روتكيت مدمج مع فلاش بلير يسقط عملاقة الحماية ؟!!!

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة haitham653, بتاريخ ‏سبتمبر 18, 2012.

حالة الموضوع:
مغلق
  1. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    اخي العزيز لا تقل كلام لم اقله , من قال تعطيل الهيبس ؟!!!!

    قلت لك هنالك خطوات اذا تمت سيتم اصابة النظام ولن ينفع وجود الهيبس ؟!!!


    مكتبة مين والناس نايمين ؟؟ يا اخي اتركنا من هذا الكلام الفاضي ؟؟؟

    انا اتحدث معك بموضوع وانت ترد على بموضوع اخر ؟؟؟


    ما علاقة المكتبة والمدرسة ب dll Injection ??


    على العموم ساختصر عليك , هي تقنيات تستخدم من اجل ادخال كود معين - ذو اوامر محددة - الى ذاكرة برنامج معين يعمل في الذاكرة , ويتم ذلك من خلال اجبار الملف التنفيذي على تحميل load ملف dll دون عمل shutdown او Restart للملف التنفيذي المستهدف ؟!!!!


    او ابحث فى الجوجل عن what is dll injection ? ​
     
  2. osamabudair

    osamabudair زيزوومي مميز

    إنضم إلينا في:
    ‏يناير 3, 2012
    المشاركات:
    509
    الإعجابات المتلقاة:
    88
    نقاط الجائزة:
    540
    الإقامة:
    الاردن
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    المهم الملف طلع نظيف والحمد لله

    وكل الشكر على هذا الكم الهائل من المعلومات

    ومش مستاهلة انه يصير مشاكل بسبب ملف صغير ​
     
  3. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    ملخص الفحص حسب مختبرات شركات الحماية, ملف تنصيب غير اعتيادي ل ادوبي فلاش بلير , يحتوي على ملف موقع نظامي من ادوبي بلير ولكن هذا الملف النظامي مدمج ليعمل مع ملفات اخرى غير نظامية يمكن اعتبارها

    Adware او Riskware

    للفائدة

    Adware - Wikipedia, the free encyclopedia

    Riskware - Wikipedia, the free encyclopedia


    رابط الفحص على فيروس توتال

    https://www.virustotal.com/file/825...3b305c2b750c24cdff9bb95009c119c65e6/analysis/
     
  4. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله

    في الحقيقة هذا الموضوع طويل جدا اكثر من 31 صفحة وقد استنزف مني كثير من الوقت والتعب وايضا من باقي الاعضاء

    ولكن الحمد الله لن يذهب ذلك سدى فعندى اكتشاف حصري طبعا وهو للفائدة وليس لتنقيص اي برنامج حماية

    طبعا هنالك خطأ ارتكبته واعترف به , اني قلت انه روتكيت قبل ان احصل نيتجة مختبرات فحص الحماية وتتضح الصورة 100%

    ملفا التنصيب باختصار:

    هذا الملف عبارة ادوير , البعض سيقول ادوير اي كلام ولاشي :hh: طبعا هذا الكلام مضحك والسبب :

    الادوير لا يكون خطر عندما يكون تولبار او Add-on اي برنامج اعلانات ولكن ملف dll يحقن وبطريقة خفية فهو بكل تاكيد عالي الخطورة وللاسباب التالية, طبعا انا اتحدث بشكل عام :

    ملفات ال dll تستطيع الحصول على صلاحيات مطلقة في النظام حسب الاوامر التي وضعها المبرمج !! وباختصار ملف التنصيب setup.exe قام بحقن المتصفح ب tb.dll , وبطريقة خفية وبشكل عام اي عملية حقن للمتصفح يمكن ان ينتج عنها مايلي:

    1- اعادة توجيه المتصفح الى مواقع الاختراق drive-by attack من اجل اختراق النظام.
    2- بعض ملفات ال dll خطرة جدا وخصوصا Kernel Level dll بحيث تستطيع تتبع اوامر النظام الحيوية track/trap system calls من اجل سرقة كلمات المرور اي نشاطها سيكون شبيه بالكيلوجر !!
    3- الهدف الثالث والاخير من حقن المتصفح الاتصال بسيرفر معين من اجل تحميل برامج خبيثة وبطريقة خفية ..

    مما سبق تبين ان النشاط خطر جدا لذلك هذا النوع اذا ثبت ان يقوم بضرر للنظام سيتم اعتباره فيروس اما اذا لم يثبت اي ضرر سيتم اعتباره Riskware اي برنامج خطر ويمكن ان يشكل تهديد في المستقبل لانه يمكن ان يستخدم لاحقا من قبل برامج خبيثة...

    بالمناسبة معظم الروتكيت او برامج الاختراق هي بالاصل Riskware فمن هنا يتم التحايل على برامج الحماية...

    ايضا بعض ملفات ال dll لا يمكن الكشف عنها الا بادوات خاصة , البعض لن ينفع معها اي شي غير فحص النظام من قبل مبرمجين مختصين وبادوات خاصة خصوصا اذا كانت Kernel Level dll


    الخلاصة

    من صنع هذه العينة ووضعها على الانترنت الهدف من التجربة بالدرجة الاولى اظهار قدرة المكافحات وبرامج الهيبس على وقف التهديد من نقطة الصفر قبل حصوله.....

    باختصار يمكن دمج هذا النوع من ال dll مع اي كراك او اي برنامج اخر وسيتم اختراق النظام ولكن يكتشف الا بعد وقوع الضرر !!!! وقد لا يكتشف بتاتا !!!

    الكاسبرسكي والكمودو وزيمانا انتي لوجر تدعي انها تستطيع الكشف عن اي عملية حقن ولكنها لم تنجح حقيقة في هذه التجربة ولكن هنالك ميزة وافضلية لصالح الكمودو !!!

    1- تشغيل الملفات الغير امنه في الساندبكس ...
    2- اي نشاط عالي الخطورة سيحذرك الكمودو عنه ب Unlimited Access يقصد الكمودو ان البرنامج يريد ان يحصل على صلاحيات مطلقة, لذلك اي ملف مجهول فورا بلوك مع انه قد يكون نظيف ولكن من باب الاحتياط!!!

    بالنسبة للكاسبرسكي ايقاف هذا النوع قد يكون صعب نوعا ما وقد يتطلب خبرة كبيرة من المستخدم....وفي العادة لا يكتشف هذا النوع من الكاسبر سكي الا بعد وقوع الاصابة !!!

    انا اتحدث عن التجارب من وجهة نظر فنية ولا انقص من قدر اي برنامج فمعظم برامج الهيبس قوية جدا وتخطيها صعب جدا بشرط ان تستخدم بطريقة صحيحة!!!

    على العموم هذا الموضوع كشف لي عن ثغرة قاتلة ومميتة في الكاسبر سكي تجعل اي مبرمج قادر على تخطيه وبسهوله..

    كيف...؟؟!!!!!!!

    هذا الامر يحتاج الى موضوع منفصل للتحدث عنه حتى ياخذ حقة من النقاش لكن انا متاكد 100000% من الاكتشاف الحصري والاول من نوعة عبر الانترنت.....

    سيتم طرح الموضوع للنقاش بعد 48 ساعة وبعد طرحة في زيزوم ربما اطرحه في منتدى الكاسبرسكي لارى خبراء الكاسبرسكي ماذا سيردون على الموضوع :hh::hh::hh:

    اراكم قريبا بحول الله​
     
  5. yones7x

    yones7x عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏سبتمبر 18, 2010
    المشاركات:
    10,474
    الإعجابات المتلقاة:
    3,944
    نقاط الجائزة:
    1,220
    الإقامة:
    الإمارات - دبي
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    واو اكتشفت ثغرة :d:

    ضعها وصدقني إذا كانت تمس بأمن الكاسبر < كأن يتم إغلاقه مثلًا :d:

    سانزل ليلة سقوطه في اليوم التالي :bleh:


    بالنسبة لملفات dll التي تتكلم عنها، هل الكلام مجرد رأي أم كلام علمي؟

    إن كان الاخير يا ليت مصدر الله يخليك :bleh:
     
  6. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    الثغرة ليس لها علاقة بامن الكاسبر بل بامن المستخدم, ساوضح لك الامر قليلا !!!

    القوة ليست في تعطيل برنامج الحماية بل القوة في استغلال نظام وضعه الخبراء لحماية المستخدم من اجل خرق امن المستخدم هنا تكمن القوة !!!

    كيف تم حقن المتصفح بملف tb.dll دون ان يرصده الكاسبر سكي !!

    انتظر الجواب في موضوعي القادم ساحاول طرحه اليوم.....

    بالنسبة لملفات ال dll اخي العزيز او حقن ال dll باختصار

    هي تقنيات تستخدم من اجل ادخال كود معين - ذو اوامر محددة - الى ذاكرة برنامج معين يعمل في الذاكرة , ويتم ذلك من خلال اجبار الملف التنفيذي على تحميل load ملف dll دون عمل shutdown او Restart للملف التنفيذي المستهدف...

    الهدف من هذه العملية الحصول على تصريح عالى في النظام دون ان يلحظ المستخدم او برنامج الحماية ذلك للقيام بامور معينة لا يمكن القيام بها بالطرق الاعتيادية...


    ساضرب لك مثال:

    spoolsv.exe هذا احد ملفات النظام وهو المسؤل عن الطباعة, انظر الى هذا الروتكيت كيف نجح بتخطي النظام وبرنامج الحماية وتصوير الشاشة من خلال حقن spoolsv.exe ب dll.dll وارسال الصورة عبر الانترنت عن طرق
    spoolsv.exe ؟؟؟

    لاحظ dll.dll يعمل مع spoolsv.exe

    [​IMG]

    spoolsv.exe يرسل الصورة عبر الانترنت من خلال المنفذ 1035

    [​IMG]

    بالنسبة للمصدر لا اتوقع شخص يذهب الى طبيب وبعد التشخيص يقول للطبيب اريد مصدر معلوماتك ؟!!

    لقد ضربت لك مثال واقعي لاحد انواع ال TDSS

    اذا اردت معلومات عن حقن ال dll ابحث في الجوجل what's dll injection ??

    وربما تجد ضالتك !!!

    لان الموضوع طويل جدا ومعقد ولا يمكن اختصاره بكلمتين !!

    واخيرا المعلومة لاتاتي بالقراءة بل تاتي من الممارسة والخبرة !!

    بالتوفيق
     
  7. yones7x

    yones7x عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏سبتمبر 18, 2010
    المشاركات:
    10,474
    الإعجابات المتلقاة:
    3,944
    نقاط الجائزة:
    1,220
    الإقامة:
    الإمارات - دبي
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    الرد بالألوان :bleh::

    من قال لك إنه تم الحقن،
    في الحقيقة، تم تسجيل التولبار في الريجستري، ليشغله الانترنت اكسبلور كتولبار وهذا شيء تقوم به كافة التولبارات، وهو واضح في فيديو تجربتي في هذا الموضوع، والذي أظن أنك لم تره حتى الآن :q::q:

    لا علاقة بما تقول بماذا يحدث مع tb.dll

    واو، عملية مسؤولة عن الطباعة، تستخدم الانترنت :q: + حسب الاتصال الذي ذكر، حسب التعليق localdomain
    أي إن الاتصال عبر نطاق محلي (اتصال محلي)

    + ما يضمن لي إن هذه العملية مجرد فايروس متنكر بنفس اسم العملية المسؤولة عن الطباعة

    حيث أن هاش ملف spoolsv.exe لدي (ويندوز 7 التيميت الحزمة الخدمية 1):
    SHA-1: B881761B68DC691DE7792E55701AF964BB3DF855


    مع تحياتي لك
     
    أعجب بهذه المشاركة medoshow061
  8. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7

    وماذا تسمي هذا الملف

    [​IMG]

    الملف مسجل على انه للتحميل من اليوتيوب ولكنة ليس بتولبار ولا يضيف شي للمتصفح !!!

    لكنه يعمل مع المتصفح في الخفاء وتم تحميلة وتنصيبه ايضا في الخفاء

    ساخبرك في موضوعي القادم كيف تمت هذه العملية من الالف الى الياء !!

    بالمناسبة هذا الملف مكتشف من الافيرا على انه Adware

    الصورة لاداة الايست لنظام مصاب بنوع من انواع TDSS !!! وهو فعلا يصور الشاشة !!

    وبالنسبة لسؤالك اداة الايست اظهرت ان الملف يحمل توقيع رقمي من مايكروسفت

    وكذلك الاتصال ظهر باللون الاخضر :bleh:

    [​IMG]

    [​IMG]
     
  9. yones7x

    yones7x عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏سبتمبر 18, 2010
    المشاركات:
    10,474
    الإعجابات المتلقاة:
    3,944
    نقاط الجائزة:
    1,220
    الإقامة:
    الإمارات - دبي
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    هيثم، ما رأيك إن لدي ويندوز اكسبي SP3 خااام وملف spoolsv.exe نفس الذي ذكرته وبنفس التاريخ و و و

    لكن الهاش
    SHA-1: 10C070CFD77C8AF30DFA801A8CC3D330317C8E9F

    + ملف spoolsv.exe لا يوجد له توقيع رقمي :hh: و كذلك معظم برامج مايكروسوفت التي مع النظام إن لم تكن كلها :hh:


    + ما علاقة النظام المصاب بـ TDSSالذي تتكلم عنه بالملف adware الذي اتكلم عنه

    + أنا حللت الملف install_flash بالاونلاين ارمور، معقولة الاونلاين ارمور الذي تمدحه كل يوم، لا يستطيع كشف عملية ضارة < مع تجاهل عملية تصوير الشاشة الخاطئة

    ولكن للأسف حتى الآن لم تشاهد تجربتي
     
    أعجب بهذه المشاركة medoshow061
  10. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    ال TDSS ذكرته لك كمثال على عمليات حقن dll فقط لا اكثر لاظهر ماذا يمكن ان تفعل بالنظام وليس له علاقة بالادوير او التجربة السابقة !!​
     
  11. yones7x

    yones7x عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏سبتمبر 18, 2010
    المشاركات:
    10,474
    الإعجابات المتلقاة:
    3,944
    نقاط الجائزة:
    1,220
    الإقامة:
    الإمارات - دبي
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    طيب هذا قلت عنه مثال

    لكن ماذا عن عملية spoolsv التي تقول عنها آمنة وتوقيع رقمي :d:؟

    هل هي عملية وهمية للخداع أم عملية مايكرسوفت الحقيقية؟ :bleh:
     
  12. haitham653

    haitham653 زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 11, 2008
    المشاركات:
    1,455
    الإعجابات المتلقاة:
    142
    نقاط الجائزة:
    650
    الإقامة:
    Jordan
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    والله تعبتني معاك تسال سؤال ارد عليك جواب واضح , تغير الموضوع او صيغة السؤال !!!

    كلمة موقع قصدت بها ادات الايست قالت ان الملف حقيقي لميكروسف انظر لكلمة signer

    [​IMG]

    وبالنسبة لسؤالك عن spoolsv هذه عملية وهمية والروتكيت يتحكم بالملف من خلال dll.dll لكن الملف نظامي وتابع لميكروسفت !!!
    بهذه الطريقة يتم التحايل على برامج الحماية والمستخدم......

    يمكن للنظام ان يستخدم نفس العملية دون ان يؤثر على نشاط الروتكيت والعكس صحيح !!!​
     
  13. yones7x

    yones7x عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏سبتمبر 18, 2010
    المشاركات:
    10,474
    الإعجابات المتلقاة:
    3,944
    نقاط الجائزة:
    1,220
    الإقامة:
    الإمارات - دبي
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    والله جد يا هيثوم :d:

    ملف نظامي وله توقيع رقمي، ما شاء الله عليك

    ايش رايك اقول لك إن spoolsv.exe ما له توقيع رقمي أصلا

    + الهاش ليش متغير عندك ! :d:
     
    أعجب بهذه المشاركة medoshow061
  14. MR.Avira

    MR.Avira زيزوومي مبدع

    إنضم إلينا في:
    ‏سبتمبر 26, 2010
    المشاركات:
    1,214
    الإعجابات المتلقاة:
    317
    نقاط الجائزة:
    670
    الإقامة:
    Al Ain - UAE
    برامج الحماية:
    ESET
    نظام التشغيل:
    Windows 8
    الم تقل فى البداية ان spoolsv عملية موثوقة والان تقول وهمية ؟!
     
  15. المستقبل للإسلام

    المستقبل للإسلام زيزوومي مبدع

    إنضم إلينا في:
    ‏مارس 17, 2011
    المشاركات:
    1,389
    الإعجابات المتلقاة:
    486
    نقاط الجائزة:
    670
    الإقامة:
    Egypt
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    مشكوور على طرح الموضوع
    بالنسبة للكاسبر
    طبيعى جدا إن لو مش فاهم البرنامج اللى هتستخدمه آمن أو لأ المفترض إنك تقول لا أثق
     
  16. (مباشر)

    (مباشر) زيزوومي مميز

    إنضم إلينا في:
    ‏أكتوبر 3, 2009
    المشاركات:
    366
    الإعجابات المتلقاة:
    23
    نقاط الجائزة:
    480
    الإقامة:
    قريب منك
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows XP
    -


    نقاش حلو وجميل
    فيه معلومات كثيره مفيده
    الأكشن الي في الموضوع اعجبني :d
    واصلو ونحنوا المستفيدون :$ خخ
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...