كوبرا نت - Coobra.Net

|-| مركز رفع الصور والملفات |-|

|-| مدونة الكوبرا |-| متجر معدات التجسس |-| دليل المواقع |-| استضافة الكوبرا |-|

|-| مواقيت الصلاة |-| تحويل العملات |-| لوحة المفاتيح العربية |-| شاهد الأرض من الفضاء |-|

منتديات الكوبرا ترحب بمتابعينا من جميع الدول العربية

السعودية الجزائر مصر العراق الأردن المغرب فلسطين تونس الامارات قطر لبنان الكويت البحرين ليبيا موريطانيا عمان السودان سوريا اليمن

عرض محدود : عملاق اختراق الإيميل Grave HotMail v2.17 2017 بـ150دولار لفترة محدودة

تسجل الآن في اقوى دورة مدفوعة لاكتساب مهارات الهكر الاحترافي

أهلا بك في منتديات الكوبرا, نتشرف بزيارتك ويسرنا انضمامك الينا, نرجو ان تطلع على قوانين وشروط المنتدى قبل طرح اي مشاركة جديدة.

ملاحظة : تم اضافة أقسام جديدة, فبادرو بالمشاركة فيها وشكرا

ملاحظة مهمة : لتعديل مشاركتك يرجى استعمال متصفح جوجل كروم

Coobra.Net grave hotmail hacker الجمعية الخيرية لتحفيظ القرآن الكريم في منطقة الرياض
Coobra.Net Coobra.Net Coobra.Net Coobra.Net Coobra.Net


العودة   كوبرا نت - Coobra.Net > منتديات الهكر و الاختراق > منتدى اختراق الايميل الحسابات و الشات

منتدى اختراق الايميل الحسابات و الشات اختراق البريد الالكتروني الحسابات الدردشة الصوتية والكتابية

Tags H1 to H6

كوبرا نت - Coobra.Net

[ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)

[ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)

[ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)

إنشاء موضوع جديد  إضافة رد
 
أدوات الموضوع إبحث في الموضوع
قديم 08-19-16, 23:15   المشاركة رقم: 1
المعلومات
الكاتب:
alcrackr
اللقب:
عضو ممتاز
الرتبة:

البيانات
التسجيل: Dec 2015
العضوية: 270
المشاركات: 350
بمعدل : 0.75 يوميا

الإتصالات
الحالة:
alcrackr غير متواجد حالياً
وسائل الإتصال:

المنتدى : منتدى اختراق الايميل الحسابات و الشات
افتراضي [ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)

بسم الله الرحمن الرحيم

[ شرح ] الجزء الرابع و الاخير - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك)

[ شرح ] الجزء الرابع و الاخير  - طرق نشر الروابط الخبيثة على الفيسبوك (تقرير حول فايروس الإشارة في تعليقات الفيسبوك) coobra.net

انتشر عبر موقع الفيسبوك قبل عدة ايام اشعار (تنبيه) يصل للمستخدمين يخبرهم بأن احد الاصدقاء قد قام بالإشارة لهم على منشور. هذا الإشعار هو اشعار وهمي وخبيث فبمجرد النقر عليه لمشاهدة التعليق يطلب منك تحميل ملف بإمتداد JSE ويكون اسمه على الشكل التالي comment_xxxxxxx.jse.


اذا تمت عملية تحميل الملف وتشغيله فإن الضحية سيلاحظ بأنه قد تم اغلاق المتصفح الخاص به وبعدها ستبدأ تصل اشعارات وهمية كالتي وصلت للضحية لأصدقاءه على الفيسبوك لكي يقوم هذا البرنامج الخبيث بنشر نفسه, حيث أن هذا الأمر فقط يعمل اذا كان الضحية يستخدم متصفح Chrome.


بمجرد ان تم اخبارنا من قبل اصدقاء بوجود مثل هذا الأمر. قمنا بالبحث عن الغاية مه فوجدنا بأنه قد انتشر بشكل كبير لمستخدمي الفيسبوك وقد اصاب عدد كبير جداً من الأجهزة.


تواصلت مع احد الأصدقاء وهو احد المختصين بمجال تحليل البرامج الخبيثة و الهندسة العكسية (يمكنكم زيارة صفحته من هنا : https://www.facebook.com/zhiri.ismail ) وقام بتزويدي ببعض الأمور المفيدة التي ساعدتنا على اجراء واتمام هذا التقرير (وخاصة بأنه قد قام بتزويدي بالملف الذي يتم تحميله بإمتداد jse) كما أننا وجدنا نقاشاً على موقع stackexchange ساعدنا في فهم بعض الأمور.


لكن قبل ان نقوم بكتابة هذا الموضوع كنا قد نشرنا ثلانة أجزاء على المنتدى توضح عدة امور عن اختراق الفايسبوك .هده الثغرة التي بصدد شرحها الان هي ملف خبيث ووجدنا بأنه عبارة عن برنامج فدية أو Ransomware ينشر نفسه عبر اضافة وهمية يتم تثبيتها على متصفح Chrome عبر ملف jse الذي يتم تحميله وتشغيله على جهاز الضحية وهو يصيب ويؤثر فقط على أنظمة تشغيل ويندوز. الا ان هذا البرنامج الخبيث هو جزء من شبكة Botnet وانه ينشر نفسه عبر جميع المتصفحات ويصيب جميع أنظمة التشغيل.


قمنا بعدها بإعادة عملية التحليل والبحث ووجدنا بأن هذا البرنامج الخبيث هو برنامج من نوع حصان طروادة (Trojan Horse) يحتوي على خصائص خبيثة مثل التجسس على لوحة المفاتيح للضحية و الإتصال بجهاز المخترق عن بعد وغيرها من الأمور الأخرى, لكنه لا يقوم بنشر نفسه سوى بواسطة متصفح الكروم ولا يصيب الا أنظمة تشغيل ويندوز وهذا ما سنوضحه في هذا التقرير.


دعونا نبدا الآن في هذا التقرير.. بإسم الله نبدأ :)



أولاً : وصول الإشعار الوهمي.

بعد أن يصل للضحية اشعار وهمي بأن احد الأصدقاء قد اشار له في تعليق على احدى المنشورات وبمجرد النقر على هذا الإشعار يتم الطلب من الضحية ان يقوم بتحميل ملف بإمتداد JSE (حيث وجد بأن الملف تم رفعه على خدمات جوجل لرفع الملفات وتم حذفه بعد التعرف على انه برنامج خبيث) وفي حالة كان المتصفح لديك قد تم اعداده مسبقاً لفتح الملفات بشكل تلقائي بعد ان تتم عملية تحميلها سيتم فتحه بشكل تلقائي ويبدأ بعمله.


هذا الإمتداد يعود لملفات مكتوبة بلغة Javascript الا انه قد تم حمايتها من عملية قراءة الشفرة المصدرية عبر عمل ما يسمى Encoding لبعض محتوياته (للتعرف على مفهوم الـ Encoding يمكنك قراءة الموضوع التالي :إضغط هنا ) بالإضافة الى ان هذه الطريقة تعتبر احدى طرق تجاوز برامج كشف الفيروسات والحماية المختلفة.




ثانياً : تحليل ملف الـ Javascript.

عند فتح الملف واستعراضه عبر أي معالج من معالجات النصوص نجد بأن السطر الأول فيه عبارة عن مصفوفة (Array) والبيانات الموجودة بداخلها تم عمل encoding للنص فيها ليصبح على شكل HEX

بعدها وجدنا مصفوحة تحتوي على العديد من الأمور مثل اسماء ملفات سيتم تحميلها بإمتداد jbg والتي سيتم تغيير امتدادها لاحقاً حسب ماهو موجود في المصفوفة (وهذا ما سنوضحه بعد قليل) بالإضافة الى بعض الإعدادات والمهام التي سيقوم هذا السكريبت بإجراءها.




قمنا بتحليل الدوال الموجودة في الملف. الدالة الأولى والتي تدعى (_0xc4a4x2) تقوم بعمل طلبات من نوع GET Request لتحميل الملفات الموجودة في المصفوفة السابقة و تغيير امتداداتها من jpg للإمتداد المطلوب

الدالة الثانية والتي تدعى (_0xc4a4x6) لم نعلم ما الغاية منها لأنها غير مستخدمة أبداً في هذا السكريبت وقد يكون لها استخدام مستقبلي من قبل المخترقين

ووجدنا جزء يفحص اذا كان هنالك مجلد بإسم Mozila موجود على المسار التالي (%appdata%) ام لا, واذا لم يكن موجود يقوم بإنشاءه وبعدها يقوم بإضافة المسار التالي (%appdata%\Mozila) للمتغير الذي يدعى Path في إعدادات المستخدم على نظام تشغيل ويندوز للضحية وهو مكافيء لـلمسار التالي :



C:\Users\VictimUserName\AppData\Roaming\Mozila



بعد ذلك يقوم هذا الجزء بتشغيل ملف run.bat وهو ملف يتكون من سطرين فقط حيث يقوم بتشغيل ملف autoit.exe ويمرر له ملف آخر يدعى ekl.au3 كمتغير وهما ملفان تم تحميلهما سابقاً بواسطة أول دالة.

* ملاحظات :

– VictimUserName هي عبارة عن اسم المستخدم على جهاز الضحية.

– المسار السابق هو المسار الذي يتم تحميل وحفظ جميع الملفات الخاصة بهذا البرنامج الخبيثة عليه.


ملخص تحليل هذا الملف بأن هذا الملف يعتبر ملف خبيث من نوع Downloader أي ملف لا يقوم بأي شيء سوى تحميل الملفات الخاصة بالبرنامج الخبيث الذي يصيب جهاز الضحية من خادم المخترق كطريقة من طرق تجاوز أنظمة الحماية وكشف الفايروسات.



هذا وقد قمنا بفحص النطاق السابق والذي يتم تحميل الملفات منه فوجدنا بأن المخترقين قد قاموا بإستخدام خدمة لإخفاء بيانات الإتصال الخاصة بصاحب النطاق كما أنه قد تم شراؤه مؤخراً بتاريخ 27-3-2016.


ثالثاً : نظرة حول الملفات التي تم تحميلها في الخطوة السابقة.

– ملفي bg.js و manifest.json هما ملفان خاصان بإضافة (Extension) لمتصفح Chrome والتي يتم استغلالها لنشر الإشارات الوهمية لحسابات اصدقاء الضحية على الفيسبوك.
– ملف ff.zip وهو ملف فارغ لا يحتوي على شيء ولكننا سنجد لاحقاً في هذا التقرير ان هذا الملف هو عبارة عن اضافة Firefox يبدو انه سيتم اعدادها مستقبلاً لجعل هذا البرنامج الخبيث ينتشر عبر متصفح Firefox ايضاً وليس فقط متصفح Chrome.
– ملفات ekl.au3 و force.au3 و sabit.au3 هي ملفات تحتوي على دوال خاصة بهذا البرنامج الخبيث مكتوبة بلغة Autoit والتي يقوم ملف Autoit.exe بتفسيرها وها ما سنقوم بشرحه في الجزء الرابع ان شاء الله تعالى.
– ملف up.au3 هو ملف لم يتم تحميله لأنه على ما يبدو قد تم حذفه من الخادم.



رابعاً : تحليل الملفات بإمتداد au3 والتي يتم تنفيذها من قبل المفسر Autoit.exe.

تعتمد عملية تحليل الملفات الخبيثة على طريقتين رئيسيتين وهما :
– Static Analysis : تعتمد هذه الطريقة على القيام بهندسة عكسية (Reverse Engineering) للبرنامج الخبيث وتحليل الكود البرمجي الناتج عن هذه العملية ولكنها تحتاج لوقت وخبرة ومهارات كبيرة للقيام بهذا الامر.
– Dynamic Analysis : تعتمد هذه الطريقة على تشغيل البرنامج الخبيث ومن ثم مراقبة الأمور التي يقوم بها من إتصالات على الشبكة وعمليات الكتابة والقراءة و التعديل على ملفات نظام التشغيل و مسجل النظام (Regsitry) وغيرها من أمور ومن الممكن ان يتم اجراءها بطريقتين Active (والتي تعني فحص التغيريرات بشكل مباشر) أو Passive (والتي تعني ترك البرنامج الخبيث يعمل لفترة من الزمن و تسجيل وحفظ جميع الفعاليات التي يقوم بها ومن ثم تحليلها).


سنعتمد في التحليل على طريقة Static Analysis وذلك لأن السكريبات المكتوبة بلغة AutoIt يمكن قرائتها وتتبع ما يتم تنفيذه من خلالها.



أول أمر يقوم به هذا البرنامج الخبيث هو أنه يقوم بإيقاف تشغيل المتصفحات المستخدمة من قبل الضحية وهذا ما تظهره الجزئية التالية للسكريبت الخبيث

بعدها يقوم البرنامج بمعرفة مسار وجود الملف التنفيذي للمتصفحات سواءً Chrome او Internet Explorer وأيضاً مسار مجلد Program Files من خلال الدوال

ثم يقوم بحذف الإختصارات (Shortcuts) الخاصة بالمتصفحات ويقوم بإنشاء اختصارات خبيثة خاصة به لتشير على البرنامج الخبيث

بعد ذلك يقوم هذا البرنامج الخبيث بإضافة نفسه لقائمة الـ Startup حتى يحافظ على تشغيله في كل مرة يتم فيها اقفال الجهاز واعادة تشغيله

خامساً : تحليل إضافة متصفح Chrome


كما تبين سابقاً فإن السكريبتات السابقة هي في الغالب مستخدمة فقط لإجراء بعض الإعدادات الخاصة بهذا البرنامج الخبيث والذي يبدو انه يعتمد في عمله على الإضافة الخاصة بمتصفح Chrome.


الإضافة الخبيثة الخاصة بمتصفح Chrome تحصل على صلاحيات كثيرة

وكما ذكرناه في الجزء الرابع بأن السكريبت الخبيث يعمل على حذف الإختصارات الخاصة بالمتصفحات ويستبدلها بإختصارات خبيث والتي تقوم عند تشغيلها بفتح شاشة الدخول لموقع الفيسبوك لتوهم المستخدم بأن المتصفح قد قام بعمل Recovery بسبب توقفه بشكل غير صحيح.



ملف bg.js الخاص بالإضافة يحتوي على مجموعة من النطاقات التي تقوم الإضافة بحجبها عن المستخدم والتي في غالبها مواقع لبرامج مضادات للفايروسات مثل موقع virustotal

تعمل الإضافة على طلب ملف جافا سكريبت بإسم data.js من النطاق التالي appcdn.co والذي يقوم بعمل العديد من الأمور منها :

– الإشارة لأصدقاء صاحب الحساب لنشر نفسه.
– اعتراض جميع الطلبات التي يقوم الضحية بطلبها للحصول على بيانات الدخول.

من الصلاحيات التي تحصل عليها هذه الإضافة يثير الشك بأنه يمكن ان تقوم ايضاً بالقيام بأمور كثيرة اخرى مستقبلاً.


اذا كنت ممن قاموا بالنقر على هذه الإشارة وتعرضوا لمثل هذا البرنامج الخبيث فعليك القيام بمايلي :


– قم بالدخول للمتصفح واعمل على حذف أي اضافة لا تعرفها (ذلك لأن الإضافة الخبيثة يختلف اسمها من ضحية لأخرى).
– قم بالذهاب الى قائمة ابدأ (start menu) وبعدها اكتب run ومن ثم اكتب التالي : %AppData%\Mozila . ستجد بأنه يوجد داخل المجلد العديد من الملفات والتي يجب عليك ان تقوم بحذفها.
– قم بتسجيل الخروج من حسابك على الفيسبوك واي حسابات اخرى و ادخل عليها من جهاز آخر واعمل على تغيير بيانات الدخول لها.
– قم بالذهاب الى قائمة ابدأ مرة أخرى ومن ثم اكتب msconfig وبعدها الى startup وقم بحذف “Samsung Appstore”.
– قم بتنصيب برنامج مكافح فايروسات واعمل على تحديثه وبعدها قم بفحص الجهاز بشكل كامل.


يذكر بأنه قد تم حظر جميع النطاقات التي استخدمها المخترقين لشن هذه الهجمة وتم حذف ملفات الـ javascript من خوادم شركة جوجل الا أن المخترقين بإمكانهم شن مثل هذا النوع من أنواع الهجمات بواسطة نطاقات جديدة. وللحد من مثل هذا النوع من أنواع الهجمات يرجى الغاء التشغيل التلقائي للملفات بعد انتهاء تحميلها من اعدادات المتصفح كما انه يجب ان تكون على وعي مستقبلاً بعد الإنجرار لتحميل وتشغيل مثل هذه الملفات.

هذا التقرير قيد التعديل والأضافة ففي حال ان اي منكم وجد اي شيء اضافي او خاطيء يرجى كتابة تعليق ينبهنا به لكي نقوم بتعديله :) وشكر ا


لم أشأ وضع السكربت لكن بامكانكم الحصول على أجزاء منه و الاستفادة أكثر عند مشاهدته من هنا

hg[.x hgvhfu , hghodv - 'vr kav hgv,hf' hgofdem ugn hgtdsf,; (jrvdv p,g thdv,s hgYahvm td jugdrhj hgtdsf,;)

 



مواضيع ذات صلة


عرض البوم صور alcrackr   رد مع اقتباس
إنشاء موضوع جديد  إضافة رد

مواقع النشر (المفضلة)

أدوات الموضوع إبحث في الموضوع
إبحث في الموضوع:

البحث المتقدم

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

اعلانات نصية

# أفضل برنامج للتجسس على الجوال _-_ أقوى برنامج لاختراق بريد الهوتميل -_- منتديات الكوبرا - Forum Coobra _-_ استضافة الكوبرا المجانية -_- شاهد منزلك عبرالأقمار الصناعية _-_ برامج هكر مدفوعة -_- مواقيت الصلاة _-_ تحويل العملات -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ -_- _-_ #


الساعة الآن 22:15

أقسام المنتدى

منتديات عامة | منتديات الأمن والحماية, Security | الكمبيوتر و الألعاب و الستلايت | منتديات الهكر و الاختراق | منتديات تطوير المواقع الالكترونية | الاقتراحات والشكاوي | الدين الاسلامي - العام | منتدى حماية الكمبيوتر و الشبكات - PC Security | منتدى حماية الايميل و الحسابات - E-Mail Security | منتدى حماية المواقع و السيرفرات - Web Security | مشاكل وحلول وأسرار الكمبيوتر والانترنت | قسم انظمة التشغيل ويندوز - Windows OS | منتدى البرامج الكاملة و الشرح | منتدى الاتصالات و الجوال - العام | منتدى الجرافيك و الفوتوشوب - Photoshop | منتدى كشف التلغيم - Files Security | منتدى اختراق الأجهزة و الشبكات | منتدى اختراق الايميل الحسابات و الشات | منتدى اختراق المواقع و السيرفرات | منتدى اختراق الجوال و الاندرويد | منتدى الفيروسات * Virus | منتدى الباك تراك _ BackTrack | منتدى تطوير المواقع و المدونات | ركن تطوير منتديات = vBulletin | ثغرات المواقع و السيرفرات | آخر اخبار الهكر تجدها هنا | مكتبة كتب الهكر القرصنة و التجسس | منتدى شبكة جوحل google | الأخبار - News | التواصل الاجتماعي | ركن السبام و بطاقات الائتمان - SPAM | الرياضة و كرة القدم - football Sport | معرض انجازات و تجارب الهكرز | منتدى العاب الكمبيوتر - PC Games | قسم المشاكل و الاستفسارات | منتدى التبادل الاعلاني | النباتات و الحيوانات و الطبيعة | الابلاغ عن الملفات و الروابط الملغومة | ثغرات الاجهزة و الشبكات | ثغرات الايميل الحسابات و الشات | ثغرات الجوال | أدوات السبام | السوق السوداء للهكر | القرأن الكريم و علومه | الحديث الشريف و السنة | طلبات البرامج و الكراكات و المساعدة | آبل - Apple | أندرويد - Android | بلاك بيري - BlackBerry | ويندوز فون - Windows Phone | عالم الفضائيات و الستلايت | ساحة التجارة الالكترونية | دروس و أدوات التصميم | التصميم ثلاثي الأبعاد 3D | دليل الكوبرا للمواقع العربية | ركن أدلة المواقع | PlayStation | Xbox 360 | آخر أخبار التكنولوجيا | منتديات اسلامية | التشفير و أدواته | ركن طلبات التصميم والبرمجة والدعم الفني | فضاء الربح من الأنترنت | منتديات منوعة | منتدى السيارات و الدراجات | الطب البديل علاج طبيعي | ورشة السيارات | ورشة الدراجات | قسم المتخصصين | برامج بورتابل | المنتديات البرمجية | برمجة المواقع - ASP.NET - PHP | لغة الفيجوال بيسك VB.NET | قسم لغة الجافا - Java | قسم برمجة الاندرويد بـ #Xamarin C | قسم لغة الدلفي - Delphi | قسم البريد و الماسنجر - E-Mail & Messenger | قسم برمجة و تطوير تطبيقات الأندرويد | قسم Visual Basic 6 و ما قبله | منتدى علوم الفلك و الفضاء | download full free software | دورات الهكر | استايلات 3.x.x | ركن تقنيات المواقع SEO و XML و RSS و محركات البحث | تسجيل الاختراقات | استايلات 4.x.x | استايلات 5.x.x | منتدى القصص الحكايات و الروايات | منتدى الطرائف النكت و الألغاز | التاريخ و التراث و الحاضرة | الشعر العربي القديم و الحديث | فضائح و جرائم - فضائح عالمية و عربية | منتديات الاتصالات و الهواتف الذكية | الحوار السياسي و النقاش الحر | منتديات ترفيهية | منتديات الجرافيك و المونتاج | قسم المونتاج و تحرير الفيديو | صور للتصميم - صور للتصاميم | الراوترات والمودمات - modem & router | منتدى حماية الهواتف الذكية - Mobile Security | أقسام أرشيف المنتدى | منتديات ثقافية | مكتبة الكتب الناذرة | قسم البرامج الوثائقية و الثقافية | منتدى الاختراعات و الابتكارات | أنظمة التشغيل مفتوحة المصدر | منتدى تعليم اللغات و اللهجات | ركن عروض التصميم والبرمجة والدعم الفني | ركن عروض وطلبات النطاقات - Domain Sales | ركن عروض شركات الاستضافة - Hosting Offers | سؤال وجواب , ركن الإستفسارات العامة | أرشيف المنتدى - مواضيع مختلفة | برامج وأنظمة تشغيل الماك - Mac OS & Software | %Temp% | التصوير الفوتوغرافي - فن التصوير | غرائب و عجائب و صور ناذرة | السمعيات و المرئيات الإسلامية |



Coobra.Net

جميع الحقوق محفوظة لشبكة الكوبرا ®

google google images bing bing images yahoo yahoo images

Coobra.Net ©2017