37 38 39 40 41 43 44 45 46 47 48 51 52 53 54 55 56 57 58 59 60 62 63 64 65 66 67 68 69 70 71 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127