إشترك معنا ليصلك جديد الموقع

بريدك الإلكترونى فى أمان معنا

عرض محدود : عملاق اختراق الإيميل Grave HotMail v2.17 2017 بـ150دولار لفترة محدودة

آخر 5 مواضيع
برنامج اختراق بريد الهوتميل Grave HotMail v2.17 2017
برنامج اختراق بريد الهوتميل Grave HotMail v2.17 2017
تسجل الآن في اقوى دورة مدفوعة لتعليم الهكر الاحترافي
خمس خطوات لحماية بياناتك من التجسس والسرقة والضياع على أندرويد
تحميل أقوى مضاد فيروسات مجاني كامل افاست avast antivirus 2017

السبت، 18 فبراير 2017

مطاردة فايروس لهاكر سعودي من مقره بــ”كويتيات” الى عقر داره في تشيلي

Hackerss
الهاكرز منتشرون بكل مكان ويزدادون يوماً بعد يوم وتختلف أساليبهم وأهدافهم، منهم من يخترق المؤسسات الحكومية ليوصل رسالة سياسية، ومنهم من يخترق بهدف جمع الوثائق والأسرار، ومنهم من يخترق بهدف جمع المال ومنهم من يخترق بلا حس أو خبر ويجمع المعلومات لسنين عديدة ثم يذهب، ومنهم من يتبع أجهزة أمنية يخترق لأهداف إستخباراتية ومنهم هاكرز خبثاء يخترق البسطاء من الناس بهدف الايقاع بهم ثم تهديدهم او إبتزازهم وهو موضوعنا اليوم.

وصلتنا بعض التقارير من مستخدمي موقع كويتي مشهور وهو موقع ومنتدى ( كويتيات ) عن وجود صفحة مشبوهة قد تحتوي فايروس وقد أصابت بعض الأجهزة بالفعل، وقاموا بتزويدنا بالرابط وتحققنا من الموضوع، وبدأت ملاحقة أحد الهاكرز المخادعين الذي كان جل همه هو إختراق البسطاء من الناس ثم البحث عن صورهم في أجهزتهم وتشغيل كامراتهم وتصويرهم ثم نقل هذه الصورة لسيرفرات خارجية يقوم هو بعد ذلك بنسخها ثم إبتزازهم او فضحهم او تهديدهم.
ليست هذه المرة الأولى التي نقوم بها، ولكننا أحببنا مشاركة هذا التحليل مع زوار الموقع ليعرفوا كيف يعمل بعض الهاكرز وكيف يخفي آثاره وكيف يقوموا بنشر فايروساتهم بالمواقع المشهورة وكيف يتم تحليل برامجهم التجسيسة وسندخل هنا ببعض الشيء من التفصيل.
في البداية وبعد إبلاغنا بموضوع الصفحة المشبوهه بموقع كويتيات، قام الفريق بزيارة الصفحة وتحليلها وبالفعل وجدنا فايروس مخادع عبارة عن توقيع لأحد مشرفي المنتدى وكأنه ( بالظاهر ) ملف فلاش يحتاج تنزيل إضافة ( Plugin ) ليتم تشغيله وهو في الحقيقة فايروس تجسسي وبمجرد الضغط على الصورة التي تظهر وكأنها إضافة يقوم الفايروس بالعمل بجهازك ثم يجمع كافة الصور من الجهاز بكافة الأقراص ثم يفتح كاميرا الجهاز ويقوم بتصويرك من كامرتك ويجمع تلك الصور ثم يقوم بإرسالها لسيرفر في دولة ( شيلي ) يتبع مؤسسة تم إختراقها مسبقاً وفيها يتم وضع كافة الصور المسحوبة من الناس ثم يقوم الهاكر بالدخول على المؤسسة الشيلية بحساب خاص به ويسحب تلك الصور لجهازه ثم يمسحها من المؤسسة، كما قام بوضع حسابين بالمؤسسة الشيلية ، واحد يجمع به الصور من الأجهزة ، والآخر يجمع به الصور من الكاميرات.

كيف انتشر الفايروس بشكل مخادع :-

صورة من منتدى كويتيات الشهير لتوقيع ( المشرفة ) والذي يظهر كما في الصورة أنه ملف كأنه فلاش يحتاج لتنصيب إضافة ليتم تشغيله
Analysis1
في حين أن هذا الشكل هو مجرد ( صورة فقط ) ولكنها جاءت بشكل مخادع وكأنه إضافة تحتاج تثبيت، وعند تحليل الصفحة يتضح التالي :-
Analysis2
وعند الضغط على الـ ( الصورة ) لكي تقوم بتثيت الإضافة يتم تنزيل ملف بجهازك بإسم ( jav@plug.v3_2.exe ) وهو عبارة عن فايروس، تمسكه بعض الحمايات ويفلت من بعضها.
Analysis3
هنا قام برنامج الحماية كاسبرسكي بحجب الوصول للملف او تنزيله لأنه فايروس كما يتبين أن طريقة الإمساك به تمت عن طريق الـ Cloud Protection مما يدل على إنتشار الفايروس بشكل واسع، وستبين هذا لاحقاً.
كما يتضح أن مكان وجود الفايروس، وهو موقع ( منتديات التسامي الأدبية ) حيث يتم تنزيل الفايروس منه وليس من موقع كويتيات مباشرة، وقد تبين لاحقاً أن الهاكر قام بإختراق ( منتديات التسامي الأدبية ) ووضع الفايروس به حيث يعتقد اي شخص أن التسامي هو من يستضيف الفايروس كما أن هذه الطريقة تصعب من عملية الوصول للهاكر وذلك لتشعب عملية التتبع، كما قام الهاكر بنشر نفس الفايروس في العديد من المنتديات والمواقع على شكل برامج مجانية مثل الفوتوشوب و برامج التعديل على الصور، وقام بنشر نسختين من الفايروس الأول بإسم ( Java.exe ) والثاني نسخة مطورة من الفايروس بإسم ( jav@plug.v3_2.exe )  ولايزال ينشرها في المواقع حتى هذه اللحظة، وقد قمنا بتنزيل الفايروسين ثم تحليلهم حتى نتمكن من فهم الفايروس وكيفية عمله وكيف وماهي العمليات التي يقوم بها وماهي قدراته وهل يمكننا معرفة مصدر الفايروس وأين يقوم بجمع الصور هذه !!
معلومات عامة عن الفايروس :
Analysis4
الفايروس مخصص للعمل بأجهزة وندوز فقط، وأول إجراء يقوم به عند دخوله الجهاز هو إعطاء نفسه صلاحيات كاملة بالجدار الناري ( الفايروول ) ويقوم بتعطيله ليتسنى له الاتصال بالجهاز التابع للهاكر متى شاء عن طريق استخدام أمر :-
C:\WINDOWS\system32\cmd.exe /c netsh firewall set opmode disable
أمر تعطيل الفايروول بلغة الأسمبلي
أمر تعطيل الفايروول بلغة الأسمبلي

ثم يقوم بالبحث عن كل الصور بالهارددسك C ثم D ثم E ثم G حسب توفرها بصيغة jpg او jpeg او bmp او txt ثم ويقوم بنسخها لمجلد خاص بالـ C بإستخدام الأمر التالي :
Analysis7
يحاول الفايروس جمع أكبر عدد من الصور حتى لو كانت من فلاش مركب بجهاز الضحية
Analysis8
بعد ذلك يقوم بالإتصال بالسيرفر الخاص بالهاكر في العادة يكون جهاز الهاكر نفسه او سيرفر يشتريه، لكن في حالتنا قام الهاكر بإختراق مؤسسة نقل في دولة شيلي ( garitrans.cl ) ووضع  فيها ملفاته ثم يقوم الهاكر بالدخول على السيرفر وسحب الملفات ثم حذفها، وقد إستطاع فريق سايبركوف الحصول على السيرفر وكلمات السر الخاصة به من خلال تحليل الفايروس وإستخراجها ثم الدخول على السيرفر ومشاهدة الملفات التي قام الهاكر بأخذها من الناس :-
Analysis10
تحليل كود الأسمبلي للاتصال بسيرفر الهاكر عن طريق FTP
الصورة أعلاه للفايروس الجديد الذي ينشره الهاكر ، أما الفايروس القديم يقوم بالإتصال بنفس الشركة الشيلية المخترقة ولكن عبر حساب آخر ومجلد آخر :
Analysis111
كود أسمبلي يبين اتصال الفايروس بسيرفر الهاكر عن طريق حساب FTP آخر مختص بجمع صور الكاميرا
بعد ذلك يقوم الهاكر بإلتقاط صورة من الكاميرا الخاصة بالشخص المخترق وتقوم الكامرا بالوميض بشكل سريع لأخذ الصورة ويقوم بإرسالها للسيرفر الخاص بالهاكر قد تنتبه لذلك ولكن وقتها قد انتقلت الصورة لسيرفر الهاكر  :-
الكود الذي يستخدمة الهاكر ويبين استخدام الكاميرا للتصوير يتم عن طريق مكتبة AVICAP32.DLL واطلاق دالة capCreateCaptureWindowA لانشاء مربع للكاميرا ومباشرة استدعاء دوال SendMessage الخاصة بالنظام لعمل التقاط لمربع الكاميرا او screenshot مصغرة للمربع الذي تم انشائه فقط للكاميرا.
لفهم الطريقة أكثر يجب فهم طريقة استخدام دالة SendMessagee:
Analysis12
دالة رسائل النظام في الوندوز وتفصيل مدخلاتها
لنركز أكثر على ثاني مدخل وهو UNIT Msg أي انه رقم يشير إلى رسالة يفهمها النظام. هذه القيمة تحدد نوعية الرسالة التي نريد ارسالها للنافذة التي يؤشر عليها مدخل HWND hWnd وهو المدخل الأول وهي قيمة حصلنا عليها من داخل النظام حيث تؤشر على مربع الكاميرا الذي قام الفايروس بفتحه. هذا المربع كما شرحنا سابقاً يحتوى على المنظر الذي تراه الكاميرا لذلك يريد الفايروس اخذ لقطة منه ليقوم بتصوير الضحية!
لنعرف الآن اول استخدام لدالة SendMessage :
Analysis13
ملاحظ أعلاه اننا نقوم بعمل call للدالة SendMessage بعد عدد من عمليات push أو بمعنى اخر نحن نجهز المدخلات عن طريق ادخالها بطريقة عكسية على الـ stack ثم ننادي الدالة. عملية push ecx تضع مؤشر نافذة الكاميرا، ثم عملية push 40Ah اي وضع قيمة 40A بنظام الhex. وهي نوعية الرسالة WM_CAP_DRIVER_CONNECT ومعناها تجهيز التقاط الصورة من النافذة أما قيمتها هي 40A بسبب المعادلة التي يقوم بها نظام وندوز:
Analysis14
اذاً الآن قام الوندوز بتجهيز التقاط الصور، والخطوة التالية بالكود كما يأتي:
Analysis15
هذا الكود يطابق السابق مع اختلافين.
الاول: نوعية الرسالة، حيث هنا نرسل رسالة قيمتها 419h او 419 بالhexx. هذه الرسالة هي  WM_CAP_FILE_SAVEDIB وتعني حفظ اللقطة (من مربع الكاميرا) بملف DIB وهو بكل بساطة ملف صورة مثل BMP. أي باختصار هذه الرسالة تقول للوندوز احفظ ما تصوره الكاميرا بملف. ولكن أين الملف؟
الاختلاف الثاني بالكود هو [lea edx, [ebp + Format حيث Format هي اسم الملف على صيغة C:\%d-file%d.bmp وهي صيغة صورة من نوعية bmp او bitmap .
اذاً قمنا بإرسال رسالتين الأولى لتجهيز التقاط الصور بالكاميرا والثانية لحفظ اللقطات بملف، ثم يقوم بالخطوة الثانية وهي كالتالي:
Analysis16
وهي بكل بساطة تقوم بارسال رسالة WM_CAP_DRIVER_DISCONNECT أي اغلاق محرك التقاط الصور والانتهاء.
الكود القادم بكل بساطة يقوم بجمع الصور المسجلة من الكاميرا وارسالها للسيرفر الخاص بالهاكر عبر الFTP:
Analysis17
وهي السيرفرات التي ذكرناها بالمقدمة والتي تجتمع فيها الصور الخاصة بالكاميرا وكذلك الصور التي تم تجميعها، حيث يقوم بإرسالها عبر بروتوكول FTP للسيرفر، أيضاً تم عمل كومبايل لهذا الفايروس باستخدام Microsoft Visual C++ 5 وتم عمل packing له باستخدام InstallShield 2000 ولغة الجهاز الذي تم استخدامه هي اللغة العربية و المنطقة locale هي المملكة العربية السعودية.
Analysis15
بما أننا قد حصلنا على إسم السيرفر وعنوانه وحساب الهاكر والرقم السري، قمنا بالدخول على سيرفر الشركة الشيلية للتأكد من صحة المعلومات، وراقبنا حركة السيرفر فوجدنا أنه يجمع ما بين 1000 الى 3000 آلاف صورة يوميا ما بين صور عامة وصور عائلية وصور خاصة بالأفراح والحفلات العائلية !! قام الهاكر بنسخها من أجهزة الناس ووجدنا مجلد كامل بالصور التي تم إلتقاطها عبر كامرات اللابتوبات، هنا صورة لبعض الصور من السيرفر ( تم اختيار الصور العامة فقط ) :
PICS
اما مجلد الصور التي تم إلتقاطها بواسطة الكاميرا فلن نضعها هنا ولكن هناك العديد من الصور الخاصة بأطفال وعجائز وغيرهم، أيضا العديد من الصور كانت ” سوداء ” وهي لأشخاص قامو بوضع ” ملصق على كامراتهم ” او اغلقوها بشي من باب الإحتياط، فهؤلاء قد نجو من تصوير الهاكر لهم.

ملاحظات وتعليمات :-

1- قام الهاكر بإستغلال موقع كويتي مشهور جدا ونشر بواسطة الفايروس على شكل توقيع يحتاج إضافة وبشكل مخادع لتمكن من الوصول لعدد أكبر من الضحايا كما قام بوضعه بحساب ” مشرفة ” ليكسب ثقة الناس بشكل أكبر، وجاري التواصل مع المشرفة لمعرفة تورطها بالموضوع.
2- قام الهاكر بنشر برنامجه التجسسي بواسطة مواقع أخرى على شكل برامج تصميم وبرامج مكركة، ولكن الأثر الأكبر كان لموقع كويتيات بسبب شهرته.
3- قام الهاكر بإختراق موقع شركة في شيلي ووضع كل الصور التي قام بسرقتها من الناس في هذه الشركة ويقوم هو بشكل يومي بالدخول على سيرفر الشركة ثم سحب الصور منها، وذلك ليقوم بتصعيب إقتفاء أثره وتحديد شخصيته وذلك لتشعب الإتصالات وتعقيد عملية التواصل بين هذه الدول والمؤسسات فتصعب ملاحقته ومعرفته.
4- يقوم الهاكر وحتى هذه اللحظة بعمل فايروسات وفي كل مره يقوم بتطويرها وإضافة الإعدادت والمميزات عليها.
5- هذا النوع من الإختراقات مشهور ومنتشر وأثره بالغ على نفوس الناس لإنتهاكه خصوصياتهم والتدخل بحياتهم الخاصة، فضلا عن تعرضهم للتهديد او الإبتزاز وهكذا.
6- تقوم الأجهزة الأمنية ببعض الدول العربية ( مثل النظام السوري ) بإستغلال الهاكرز ونشر فايروسات متقدمة بقصد اختراق الناس، لذلك يجب أن تتأهب لهجمات أكثر تعقيدا من هذه وإتخاذ الحيطة والحذر

نصائح وتوجيهات :-

1- على المواقع المشهورة مسؤولية كبيرة في حماية زوارها ومستخدميها وذلك بحماية مواقعها من الإختراق او الإستغلال او نشر الفايروسات، وذلك عن طريق الفحص الدوري والتحديث الدائم.
2- كمستخدم لا تقم أبدا بإنزال البرامج المكركة ولا تستخدم برامج الا من مصدرها الرسمي ، واذا كانت غير مجانية حاول العثور على برامج مشابهة ومجانية.
3- قم دائما بتحديث جهازك ووضع مكافح فايروسات أصلي وقم بتحديثه بشكل دائم.
4- يفضل بكل الأحوال وضع لاصق على كاميرا اللابتوب أو اغلقها بشيء من باب الإحتياط، ولا تستخدم الكاميرا الا عند الحاجة فقط.
5- قم بتعطيل الجافا بجهازك لإحتواءها على الكثير من الثغرات وإذا كنت بحاجتها قم بتفعيلها مؤقتا ثم اغلقها من المتصفح.

تحديث 1 |
تم التواصل مع المشرفة المذكورة أعلاه وقد وضحت أنها لا تعلم شيئا بالموضوع وأن الهاكر قام بإختراق حسابها بموقع كويتيات ثم تغير التوقيع ولم يغير الرقم السري، وقام بعد ذلك بمراسلة العشرات من العضوات بالموقع وإرسال الرابط الذي يحتوي على فايروس لهم على أساس أنه لعبة وتريد مشاركتها وذلك بهدف خداعهم وإختراق أجهزتهم وأخذ صورهم، وهذه صورة من محادثاته الخاصة زودتنا بها المشرفة المذكورة.
image


صورة من حقيقة التوقيع الذي تم وضعه بحسابها.imagea

شارك هذه الصفحة وتابعنا على المواقع الاجتماعية
شارك الموضوع →
إنشر الموضوع →

0 التعليقات :

إرسال تعليق