مدونة سايبركوف للأمن الإلكتروني – Cyberkov Official Blog في العمق | تحليلات وتحقيقات وأخبار أمن المعلومات
الهاكرز منتشرون بكل مكان ويزدادون يوماً بعد يوم وتختلف أساليبهم وأهدافهم، منهم من يخترق المؤسسات الحكومية ليوصل رسالة سياسية، ومنهم من يخترق بهدف جمع الوثائق والأسرار، ومنهم من يخترق بهدف جمع المال ومنهم من يخترق بلا حس أو خبر ويجمع المعلومات لسنين عديدة ثم يذهب، ومنهم من يتبع أجهزة أمنية يخترق لأهداف إستخباراتية ومنهم هاكرز خبثاء يخترق البسطاء من الناس بهدف الايقاع بهم ثم تهديدهم او إبتزازهم وهو موضوعنا اليوم.
وصلتنا بعض التقارير من مستخدمي موقع كويتي مشهور وهو موقع ومنتدى ( كويتيات ) عن وجود صفحة مشبوهة قد تحتوي فايروس وقد أصابت بعض الأجهزة بالفعل، وقاموا بتزويدنا بالرابط وتحققنا من الموضوع، وبدأت ملاحقة أحد الهاكرز المخادعين الذي كان جل همه هو إختراق البسطاء من الناس ثم البحث عن صورهم في أجهزتهم وتشغيل كامراتهم وتصويرهم ثم نقل هذه الصورة لسيرفرات خارجية يقوم هو بعد ذلك بنسخها ثم إبتزازهم او فضحهم او تهديدهم.
ليست هذه المرة الأولى التي نقوم بها، ولكننا أحببنا مشاركة هذا التحليل مع زوار الموقع ليعرفوا كيف يعمل بعض الهاكرز وكيف يخفي آثاره وكيف يقوموا بنشر فايروساتهم بالمواقع المشهورة وكيف يتم تحليل برامجهم التجسيسة وسندخل هنا ببعض الشيء من التفصيل.
في البداية وبعد إبلاغنا بموضوع الصفحة المشبوهه بموقع كويتيات، قام الفريق بزيارة الصفحة وتحليلها وبالفعل وجدنا فايروس مخادع عبارة عن توقيع لأحد مشرفي المنتدى وكأنه ( بالظاهر ) ملف فلاش يحتاج تنزيل إضافة ( Plugin ) ليتم تشغيله وهو في الحقيقة فايروس تجسسي وبمجرد الضغط على الصورة التي تظهر وكأنها إضافة يقوم الفايروس بالعمل بجهازك ثم يجمع كافة الصور من الجهاز بكافة الأقراص ثم يفتح كاميرا الجهاز ويقوم بتصويرك من كامرتك ويجمع تلك الصور ثم يقوم بإرسالها لسيرفر في دولة ( شيلي ) يتبع مؤسسة تم إختراقها مسبقاً وفيها يتم وضع كافة الصور المسحوبة من الناس ثم يقوم الهاكر بالدخول على المؤسسة الشيلية بحساب خاص به ويسحب تلك الصور لجهازه ثم يمسحها من المؤسسة، كما قام بوضع حسابين بالمؤسسة الشيلية ، واحد يجمع به الصور من الأجهزة ، والآخر يجمع به الصور من الكاميرات.
كيف انتشر الفايروس بشكل مخادع :-
صورة من منتدى كويتيات الشهير لتوقيع ( المشرفة ) والذي يظهر كما في الصورة أنه ملف كأنه فلاش يحتاج لتنصيب إضافة ليتم تشغيله
في حين أن هذا الشكل هو مجرد ( صورة فقط ) ولكنها جاءت بشكل مخادع وكأنه إضافة تحتاج تثبيت، وعند تحليل الصفحة يتضح التالي :-
وعند الضغط على الـ ( الصورة ) لكي تقوم بتثيت الإضافة يتم تنزيل ملف بجهازك بإسم ( [email protected]_2.exe ) وهو عبارة عن فايروس، تمسكه بعض الحمايات ويفلت من بعضها.
هنا قام برنامج الحماية كاسبرسكي بحجب الوصول للملف او تنزيله لأنه فايروس كما يتبين أن طريقة الإمساك به تمت عن طريق الـ Cloud Protection مما يدل على إنتشار الفايروس بشكل واسع، وستبين هذا لاحقاً.
كما يتضح أن مكان وجود الفايروس، وهو موقع ( منتديات التسامي الأدبية ) حيث يتم تنزيل الفايروس منه وليس من موقع كويتيات مباشرة، وقد تبين لاحقاً أن الهاكر قام بإختراق ( منتديات التسامي الأدبية ) ووضع الفايروس به حيث يعتقد اي شخص أن التسامي هو من يستضيف الفايروس كما أن هذه الطريقة تصعب من عملية الوصول للهاكر وذلك لتشعب عملية التتبع، كما قام الهاكر بنشر نفس الفايروس في العديد من المنتديات والمواقع على شكل برامج مجانية مثل الفوتوشوب و برامج التعديل على الصور، وقام بنشر نسختين من الفايروس الأول بإسم ( Java.exe ) والثاني نسخة مطورة من الفايروس بإسم ( [email protected]_2.exe ) ولايزال ينشرها في المواقع حتى هذه اللحظة، وقد قمنا بتنزيل الفايروسين ثم تحليلهم حتى نتمكن من فهم الفايروس وكيفية عمله وكيف وماهي العمليات التي يقوم بها وماهي قدراته وهل يمكننا معرفة مصدر الفايروس وأين يقوم بجمع الصور هذه !!
معلومات عامة عن الفايروس :
الفايروس مخصص للعمل بأجهزة وندوز فقط، وأول إجراء يقوم به عند دخوله الجهاز هو إعطاء نفسه صلاحيات كاملة بالجدار الناري ( الفايروول ) ويقوم بتعطيله ليتسنى له الاتصال بالجهاز التابع للهاكر متى شاء عن طريق استخدام أمر :-
C:\WINDOWS\system32\cmd.exe /c netsh firewall set opmode disable
ثم يقوم بالبحث عن كل الصور بالهارددسك C ثم D ثم E ثم G حسب توفرها بصيغة jpg او jpeg او bmp او txt ثم ويقوم بنسخها لمجلد خاص بالـ C بإستخدام الأمر التالي :
بعد ذلك يقوم بالإتصال بالسيرفر الخاص بالهاكر في العادة يكون جهاز الهاكر نفسه او سيرفر يشتريه، لكن في حالتنا قام الهاكر بإختراق مؤسسة نقل في دولة شيلي ( garitrans.cl ) ووضع فيها ملفاته ثم يقوم الهاكر بالدخول على السيرفر وسحب الملفات ثم حذفها، وقد إستطاع فريق سايبركوف الحصول على السيرفر وكلمات السر الخاصة به من خلال تحليل الفايروس وإستخراجها ثم الدخول على السيرفر ومشاهدة الملفات التي قام الهاكر بأخذها من الناس :-
الصورة أعلاه للفايروس الجديد الذي ينشره الهاكر ، أما الفايروس القديم يقوم بالإتصال بنفس الشركة الشيلية المخترقة ولكن عبر حساب آخر ومجلد آخر :
بعد ذلك يقوم الهاكر بإلتقاط صورة من الكاميرا الخاصة بالشخص المخترق وتقوم الكامرا بالوميض بشكل سريع لأخذ الصورة ويقوم بإرسالها للسيرفر الخاص بالهاكر قد تنتبه لذلك ولكن وقتها قد انتقلت الصورة لسيرفر الهاكر :-
الكود الذي يستخدمة الهاكر ويبين استخدام الكاميرا للتصوير يتم عن طريق مكتبة AVICAP32.DLL واطلاق دالة capCreateCaptureWindowA لانشاء مربع للكاميرا ومباشرة استدعاء دوال SendMessage الخاصة بالنظام لعمل التقاط لمربع الكاميرا او screenshot مصغرة للمربع الذي تم انشائه فقط للكاميرا.
لفهم الطريقة أكثر يجب فهم طريقة استخدام دالة SendMessage:
لنركز أكثر على ثاني مدخل وهو UNIT Msg أي انه رقم يشير إلى رسالة يفهمها النظام. هذه القيمة تحدد نوعية الرسالة التي نريد ارسالها للنافذة التي يؤشر عليها مدخل HWND hWnd وهو المدخل الأول وهي قيمة حصلنا عليها من داخل النظام حيث تؤشر على مربع الكاميرا الذي قام الفايروس بفتحه. هذا المربع كما شرحنا سابقاً يحتوى على المنظر الذي تراه الكاميرا لذلك يريد الفايروس اخذ لقطة منه ليقوم بتصوير الضحية!
لنعرف الآن اول استخدام لدالة SendMessage :
ملاحظ أعلاه اننا نقوم بعمل call للدالة SendMessage بعد عدد من عمليات push أو بمعنى اخر نحن نجهز المدخلات عن طريق ادخالها بطريقة عكسية على الـ stack ثم ننادي الدالة. عملية push ecx تضع مؤشر نافذة الكاميرا، ثم عملية push 40Ah اي وضع قيمة 40A بنظام الhex. وهي نوعية الرسالة WM_CAP_DRIVER_CONNECT ومعناها تجهيز التقاط الصورة من النافذة أما قيمتها هي 40A بسبب المعادلة التي يقوم بها نظام وندوز:
اذاً الآن قام الوندوز بتجهيز التقاط الصور، والخطوة التالية بالكود كما يأتي:
الاول: نوعية الرسالة، حيث هنا نرسل رسالة قيمتها 419h او 419 بالhex. هذه الرسالة هي WM_CAP_FILE_SAVEDIB وتعني حفظ اللقطة (من مربع الكاميرا) بملف DIB وهو بكل بساطة ملف صورة مثل BMP. أي باختصار هذه الرسالة تقول للوندوز احفظ ما تصوره الكاميرا بملف. ولكن أين الملف؟
اذاً قمنا بإرسال رسالتين الأولى لتجهيز التقاط الصور بالكاميرا والثانية لحفظ اللقطات بملف، ثم يقوم بالخطوة الثانية وهي كالتالي:
الكود القادم بكل بساطة يقوم بجمع الصور المسجلة من الكاميرا وارسالها للسيرفر الخاص بالهاكر عبر الFTP:
وهي السيرفرات التي ذكرناها بالمقدمة والتي تجتمع فيها الصور الخاصة بالكاميرا وكذلك الصور التي تم تجميعها، حيث يقوم بإرسالها عبر بروتوكول FTP للسيرفر، أيضاً تم عمل كومبايل لهذا الفايروس باستخدام Microsoft Visual C++ 5 وتم عمل packing له باستخدام InstallShield 2000 ولغة الجهاز الذي تم استخدامه هي اللغة العربية و المنطقة locale هي المملكة العربية السعودية.
بما أننا قد حصلنا على إسم السيرفر وعنوانه وحساب الهاكر والرقم السري، قمنا بالدخول على سيرفر الشركة الشيلية للتأكد من صحة المعلومات، وراقبنا حركة السيرفر فوجدنا أنه يجمع ما بين 1000 الى 3000 آلاف صورة يوميا ما بين صور عامة وصور عائلية وصور خاصة بالأفراح والحفلات العائلية !! قام الهاكر بنسخها من أجهزة الناس ووجدنا مجلد كامل بالصور التي تم إلتقاطها عبر كامرات اللابتوبات، هنا صورة لبعض الصور من السيرفر ( تم اختيار الصور العامة فقط ) :
اما مجلد الصور التي تم إلتقاطها بواسطة الكاميرا فلن نضعها هنا ولكن هناك العديد من الصور الخاصة بأطفال وعجائز وغيرهم، أيضا العديد من الصور كانت ” سوداء ” وهي لأشخاص قامو بوضع ” ملصق على كامراتهم ” او اغلقوها بشي من باب الإحتياط، فهؤلاء قد نجو من تصوير الهاكر لهم.
ملاحظات وتعليمات :-
1- قام الهاكر بإستغلال موقع كويتي مشهور جدا ونشر بواسطة الفايروس على شكل توقيع يحتاج إضافة وبشكل مخادع لتمكن من الوصول لعدد أكبر من الضحايا كما قام بوضعه بحساب ” مشرفة ” ليكسب ثقة الناس بشكل أكبر، وجاري التواصل مع المشرفة لمعرفة تورطها بالموضوع.
2- قام الهاكر بنشر برنامجه التجسسي بواسطة مواقع أخرى على شكل برامج تصميم وبرامج مكركة، ولكن الأثر الأكبر كان لموقع كويتيات بسبب شهرته.
3- قام الهاكر بإختراق موقع شركة في شيلي ووضع كل الصور التي قام بسرقتها من الناس في هذه الشركة ويقوم هو بشكل يومي بالدخول على سيرفر الشركة ثم سحب الصور منها، وذلك ليقوم بتصعيب إقتفاء أثره وتحديد شخصيته وذلك لتشعب الإتصالات وتعقيد عملية التواصل بين هذه الدول والمؤسسات فتصعب ملاحقته ومعرفته.
4- يقوم الهاكر وحتى هذه اللحظة بعمل فايروسات وفي كل مره يقوم بتطويرها وإضافة الإعدادت والمميزات عليها.
5- هذا النوع من الإختراقات مشهور ومنتشر وأثره بالغ على نفوس الناس لإنتهاكه خصوصياتهم والتدخل بحياتهم الخاصة، فضلا عن تعرضهم للتهديد او الإبتزاز وهكذا.
6- تقوم الأجهزة الأمنية ببعض الدول العربية ( مثل النظام السوري ) بإستغلال الهاكرز ونشر فايروسات متقدمة بقصد اختراق الناس، لذلك يجب أن تتأهب لهجمات أكثر تعقيدا من هذه وإتخاذ الحيطة والحذر
نصائح وتوجيهات :-
1- على المواقع المشهورة مسؤولية كبيرة في حماية زوارها ومستخدميها وذلك بحماية مواقعها من الإختراق او الإستغلال او نشر الفايروسات، وذلك عن طريق الفحص الدوري والتحديث الدائم.
2- كمستخدم لا تقم أبدا بإنزال البرامج المكركة ولا تستخدم برامج الا من مصدرها الرسمي ، واذا كانت غير مجانية حاول العثور على برامج مشابهة ومجانية.
3- قم دائما بتحديث جهازك ووضع مكافح فايروسات أصلي وقم بتحديثه بشكل دائم.
4- يفضل بكل الأحوال وضع لاصق على كاميرا اللابتوب أو اغلقها بشيء من باب الإحتياط، ولا تستخدم الكاميرا الا عند الحاجة فقط.
5- قم بتعطيل الجافا بجهازك لإحتواءها على الكثير من الثغرات وإذا كنت بحاجتها قم بتفعيلها مؤقتا ثم اغلقها من المتصفح.
تحديث 1 |
تم التواصل مع المشرفة المذكورة أعلاه وقد وضحت أنها لا تعلم شيئا بالموضوع وأن الهاكر قام بإختراق حسابها بموقع كويتيات ثم تغير التوقيع ولم يغير الرقم السري، وقام بعد ذلك بمراسلة العشرات من العضوات بالموقع وإرسال الرابط الذي يحتوي على فايروس لهم على أساس أنه لعبة وتريد مشاركتها وذلك بهدف خداعهم وإختراق أجهزتهم وأخذ صورهم، وهذه صورة من محادثاته الخاصة زودتنا بها المشرفة المذكورة.
صورة من حقيقة التوقيع الذي تم وضعه بحسابها.
السلام عليكم
الله يعطيكم العافيه
عندي سؤال :
وش اسم البرنامج اللي قمتم عن طريقه بتحليل الفايروس
وشكرا ,,,
بالامكان تستخدم المنقح لان الواضح بالاكواد انها لغة الاسمبلي والعلم عند الله
شرح جداً جبار
مثل هالتحليلات مفيدة خصوصاً لخريجين تخصصات الحاسب مثل الامور لا تدرس في الجامعات في مرحلة مثل الباكلوريوس وفي الجامعات العربية التخصص هذا قليل
لو يكون موضوع كامل يشرح كيفية اكتشاف الفيروسات وتحليلها ؟ مثل امثله للتطبيق ان امكن
وهذا الي سوا هالفعل كم تنهال عليه من دعوات المظلومين الي تضرروا
وانصحك يا دكتور عبدالله ان تأدبه وتفضحه قدر المستطاع
عمل رائع منكم شباب..
بس هل في امكانية للأبلاغ على هذا الشخص لسلطات السعودية للقبض عليه ام لا..؟
جززاكم الله خير على التقرير المفصل والواضح .. اتمنى منكم ان تضعوا خطوات لفحص الجهاز لمعرفه مصاب بالفايروس او لا …
وماهي البرامج التي تمكنت من رفضه غير كاسبر
تحليل رائع .. الرفيرس انجنييرنق علم رائع وممكن استخدامه في مجالات كثيره !
لكن عندي سؤال لو سمحت .. كيف تم تحليل البرنامج ؟
اقصد كيف استطعتوا الاطلاع على عمل البرنامج بلغه السامبلي ؟
بالعاده البرامج تكون مشفره .. ام لم يستخدم اي تشفير هنا
تحياتي
شرح وافي وكافي وأكثر من متميز الله يعطيكم العافية .. وياليت يتم شرح في موضوع مستقل طريقة تعطيل الجافا
جميل جدا تقرير شيق وجميل شكرا لكم على هذا المجهود
عمل دنئ الي قام به الهكر!!!
لو تكللون جهودكم بالابلاغ عنه
عن طريق اختراق سيرفر الشركة التشيلية وتتبع اي بي الهكر عن طريق ملفات اللوق وابلاغ الجهات المختصة عنه
فعلاً عمل مذهل، عساكم على القوة استمتعت بالقراءه
بارك الله بجهودكم الجبارة ، وجعلها الله في ميزان حسناتكم.
ومثل ما قال الأخ يوسف : حاولوا بقدر المستطاع إلتقاط آيبي الهاكر ومعرفة مكانه ومن ثم الإبلاغ عنه.
يعطيكم العافية شباب لكن في سؤال محيرني
اذا كنت انا ضحيه وقمت بالنقر على الفلاش وقام المتصفح بشكل تلقائي بتحميل الفايروس بصيغه exe على جهازي في مجلد ما… لحد الان كل شي تمام
كيف يشتغل الملف بدون ما افتحه ؟
يمكن للملف ان يشتغل تلقائيا مع الحاسوب على شكل
process
وببما انه exe = executable
قهو قابل للتفعيل
لذلك راقب دائما
task manager
حتى تعلم الملفات المشتغلة
بالتوفيق
لا يمكن تشغيل الملف بدون النقر عليه 🙂
ولكن فكرة الفايروس أنه يعمل وكأنه plug in فـ اللي حمله راح يشغله
بقي خطوة واحدة لتأديب هذا المخترق وأمثاله ، هي معرفة الشخص والتواصل مع الجهات الأمنية بالسعودية لمعاقبته وفق نظام الجرائم المعلوماتية وهو نظام قاسي جداً .
بارك الله لكم شباب على جهدكم وتطوعكم لعمل الخير وحل مشكلة اختراق ا لموقع
وشكرا لتزويدكم بملخص عن موضوع الاختراق وبحد ذاته يعتبر تنبيه لجميع مستخدمي الحاسوب
عمل ممتاز ومتميز
قواكم الله
سيرفر التحميل الى الآن شغال، وحملت الفايروس القديم لكن ما لقيت الباسوورد!!
يعطيكم ألف عافية 🙂
الله يعطيك الف عافيه استاذ عبدالله ومتابع لك وبطريقة تحليلك مع انها معقد لكنها مميزه
وبالنسبه للأخ اللي يسأل عن البرنامج اللي استخدمه الاستاذ عبدالله
اولا اللغه اللي تشوفها هي لغة الاسمبلي
واعتقد انه استخدم المنقح للتبع الاتصالات الخارجيه ومن ثم تتبع الارسال
مع ان الطريقه غبيه شوي لكن نقول الله يهدي ضعفاء النفوس اللي يخترقون المسلمين
مايعلمون ان هناك رقيب وعتيد مرسلان من الله
اللهم اني ابرأ من ما يفعلون
جزاكم الله خير
لكن اختراق بنات وسحب صورهم والله كارثة ومعصية كبيرة
اكيد بما انه فعل هذا بناس انه يرضى باهله هذا الشي لاحول ولاقوة الا بالله اختراق خبيث ونجس
انا قلت اختبر الانتي فايروس الي عندي هةن eset node home security 6 واعمل له تحميل واشوفه يقل لي هذا فايروس ولا لا بس للاسف ما حذرني. بصراحة شيئ محبط مع انك شاريه بفلوس ما تجريبي
فيه خاصيه ببرنامج VBulttin انه يسجل جميع ارقام ip التي تدخل بالعضويه
ممكن مراسلة ادارة المنتدى كويتيات و سحب جميع ارقام ip وو قت الدخول لهذي العضوية
وتصنيف وفحص كل ارقام ip الخاص بالعضوية
ومعرفت الارقام التي دخلت من السعودية ووقت و تاريخ الدخول
ثم رفع قضية بهذي المعلومات
خلال ايام يسحب هذا الكلب الى المحاكم
بعد وضع أسم الفيروس بمحرك البحث قوقل أتضح أن هناك الكثير من المنتديات موجود فيها !
الخبيث حتى منتديات تعليم القرآن الكريم موجود فيها نفس الفيروس
لعنة الله عليه أستغل علمه في خدمة إبليس .
صراحه هكر خطيرررررر ههههههههههههههههههههاي والاخطر الي حلل الملفات ووصل للسيرفر والباسوورد ههههههههههاي والي يقول طريقه غبيه اقول له مع نفسك
اتمنى من أ- عبدالله و أ-صالح ان يشرحوا للمستخدمين طريقة الفحص وطريقة معرفه ان الجهاز مصاب ام لا و تعطيل الجافا , الموضوع كبير خاصة وانه يمس خصوصية المسخدم مباشرة لا أعلم اي ذمة وضمير يمتلكة هذا الهكر
وجزاكم الله خير على هذا التقرير الجبار .
وأنا معك في هذا الاقتراح،،
وشكر كبييير لفريق العمل جزاهم الله خير ونفع بهم ..
الفايرس هذا يستهدف الي يضغط عليه بالاضافه الي عنده برامج داونلود منجر فقط يعني لاثغره بالمتصفح ولا شي شغل
اغلبيه المنتديات الخاصه بتحميل الافلام والبرامج مستهدفه لانه اغلبيت زوارها يستعملون برامج داونلود منجر
بالتوفيق
بالبداية احب اشكر فريق العمل على اكتشافه للفيروس و تحليله و عمل تقرير شامل و مميز ! يعطيهم العافية
للاسف اغلب العرب ( مب الجميع ) بس شاطرين على بعض بالاختراقات. و ما يخترقون غير الي ما يعرفون شي عن امن المعلومات ناس بسطاء و لكن هذيل الفئة هم المصيبة لانهم يخزنون صورهم الخاصة بالاجهزة ولا يدركون أنه هناك هاكرزس بأمكانهم سحب صورهم بسهولة !.
فاتمنى من الفريق سايبركوف انه يقدم دورة لو بسيطة عن حماية الاجهزة من الاختراق حتى يستفاد منها الناس.
بارك الله فيكم .. عمل و مجهود تشكرون عليه فعلا
كثر الله من امثالكم
بارك الله فيكم …..شرح رائع و جميل و مفصل…جعلة الله في ميزان حسنتاكم…..
ذكر بالعنوان انه هكر سعودي ولم تذكرو كيف عرفتم جنسيته … هل وصلتو له ؟ هل تعرفتو على شخصيته ؟ لا اظن
بصراحة اول مرا اشوف موقعكم والله والتقرير عجبني ونعم هذا الطرق مستخدمة وهي فعالة بشكل كبير جدا في اي دولة ولاكن هذا الهاكر غبي فعلا كان بأمكانه تحويل هذا القدرة على اختراق حسابات غير عربية ضرة أخوته وضر سمعته ونفسه غبي جدا
تحياتي لكم
يعطيكم الف عافيه ماقصرتو
مشكله اصحاب مواقع يضيفون سكربتات ماله داعي ومايفحصون بشكل بتسمرار تحديثات وثغرات
الله يستر من مواقع مشهوره وفيه ثغرات
تقرير رائع بمعنى الكلمة
يذكرني هذا الفايروس بأيام “ديف بوينت” حتى الفايروس نشروه عن طريق المشاركات و تلغيم الإبتسامات
حتى تمكنوا من إختراق عدد من الأعضاء و المشرفين. آخخ.. ايام.
مجهود جداً جميل في كتابة الخبر و التحليل.
نصيحتي: قبل ان تدخل موقع معين مشكوك في امره, ابحث عن ماضيه.
بالتوفيق للجميع.
الله يجزاكم خير فريق سايبركوق
بصراحة عمري ما شفت أخبث من كذا
درجة ذكاء الهكر جدا عالية ولكن للأسف يستخدمة فيما لا يرضي الله ,
اشكركم مرة اخرى على توضيح طريقة تفكيك الفيروس و طريقة عملة
استفدت كثير جدا وخاصة نقطة التقاط الكاميرا
الله يستر علينا ولا على بناتنا من ضعاف النفوس .
ماشاء الله موضوع ثري جدا , اتمنى التفصيل اكثر في عملية الهندسة العكسيه بالتفصيل .
البرامج والادوات المستخدمه والخطوات ايضا .
سؤال اضافي : عملية دخولكم للسيرفر التشيلي ومراقبته , هل هي نظاميه او تعتبر انتهاك للخصوصيه ؟
مجهود أكثر من رائع وفكرة الموقع جداً رائعه،،، فعلا هذا ما يحتاجه الناس ” نشر الوعي” بارك الله فيكم …
بالنسبة للي يسال عن البرنامج المستخدم بتحليل الفايروس اعتقد انه برنامج IDA pro
بالتوفيق للجميع
بارك الله فيكم ينقصنا كثير من التوعيه عن اساليب وطرق اختراقات الكهرز ويكفيه الوقايه منهم ،، الف شكر لكم
عجيب غريب . اكبر خطأ الي سواه الاخ الهاكر . ولكن عنده كل هالقدرات ومافيه حد مستفيد منها . !!!!!!!!!!!!!
يعطيك العافيه اخوي عبدالله انت والفريق الي معك
: الحركه الخطيره الي تمشي على الكل :
هي طريقة الفلاش كانك تثبت فلاش وبالاخير يطلع فايروس
هذي حركته خطيره بالاخير تطلع صوره ولو تضغط كلك يمين عليها وتحط عرض معلومات الصوره
طلع لك تفاصيلها مثل الصوره الي شرحتها فوق
هذا ان حددتو موقعه عن طريق الاي بي وارفعوا قضيه عليه
كوجهة نظر اذا امكن ان يتم استخدام الهندسة الاجتماعية معه لان الكثير من الناس او اغلبهم يمكن اسقاطهم بالهندسة الاجتماعية حتى اذا كان يعرف عن المجال
doxing
اخي الكريم لا يمكن استخدام الهندسة الاجتماعية مع شخص مجهول ! يجب ان يكون هناك معلومات اولية شبه واضحة حول الهدف قبل استهدافه
كل التوفيق
الجهد اللي قام به الاخوان جداً مميز و اشكرهم على صرف وقتهم لاعداد مثل هذا التقرير لمشاركتنا اياه، عندي ملاحظتين:
1- لايوجد ما يدل على ان الهاكر سعودي و كون اللغة العربية (المملكة العربية سعودية) لايعني شيئأ لان الكثيرون عند تنصيب الوندوز يختارون هذه اللغة بشكل تلقائي مع كونهم من دول عربية اخرى ومن بينها الكويت طبعاً.
2- من المستبعد كون اللغة المستخدمة في تطوير البرنامج هي لغة الاسمبلي فلعمل برنامج خبيث (برأي من شروط الفيروس كونه يدمج نفسه مع البرمجيات الاخرى للانتشار وهو ما لا يتوفر هنا) مثل هذا بالاسمبلي فإنه يستهلك جهد ووقت كبير جداً و يصعّب على المطور التعديلات و التطويرات. اتوقع انه استخدم احد لغات منصة .NET و يمكن التأكد من هذا عن طريق قرائة الـ Headers في ملف الـ EXE، وكون الـ Debugger يظهرها بالاسمبلي فهذا شيئ طبيعي لصعوبة عمل Reverse Engineering لبرامج مطورة على منصة .NET
مرة اخرى شكراً من القلب على مشاركتنا و هكذا ننشئ مجتمع امن معلومات تقني عربي
السلام عليكم اخي البرنامج تمت برمجته ب c++
و برامج دوت نت لها منقحات (اذا صاح التعبير)
ك.net refletor
ويمكن التاكد من ذلك عن طريقة PeID بسهوبة لمعرفة اللغة التي تم بها برمجة التطبيق او fastscanner
كان المفترض وضع صورة مغرية له وارسال الفايروس له مع تغيير اماكن الرفع بدل السيرفرات في تشيلي تكون لكم وكذا اقل شي تصيدون ال ip ويمكن تجيبون صورته .
عمل مميز ومهم جداً
حصل قبل مدة نفس التصرف من احد العضوات لدينا
الطرق المستخدمة:
اضافة مواضيع جذابه و وضع برامج مميز وطلبه على انها مجانية.
اضافة تواقيع
ارسال رسائل خاصة
وبعد التتبع والتواصل وجد انه مقيم بالاردن وهو اردني الجنسية
لغة الجهاز ومكانه قد يكون دليل لكن في حال كان المخرب خبيثاً لدرجة انه لا تفوته هذه الثغرة …
تحية طيبه وعملاقة 🙂
اخي انا اظن انه يجب وضع مشرفين لهم خبرة في التحليل و خصوصا الهندسة العكسية و ليس استخدام البرامج فقط حتى اذا اطر منتدى ما الى اعطائهم مبلغ مالي
مع احترامي لكل المشرفين
شكرا لك على الشرح الكافي و الوافي و تنبيه المستخدمين لمثل تلك الأمور , وجعلها الله في موازين أعمالكم
بالمناسبة سؤال للمستخدمين : كم من شخص يستخدم Iphone أو galaxy أو أي جهاز يحتوى على كاميرا أمامية !
بالتأكيد عدد كبير وأنا واحدا منهم , لذلك يجب على الجميع الانتباه حتى على مستوى الهواتف الذكية فإختراقها أضحى بخطوات سهلة ويسيرة .
أعتقد أم من أكبر الأخطاء التي وقع به هذا الهكر هو انه جعل الفايروس يكون بالإتصال بالسرفر من خلال صلاحيات الإدارة لرفع الملفات , بينما لم يكن بحاجة لهذا فقد كان بإمكانه برمجة صفحة تستقبل الملفات عن طريق الـ http
شكرًا لكم
هاكر عبقري لكن مايخاف ربه في نشر خصوصيات الناس ؟؟
ملاحظة اللي ادا الا حصولة على الاف الضحايا هو البرنامج الشهير internet download manager
هذا البرنامج يسمح لك بتحميل الملفات بشكل مباشر واصلأ غلط تحمل ملف من صفحة لايوجد فيها روابط تحميلـ
يمكن تجربة الدخول على السيرفر ومشاهدة الملفات
عنوان السيرفر:
66.7.198.240
اليوزر:
[email protected]
[email protected]
الارقام السرية:
******
*****
الفايرس ينزل من الموقع بشكل عادي وليس تلقائي للي يسأل وينسخ نفسه في مجلد C:\1.exe
ويقوم بأخد الصور ورفعها عن طريق ftp إلى هدا الموقع lulublanco.com
عيب الفايرس أنه أستخدم بروتكول ftp وهو سهل أنه أي واحد علم بسيط جدا ممكن يطلعه ويدخل علعموم أعتقد أخوي عبدالله ما قصر ومبين أنه الصور قاعد يتم حدفها وأنا ما شفت اله كم صورة وحدفتهم والله أعلم
يزرع مفتاح في rigistry عشان يقوم بتشغيل نفسه عند إعادة التشغيل
علعموم الله يستر على بناتنا يارب
الصراحه شرحك حلوا تصلح مدرس حاسب.
عندي مشكله بلابوتبي صنعت برنامج يخلي لابتوبي بلغه عربيه كل شي عربي بس المشكله ابي اضغطه ما اقدر ~_~ ممكن حل ترى تعبت عليه ٢ سنه وانا اسويه .
مدرس حاسب الي!!!
شكرا.. شرح رائع ..
لكن هل من اجراءات رسمية اتخذتموها مع هذا الهكرز؟
حتى مراقبه دخول الهكر لن تنفع . .
سيحصل اشكال هل هو هكر ام ضحيه الفايروس .
يعطيكم العافية علي هالمواضيع الجميلة 🙂
وبعد هالجمال صراحة الشيطان تمكن مني ودخلت علي السيرفر عن طريق ftp بس قهرني الاتصال مايثبت 🙁
وجاري رفع شل وان شاءالله نسحب روت , وبعدين صج دام عندكم اليوزر و الباس 123… ليش مارفعتوا شل والخ..
أنا ادرس لغة الأسمبلي في الجامعة بس علمونا أنها لغة قديمة وماتوقعت انها تستخدم للتهكير !!
تم أختراقه وحفظ معلوماته عندي
http://www.lulublanco.com/
بعدالسلام
الموضوع مثير … والشرح ممتع رغم عدم معرفتي ببعض المصطلحات ولي ملاحظات ارجو قراءتها :
1_ كلنا نعرف انه لايوجد شيئ اسمه (حذف) في اي جهاز الكتروني …… فلماذا اضع صور خاصة في هذه الاجهزة
2_ اذا كان فعلا ان هذا الهاكر سعودي …فانني اجزم بانه نابغة وخطيييير …. خصوصا استخدامه لسيرفرات تشيلية
3_اقول لهذا الهاكر _وقد يكون بيننا الان وهنا يتابع _ اقول له ….. انتفع بما منحك الله من ذكاء في نفع امتك ووطنك ومجتمعك
رسالة اخيرة
السعودية مليااااااانة عباقرة بمعنى الكلمة ….فلا تدعوهم بل ادعموهم واتخذوهم عونا لنا … لا علينا
حفظ الله بلادنا وشبابنا وبناتنا من مل سوء …. والحمد لله
شكرا جزيلا على التقرير الرائع ،
سؤال
1- كيف يقوم الملف بتحميل نفسه بنفسه ؟ المفروض ان يسألني المتصف دائما اذا ما كنت اريد فتحه او حفظه ؟ هل هي ثغرة في احد المتصفحات ؟
2-أتمنى ان تقدم لنا المراجع (الأجنبية) لن يريد ان يتعلم التحليل بهذه الطريقة من الصفر ، لم افكر ابدا انه يمكن استخدام الهندسة العكسية بهذه الطريقة الرائعة .
شكرا على الجهد الرائع …….بالتوفيق
^
فعلا سيخبرك المتصفح بنزول ملف لاكنك لن تشك باعتبار ان الملف بلاجن لتشغيل ملف الفلاش في توقيع
هنا الخدعة الكبيرة فعلا حيلة دكية تنطلي على الكثيرين
لاكن اي محترف سيدرك الامر باعتبار عدم تحميل من موقع الرسمي و هدا حال فريق : cyberkov
لتحليل الفيروسات يجب تحميل احد المنقحات و افضلها : olly-dbg
نرجوا زيارة : http://www.dev-point.com للمزيد
كفو عليكم والله يوفقكم
لمن يريد دراسة تحليل البرمجيات الضارة اليكم كتابان:
Malware Analyst’s Cookbook
Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software
الله يكتب لكم الاجر
حفظكم الله..
السلام عليكم
مجهود طيب، صراحة أول مرة أدري ان الفيروس ممكن يتخبى بصورة شي فضيع، الله يستر بس
نتمنى منكم شرح تعطيل جافا لأن
اعتقد ان هذا الفيروس بدائي نوعا ما خاصة ان الفيروسات الحديثة التي تنتقل عبر ثغرات (browser ) اكثر حدة من ما تطرقت اليه في الموضوع و بالطبع موضوع راقي جدا …
فقط أريد ان انبه ان الفيروسات الاخطر من ذلك او التي يجب ان توضع لها دراسة هي تلك التي تأخذ مجالا خارقا للعادة و هي من فصيلة ( rootkits ) و لا يمكن تعقبها بالسهولة المذكورة في الموضوع اذ انها يمكن ان تكون عبارة عن ثغرة اضافات تغرس في مناطق متعددة في الحاسوب و مخفية و تحمل امتدادا غريبا جدا مثل ( .xxx ) و ذلك يكون غالبا بتخريب قيم الريجستري الخاصة بالملفات التنفيذية .. هذه الفيروسات تستحوذ على طبقات الكيرنل ( Ring0 ) و بالتالي تمتلك خصائص الدرايفرات و يمكنها مثلا ان ( تصورك من على الكامرا دون وميض ضوء الكامرا ) و هذا مأكد لدى الابحاث الحديثة في أمن المعلومات ( باعتباري اهتم للامر من ناحية الهواية فقط و اقرأ للاخبار المماثلة ) …
لم نكمل حديثنا و اتمنى حقا ان تقرأه
هذه الفيروسات يمكنها ( على نظام الوندوز ) ان تخفي نفسها بصفتها ( rootkits ) و خاصة طرق اخفاء نفسها من على ( startup ) و يستحيل الكشف عن طرق تشغيلها مع تشغيل النظام الا اذا تم تنقيحها و تنقيحها بحد ذاته يتطلب معرفة مكانها و هو الامر الذي يشكل استحالة اخرى حيث ان الروتكيت يعتمد على مجموعة من بريمجات خبيثة تعمل من اجل ( فيروس واحد) تظمن له التخفي و تزوده بمعلومات اذا ما تم كشف مكانه ليتوقف عن العمل او يغير من سلوكه
اعتقد انني اكثرت الحديث في الشأن نفيه لكننا حقا بعيدون عن ثقافة أمن المعلومات و خاصة شعوبنا الاسلامية
و هذا مثال بسيط جدا ذكرته و يوجد الاخطر من ذلك ما يعرف بثغرات buffer overflow التي تتعرض لها جل الانظمة و يتم بيع يوميا العشرات من ثغرات حديثة الظهور او الاستكشاف (0day) و اعتقد انك تعلم ذلك …
و قد كان حلمي منذ انغماسي في هكذا اشياء ( ان اصنع فيروسات مستعصية ) ليس للاذية ..للتعلم فقط … و الله اعلم ^^
بالنسبة للاخوة الذين يسألون عن البرامج المستعملة بكثرة في تعقف و احتراف تنقيح الفيروسات اقول و بكل شفافية
ان دراسة مجال الهندسة العكسية ( الاسمبلي ) + برنامج IDA PRO ( اقوى و افضل منقح ) سيكفيان لاحتراف تحليل الفيروسات مع قليلا من الخبرة في مجال فك ضغط بعض الحمايات المستعصية … و الله اعلم