روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

جهاز مصري ما أُصيب .. قام بالفورمات على أن الملف روتكيت

 

شكرا على الاهتمام ياصديقى العزيز...بس انا اساسا بغير ويندوز اكتر مابدخل الحمام. :..الموضوع بالنسبة ليا مسببش اى مشكلة وهيثم برئ من اى مشكلة حصلت مع ان مافيش اى مشاكل خالص...بالعكس انا كنت مستمتع جدا واتعلمت حاجات كتير ....بس للاسف فى شباب كتير نسى ان دة موضوع للنقاش مش لفرض الراى ...والاختلاف شئ منطقى ...وعلى العموم متشكرين يارجالة منجلكوش فى فورمات...
وادى تقييم خماسى تانى لهيثم عشان جمعنا بالشباب الجميل دة
:d:​

 

:hh::hh::hh:
​

 

:bleh:​

 

:hh:​

 

هذا إهدار للكثير ..لأجل تحقيق القليل ,,
و في الخطوة الثالثة .. تنكسر القاعده حيث سيحتوي الفيرس ساعتها على الـ malicious codes كما أسميتها ,,
كما أن الـ rootkit تصنيف محدد لألية عمل لا يصح أن تطلق جزافاً على ما لا يتبعها من البرامج ,,
و أخيراً .. أخر ما خطت يداك عن الهكرز ليس صحيحا ً ,,
لم يتاح لي الوقت .. لأطلع على كامل الموضوع ,,
لي عوده ,,

 

السلام عليكم اخي العزيز.....

اولا وقبل الكلام يستحيل ان تجد انسان وصل الى مرحلة الكمال المطلق في اي علم من العلوم ومن يقول انه يستطيع ان يوفر حماية 100% فهو كاذب لانه يهدم اهم ركن واساس من اسس الحياة وهو سنه الرقي...
فكل ما وصلنا اليه من تكنولوجيا وتقدم هو مبني على انقاض الماضي ولو كان يوجد 100% لما وصلنا الى هذا التقدم؟!!!

اخي العزيز تسمية هكرز كلمة مجازية , يقصد بها من يخترق الانظمة, وربما اعتقدت من كلامي اني اتحدث عمن يسمون انفسهم بهكرز وهم منتشرون عبر الانترنت ولهم مواقع لا يا عزيزي انا لا اتحدث عن هؤلاء !!!!

ساقسم لك الهكرز الى مجموعتين كالاتي :

المجموعة الاولى:

1- 50% تقريبا في الصين.

2- 30% في المئة في روسيا.

3- 15 % باقي دول العالم..

المجموعة الثانية:

من 3% الى 5% وهم فى اوروبا والولايات المتحدة وجميعهم خبراء في البرمجة وفي انظمة التشغيل !!!


النوع الاول يمكن اعتبارهم هواة ولكن يوجد منهم فئة جيدة ومتقدمة نوعا ما , بشكل عام هذا النوع او الغالبية العظمى منه تستخدم برامج وتطبيقات صنعتها الفئة الثانية....( المحترفة)...



اما الفئة الثانية فهم اشخاص محترفون بمعنى الكلمة هم في الحقيقة مبرمجون وخبراء في انظمة التشغيل وموجودون فقط في اوروبا والولايات المتحدة ؟!!

السؤال لماذا هذه الدول فقط ؟؟؟

لان التكنولوجيا ولدت وتتطور من رحم تلك الدول !!!!


ساشرح لك باختصار بعض الطرق التي يلجأ اليها الهكرز - المبرمجين - المحترفين لتخطى الانظمة وبرامج الحماية !!

1- تحميل ملف نظيف الى جهاز الضحية يتصل بمواقع استضافة امنة مثلا VPS تابعة للمبرمج !!!

2-يقوم بتحميل برنامج الى جهاز الضحية لمعرفة نوع برنامج الحماية ونظام التشغيل...

بعض الهكرز يدمج الخطوتين معا فى خطوة واحدة !!!!

3- الخطوة الثالثة وهي الاصعب : اختراق النظام , كيف سيتم ذلك ؟!!!

هنالك طرق عدة ولكن باختصار عند تحميل اي ملف خبيث الى جهاز الضحية -malicious code - فان برنامج الحماية على الارجح سيكتشفة عن طريق السحاب؟ فما الحل ؟؟؟

اليك الحل الذي يلجأ اليه المبرمجين المحترفين !!!

يقوم بعمل هجوم Attack على الخادم - السيرفر - التابع لشركة الحمايةالذي يستخدم السحاب طبعا هو يعرف مسبقا انه لن يستطيع تعطيله او اسقاطه ولكن كردة فعل طبيعية للهجوم سيتعطل السيرفر لمدة 20 الى 30 ثانية كحد ادنى وفي بعض الاحيان تكون اكثر بقليل - حسب نوع الهجوم - ثم يعود للعمل , وهذا هو المطلوب ؟!!!

هذه الفتره الزمنية البسيطة هي قاتلة حتى يستطيع تحميل وتنصيب ملف الاختراق - payload - وسيتخطى اي برنامج حماية في غياب السحاب...

هذه احد الطرق التي تم بها تجاوز الكاسبرسكي فكانت الشركة امام تحدي كبير اما ان تجد حل لهذه المشكلة او تقوم بتغير نمط الحماية في برنامجها !!!

لذلك طورت الكاسبر سكي تقنية جديدة او استخدمت بالاحري تقنية جديدة ماخوذه من نظام التشغيل Mac هذه التقنية ستمنع تشغيل ال - Payload - حتى لو نجح الهكرز في تحمليه الى جهاز الضحية !!! على حد تعبير الكاسبرسكي !

وهذا شرح مختصر عن هذه التقنية !!!




ملاحظة تم اضافة هذه التقنية الى اداة الكاسبرسكي TDSS Killer !!!


لاحظ معي الصورة بالاسفل وساخبرك لماذا الاونلاين ارمر اعتبر الملف فايروس او خطير



هذه المرحلة تسبق مباشرة عملية تحميل ال payload الى جهاز الضحية لذلك الاونلاين ارمر اوقف الملف مباشرة حتى لو كان يحمل مليون توقيع !!!

اذا قام الهكرز بتعطيل ال Remote Server الذي يستخدمة للتحميل فان هذا التحذير لن يظهر من جديد !!!

لنعد الى الموضوع معظم شركات الحماية تستخدم سيرفر واحد وفي الاغلب اثنين من اجل السحاب !!!

باستثناء البتدفندر تقنية Auto Pilot تعتمد اعتماد كلي على السحاب وهي تستخدم 8 خوادم منتشرة حول العالم فعلى سبيل المثال اذا توقف اي واحد من هذه الخوادم فان الخادم او السيرفر الثاني سيعمل تلقائيا.....وهكذا

لذلك حتى لو حاو ل المبرمج - الهكرز ايقاف الخوادم الثمانية كما شرحت في المثال السابق دفعة واحدة فان كل سيرفر سيتوقف ل 20 او 30 ثانية كردة فعل للهجوم ثم سيعود للعمل , ما ان يتعطل الخادم الرابع حتى يعود الاول الى العمل , لذلك تخطي البتدفندر حتى من الهكرز المحترفين اصعب قليلا من باقي برامج الحماية وسيتعذب قليلا لتخطى النظام لكن تخطيه ممكنا وبطرق اكثر تطورا وتعقيدا !!؟؟

بعض الهكرز متطورين بشكل مخيف فى البرمجة ويستطيع ان يخترق النظام بملف dll من اي مكان في النظام مثال على ذلك TDSS هو عبارة عن ملف dll صغير الحجم اذا سمحت له بالعمل , راحت عليك وسيتم اختراق النظام وتحميل الدرايفر وبرنامج الحماية نايم !!!!

لذلك كثير من شركات الحماية مثل سيمانتك ومكافي اي برنامج غير موثوق مثل الكراكات يستخدم ملف dll ستعتبره مصدر تهديد وتقوم بحذفه مباشرة !!!

قبل الختام اريد ان اقول نقطة هامة جدا , التكنولوجيا التي نستخدمها الان هي قديمة جدا من ثمانينيات او تسعينيات القرن المنصرم وقد كانت بالاصل تستخدم لاغراض عسكرية ولم يتم طرحها للناس لولا اكتشاف تكنولجيا اكثر تقدما !!


على حد علمي , يوجد في الغرب تكنولوجيا متطورة جدا وبشكل مخيف في جميع المجالات كمبيوتر اتصالات .... الخ هذه التقنيات مقفل عليها فى قفل والسبب انها لو استخدمت الان ستصبح في يد الجميع وخصوصا المسلمين , والسبب الانترنت والانفتاح العالمي لذلك ستبقي هكذا الى ان يشاء الله....
بالمناسبة قانون SOPA و PIPA المزعوم انه لحماية الملكية الفكرية ما هو الا لعبة قذره من الحكومة الامريكية للحد من نشر التكنولوجيا عبر الانترنت باسم حماية الملكية الفكرية بالرغم من انه فشل ولكن سيحاولون بطرق اخرى مستقبلا !!

في حفظ الرحمن وعذرا على الاطالة​

 

ولكن كيف يستطيع الهكر اخى هيثم ايقاف السحاب مع ان الهيبس موجود فى معظم برامج الحماية اى سيخبر المستخدم ان البرنامج كذا كذا يريد ان يعطل السيرفر بطريقة او بأخرى ......

 

السحاب سيقوم بتحميل ملف الاختراق الى مختبرات الشركة وسيكتشف امره خلال دقائق او خلال ساعة على الاغلب !!!!

برامج الهيبس بدون استثناء يمكن تخطيها كشربة الماء باستثاء الاونلاين ارمر لانه يحتوي على Kernel Protection وسيرصد عملية تحميل وتنصيب ال Payload من الالف الى الياء..​

 

اخي العزيز انا اتحدث عن السيرفر الذي يستخدمه محرك الانتي فيروس لرفع البيانات لمختبر الشركة ما علاقة الهيبس بذلك ؟!!!​

 

ساشرح لك بالتفصيل , على سبيل المثال البتدفندر والكاسبر سكي عند تشغيل اي ملف على الجهاز يقوم محرك الانتي فيروس بقراءة بصمة الملف وارسالها الى مختبر السحاب وياتي الرد من المختبر فاذا كان الملف جديد وغير مسجل في مختبر السحاب فيتم تحميل الملف الى المختبر لفحصة , فاذا كان فيروس فسيتم اكتشافه خلال دقائق او لنقل في بحر ساعة زمن !!!!

لذلك السحاب قوي جدا في البتدفندر والكاسبرسكي ....

فاذا تعطل السيرفر المتصل بالانتي فيروس ولو ل 30 ثانية فان اختراق الجهاز اصبح ممكنا وسهل جدا !!!

جميع محركات الانتي فيروس تعمل من ال Kernel وهي قادرة على رصد اي عملية تحصل في النظام!!!

بالنسبة لل Payload هو Kernel Level dll file و يستحيل ان يرصده اي برنامج هيبس الا اذا كان يحتوي على Kernel Protection... كالاونلاين ارمر !!!!
​

 

السيرفر المتصل بالانتي فيروس هو خط دفاع ثانوي للنظام فكيف سيكون الامر سهل جدا!!:i:
لنفرض ان برنامج الكاسبر سكي انقطع عنه السحاب هل سيصبح اختراقه سهل جدا !!
ان لم يكن مكتشف من الانتي فيروس سيأتي دور الحمايه الاستباقيه وان لم تنجح سياتي دور التحكم في التطبيقات وان لم تنجح سيأتي دور الفيروول ولا اعتقد ان هناك ملف يستطيع تجاوز هذا كله بسهوله :q:
الكاسبر قادر على كشف تعديل النواه فهذا يعني انه يحتوي على kernal protection
ويستطيع كشف اي درايفر مشبوه في الكيرنال حتى لو كان من برنامج موثوق

واذكر انك قلت ان الكاسبر وخاصه الوضع الامن تخطيه مستحيل لانه يعمل من الكيرنال

​

 

اذا هل يمكنك ان تشرح لنا كيف يتم تخطى برامج الهيبس كشربة الماء.....

 

ما علاقة مكتبة shell32.dll بهذه الامور وبالروتكيت !!
هذه المكتبه وظيفتها معروفه وهي خاصه بالايقونات وعرض الصور والثيمات الخاصه بالويندوز وتطبيقاته
اون لاين ارمور بحساسيته العاليه هنا وخاصه لان الملف موجود في المجلد المؤقت حذر منه لكن هذه المكتبه لا علاقه لها باي نوع من انواع الروتكيت
​

 

تسجيل دخول، فقط لأن الحد زاد عن المدى

هيثم، نصيحة لوجه الله، قفل الموضوع أحسن

والا صدقني راح افحمك وازيد عليهم نفط وغاز ويورانيوم

 

السلام عليكم



اخواني بعد متابعتي الموضوع من البدايه الى اليوم لم نصل الى نتيجه ماكده اذا كان الملف روتكيت او لا بالتاكيد ما يهم هوه حماية الاجهزه منه

[FONT=tahoma, verdana, arial, helvetica, sans-serif]لماذا لا يتم انزال موضوع في احدى منتديات بارمج الحمايه مثال كاسبر ووصف الملف و اعطاء تفاصيل عنه لكي يتم فحصه بطريقه صحيحه بالاخير ما يهم حمايه اجهزتنا [/FONT]
[FONT=tahoma, verdana, arial, helvetica, sans-serif]
[/FONT]
[FONT=tahoma, verdana, arial, helvetica, sans-serif]تحياتي [/FONT]

 

طيب الهند فينها يا عم < ده انت نسيتها اهوووه :hh:

والا المملكة العربية السعودية < مليانه هكر كمان

نصهم في الصين ليه :bleh:

+ أنا استطيع صنع برنامج هكر (يصنع سيرفرات (باتشات) تهكير) وأفضل من البيفروست

هل يعني ذلك أني خبير هكر ومن الفئة الثانية وأمريكي واوروبي وخبير ويندوز؟

افرحوا يا جماعة، أنا خبير هكر باعتراف هيثم وكما عندي الجنسية الامريكية اهووووه :hh:


بالنسبة للهجوم على سيرفرات السحاب

وش عرفه الهكر إن الملف وصل أصلا، خصوصُا إنك تقول إن الملف لن يعمل إلا بعد تعطيل السحاب

ونفترض وضع ملف الهجوم في الملف نفسه، هذا يعني إن المكافح سيكتشفه وعيونة مغمضة

لأنه كما تقول سيحتوى على كود ضار


بالنسبة لملف shell32.dll، احب ابشرك، هذه مكتبة أيقونات الويندوز تستخدمها البرامج ومنها explorer.exe

ولا علاقة لها بمنع الانترنت كما تدعي،

ولكن ابشر، ابشر...

معلومات جامدة اوي يا هيثوم

ده انت دكتور واستاذ وخبير وبروفيسور، وما تزال قليلة اوي عليك

طيب يا خبير السيرفرات، ممكن تشرح لي أنا العبد الفقير لله آلية وطريقة تعطيل السحاب 30 ثانية
مش لازم تطبيق :hh:، حط كلام وبس
​

 

الكلام هذا شبه مستحيل.. ان لم يكن المستحيل بعينه

شركات الحماية لا تستخدم سيرفر واحد او اثنين ولا ثلاثة! ولا حتى 8 كما ذكرت!

+

كيف سيهاجم الهكر السيرفر المخصص للسحاب؟ وكيف سيعرف انه السيرفر المراد الهجوم عليه؟ و ماهي الطريقة اللي سيتخدمها الهكر؟

صدقني لن يستطيع اي هكر ان يعطل السحاب في اي برنامج حماية عن طريق مهاجمة السيرفر ولا لمدة 5 ثواني فقط, كيف تقول ان الهكر يعطل السيرفر لمدة 30 ثانية؟​

 

انا لا اتحدث عن الكاسبرسكي لكن ذكرته على سبيل المثال ما قصدتة جميع برامج الحماية بلا استثناء...

لنعد للكاسبرسكي , الوحدة الوحيدة التي تعمل من ال Kernel هي محرك الانتي فيروس كحال جميع برامج الحماية وهو قادر على رصد اي عملية تحصل في النظام.....

عند تشغيل اي ملف سيرسل المحرك بصمة الملف لمختبر السحاب فان لم يتعرف عليه مختبر السحاب سيتم تحميلة مباشرة للمختبر فاذا كان فيروس سيكتشف مباشرة او خلال دقائق ... نفس الشي في البتدفندر !!!

الهيبس في الكاسبرسكي لا يحتوي على ، Kernel Protection لذلك اذا نجح الهكرز في تحميل ال Payload الى جهاز الضحية اقصى ما يمكن ان يعمله ان يحذرك من تشغيل ملف dll اذا كان البرنامج في الوضع اليدوي وذلك يعتمد ايضا على نوع البرنامج الذي نجح في تثبيته اول مرة وقد لا يحذرك من الاصل....

فاذا اشتغل ملف ال dll تم اصابة النظام بنجاح لانه تقنيا يمتلك تصريح اعلى من كل طبقات الكاسبر باستثناء محرك الانتي فيروس و ل كونه غير موجود في التواقيع سيتخطاه ويصيب النظام.....

لو كانت الكاسبر سكي قادرة على ايقاف ال Payload في حال انقطاع السحاب لما استخدمت الكاسبر سكي تكنولوجيا جديدة automatic exploit prevention لمنع تشغيل ال Payload حتى لو نجح الهكرز فى تحميله الى جهاز الضحية......فانه لن يعمل على حد تعبير الكاسبرسكي وان ثبت صحة ذلك مع الوقت فذلك تطور كبير جدا لصالح الكاسبرسكي واعتقد انه صحيح !!!!



بالنسبة للوضع الامن في الكاسبر سكي تخطيه طبعا مستحيل ....باي برنامج حتى ولو كان يعمل من ال Kernel

ذكرت هذه الطريقة على سبيل المثال لاظهر فقط كيف يمكن تخطى برامج الحماية طبعا هم قلة فقط ممن يستطيعون القيام بذلك ؟!!

​

 

​

[/FONT]

وصلنا الى نتيجة مؤكدة اخي الفاضل , و بالفعل تم ارسال الملف الى المختبرات المختصة و وصل الرد بان الملف بريء من تهمة الروتكيت المدمج الهولندي :d:

​