شكرا لشركة @PaloAltoNtwks بالو آلتو على حفظ الحقوق ونشر تغريداتي عن موضوع الهجمة المذكورة بالتقرير.
بإذن الله غدا سأكتب بتفاصيل أكثر عن هذه الهجمة وتحليلي لطريقة عمل الفايروس المستخدم.
يذكر اني بحمدالله عملت محاضرة بمؤتمر NSC في هولندا عن هذه الهجمة.
unit42.paloaltonetworks.com
بإذن الله غدا سأكتب بتفاصيل أكثر عن هذه الهجمة وتحليلي لطريقة عمل الفايروس المستخدم.
يذكر اني بحمدالله عملت محاضرة بمؤتمر NSC في هولندا عن هذه الهجمة.
unit42.paloaltonetworks.com
كما وعدتكم سأتكلم بشكل مختصر جدا عن قصة هذا الفايروس.
كنت وقتها اعمل بجهة حكومية وكنت وقتها مهتماً أكثر بموضوع تحليل الفايروسات،و سبحان الله فجأة وصل بإيميلي الرسمي هناك رسالة مفخخة تحتوي على فايروس.
وصلت لبريدي بالإضافة لآخرين، فكنت محظوظ لأنها فرصة لتحليل هجمة حقيقية.
كنت وقتها اعمل بجهة حكومية وكنت وقتها مهتماً أكثر بموضوع تحليل الفايروسات،و سبحان الله فجأة وصل بإيميلي الرسمي هناك رسالة مفخخة تحتوي على فايروس.
وصلت لبريدي بالإضافة لآخرين، فكنت محظوظ لأنها فرصة لتحليل هجمة حقيقية.
وعند تحليل الفايروس الذي وصل لبريدي الحكومي خطرت ببالي فكرة أن اقوم بتوثيق التحليل (نصيحة: قم توثيق كل جهد تقوم به مهما كان بسيطاً فهو بالتأكيد ثمين لغيرك وسيكون بمثابة دعاية تعمل لك مجانا).
فقمت بعمل slides التي سأشاركها والتي كانت من ضمن مجموعة فايروسات عرضت تحليلها في المؤتمر
فقمت بعمل slides التي سأشاركها والتي كانت من ضمن مجموعة فايروسات عرضت تحليلها في المؤتمر
هذا شكل الايميل الذي وصل لي ويحتوي على رابط لملف مضغوط وباسم قائمة النماذج العامة يعني عنوان يبدو كأنه متعلق بالعمل.
يذكر ان المهاجمين قاموا بعمل تزوير spoofing لعنوان المرسل ليبدو قادماً من داخل الجهة.
الفايروس تم رفعه على موقع شركة كويتية حتى يبدو وكأنه موثوق.
يذكر ان المهاجمين قاموا بعمل تزوير spoofing لعنوان المرسل ليبدو قادماً من داخل الجهة.
الفايروس تم رفعه على موقع شركة كويتية حتى يبدو وكأنه موثوق.
الملف المضغوط يحتوي على عدة ملفات.
أولها مجلد خفي اسمه $RecycleBin حتى يبدو وكأنه ملف من السستم (سلة المهملات)، وأيضا ملف Word من نوعية docm لكنه فارغ وأيضا ملف اختصار shortcut.
طبعا الاختصار بحقيقة الأمر هو أمر تشغيل لملف VBS سكريبت موجود داخل المجلد الخفي عن طريق script host
أولها مجلد خفي اسمه $RecycleBin حتى يبدو وكأنه ملف من السستم (سلة المهملات)، وأيضا ملف Word من نوعية docm لكنه فارغ وأيضا ملف اختصار shortcut.
طبعا الاختصار بحقيقة الأمر هو أمر تشغيل لملف VBS سكريبت موجود داخل المجلد الخفي عن طريق script host
ملف السكربت بالصورة السابقة جنبه ملفين صيغة صور jpg لكنها ليست صور ولا قالها الله بل هي ملفات Powershell ولكن تم اعطائها صيغة jpg لإخفاء كونها فايروس.
سكريبت الvbs وظيفته فقط تشغيل كود الpowershell المخزن داخل ملفات الصور المزيفة.
سكريبت الvbs وظيفته فقط تشغيل كود الpowershell المخزن داخل ملفات الصور المزيفة.
اما عند تحليل احد هذه الملفات فنجد ان فيها دالة t وظيفتها صنع عنوان نطاق بصيغة something.firewallsupports_com
ولكن الجزء الأول من العنوان جزء منه عشوائي (لمنع الcaching) وجزء منه بالحقيقة لغة مدمجة، ثم يتم عمل lookup لهذا العنوان باستخدام أمر ping بدلا من nslookup لتجاوز الكشف
ولكن الجزء الأول من العنوان جزء منه عشوائي (لمنع الcaching) وجزء منه بالحقيقة لغة مدمجة، ثم يتم عمل lookup لهذا العنوان باستخدام أمر ping بدلا من nslookup لتجاوز الكشف
الفكرة ان أمر ping سيقوم بجلب الip الخاص بهذا العنوان domain وثم تسجيل الرد وهي IP على صيغة الip المعروفة أربع خانات كل خانة فيها byte واحد x.x.x.x
بعد قراءة رد الدالة t والتي ترجع الIP يتم فحص الIP الراجع والقيام ببعض الأمور حسب القيمة، وأهمها هو القيام بعمل المزيد من طلبات الdns.
الفكرة هنا هو القيام بعملية الcommand&control مع سيرفر الهاكر عن طريق بروتوكول DNS او ما يسمى dns tunneling.
يتم تضبيط كل رد على صيغة Ascii
الفكرة هنا هو القيام بعملية الcommand&control مع سيرفر الهاكر عن طريق بروتوكول DNS او ما يسمى dns tunneling.
يتم تضبيط كل رد على صيغة Ascii
ثم بعدها يتم قراءة الIP كأنه كلمة Ascii َ Ascii تعني حروف انجليزية وكان الip الراجع كلمة مكونة من أربع حروف انجليزية (او أرقام) ثم يتم تجميع هذه الحروف لصنع أمر command كامل وإرساله للwindows cmd.
وبهذا يتك تبادل الاوامر مع السيرفر عن طريق الdns requests and responses.
مثال:
وبهذا يتك تبادل الاوامر مع السيرفر عن طريق الdns requests and responses.
مثال:
هذا مثال على طريقة عمل هذا الc2c باستخدام الdns.
مثلا IP بالشكل المتاح بالصورة بحيث كل رقم يتم ترجمته decimal to ascii ليكون حرف مكتوب: مثلا Calc وهو اسم برنامج الآلة الحاسبة.
او المثال الآخر وهو امر powershell موزع على ثلاث IPs بحيث يتم قراءة هذا الأمر قطعة قطعة.
الدروس:
مثلا IP بالشكل المتاح بالصورة بحيث كل رقم يتم ترجمته decimal to ascii ليكون حرف مكتوب: مثلا Calc وهو اسم برنامج الآلة الحاسبة.
او المثال الآخر وهو امر powershell موزع على ثلاث IPs بحيث يتم قراءة هذا الأمر قطعة قطعة.
الدروس:
وثق كل عملك.
و أظهر توثيقك للعمل show your work كررتها كثيرا واكررها الآن.
لا تضيع وقت قمت بعمل شي مفيد فيه. وثقه.
تم ذكر تحليلي السابق بتغريدة بالمواقع التالية.
باختصار وثق كل ما تقوم به من أمور مفيدة.
هذه المحاضرة عرضتها اليوم بالكامل في @barcampKW
وسلامتكم.
و أظهر توثيقك للعمل show your work كررتها كثيرا واكررها الآن.
لا تضيع وقت قمت بعمل شي مفيد فيه. وثقه.
تم ذكر تحليلي السابق بتغريدة بالمواقع التالية.
باختصار وثق كل ما تقوم به من أمور مفيدة.
هذه المحاضرة عرضتها اليوم بالكامل في @barcampKW
وسلامتكم.
جاري تحميل الاقتراحات...