ليلة سقوط الـ Online Armor 6 (ثغرة خطيرة)

[yones7x]

السلام عليكم ورحمة الله وبركاته

تم اليوم ترويض الأونلاين ارمور والغدر به (إصدار 6.0.0.1736)

يشترط لنجاح الثغرة أن يكون الملف موثوق

وتم عمل تجربة مصورة
[HIDE]رابط التحميل:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/HIDE]
مدة الفيديو: 8:56

ملاحظة: حجم الفيديو بعد فك الضغط يعادل 1 غيغا، الرجاء التأكد من وجود مساحة بالقرص قبل الإستخراج

 

[أحمد البدارنة]

تم المشاهدة
بارك الله فيك
تجربة روعة

 

[.: OMAR :.]

وعليكم السلام ورحمة الله
هلاا بيونس ,
رائع أخي يونس , يعطيك العافية ..
..
على ما أظن نوعاً ما ثغرة خطيرة .. و لكن أظنها غير عملية جداً أخي يونس .. فلفد لاحظت في التجربة الثانية إن ملفك حاول حقن عملية موثوقة و هي حركة ذكية و لكن الاونلان أرمور أوقفها ..

وفي الملف الاولى لاحظنا ماذا حصل لان الملف موثوق !
..
لكن أظن إنها لن تكون عملية جداً أخي ...

فيجب كما قلت إن يكون ملف موثوق , أو يحاول الملف العبث او حقن عملية موثوقة , ما سيقوم غالباً الاونلان آرمور في آكتشافها ,,
ولكن الخطر يكون في حال أحد المستخدمين إعطا الوثوق الكامل للملف في أول تحرك له :


هنا بالفعل يكون قد وقع المستخدم .. ولكن أغلب مستخدمي الاونلاين آرمور خبراء أو متوسطي الخبرة و سيتجنبون الامور المشابهة
وثغرة يجب إن تنتبه لها شركة الامسيسوفت
..
في النهاية ..
أكرر شكري لعملك الرائع أخي يونس
وإلى الامام ..
أطيب تحية

 

[محب للخير]

سلمت يمناك عزيزي يونس على هالتجربة الرائعة ،، بس ياترى ، هل اعدادات البرنامج على المستوى العالي حتى نقدر نحكم انه يمكن اسقاطه بسهولة ام انها على الافتراضي ولم يتم تغيير اي شي،،،،


في انتظار ثعلب خبير الاونلاين


تعجبني هذه التجارب دليل على ابداعات شبابنا العرب وثقافتهم وهالشي طبعا يرفع الراس


سلمت يمناك عزيزي وبيض الله وجهك ورفع قدرك وحرمه عن النار ،،،

 

[Pilent ReX]

و عليكم السلام ورحمة الله وبركاته​

​

رائع يا يونس ... و لكنها لا يعد ثغرة بحد ذاته و لم يتمكن من إسقاط البرنامج​

​

فقط نجح KOA.au3 في إغلاق عمليات البرنامج و إغلاق ايقونته بجانب الساعة وهذا شائع ​

​

إذا الملف موثوق و يقوم بهذه الأعمال هل أعطيه صلاحيات كاملة من العمل ؟ بالطبع لا​

​

إذن أنت أعطيت الملف KOA.exe الثقة المطلقة من خلال الضغط على Trust في قائمة البرامج بالاونلاين ارمور​

​

هنا سينقل الملف إلى قائمة الملفات الموثوقة التي يثق بها الاونلاين ارمور و يعطيها صلاحيات كاملة من العمل ؟ كيف​

​

لأنك أعطيته أعلى علامة في الثقة و هي علامة موثوق Trusted هنا يثق بالتطبيق مع الثقة بسلوكياته و فيما يقوم به ايضاً​

​

في هذه الحالة سيثق بكافة تحركات الملف موثوق سيدعه يعمل براحته و يقوم بأي عمل يريدها ​

​

بارك الله فيك أخي الغالي يونس و لكن الحق يقال يا غالي​

​

​

 

[Pilent ReX]

وعليكم السلام ورحمة الله

هلاا بيونس ,​

رائع أخي يونس , يعطيك العافية ..​

..​

على ما أظن نوعاً ما ثغرة خطيرة .. و لكن أظنها غير عملية جداً أخي يونس .. فلفد لاحظت في التجربة الثانية إن ملفك حاول حقن عملية موثوقة و هي حركة ذكية و لكن الاونلان أرمور أوقفها ..​

مشاهدة المرفق 19235​

​

​

​

​

لا يا غالي عمر ليست عملية الحقن و إنما عملية التعديل على عملية موثوقة أخرى تابعة للملف الأصلي الذي يريد قتل الاونلاين ارمور !​

​

هنا رسالة عادية لأنها لا تحاول التعديل على النظام و إنما تحاول التعديل على عملية تابعة لها و هذا الامر يحدث بشكل طبيعي ​

​

يعني الامر هنا سليم و أن سمحت له بالتعديل و لكن تكون خطيرة إذا حاولت التعديل على عملية تابعة للنظام و ليس للملف الأصلي​

​

​

​

باختصار نسمح له بالتعديل و لكن أن حاول التعديل Modify على عملية تابعة للنظام System هنا قرار الصائب Block And Terminate ​

​

​

 

[سهران يا ليل]

معقول سقوط Online Armor

 

[ثعلب الجزائري]

وعليكم السلام ورحمة الله تعالى وبركاته​

=======​

بارك الله فيك اخي يونس​

===​

التجربة الاولى نجاح تام للملف لكن على حد علمي صيغة AU3 لا تعمل الا اذا كان الاوتوات منصب على الجهاز ..اتمنى ان يجيبني مستخدمو الاوتوات​

فإذا كانت تعمل بدون وجود الاوتوات على الجهاز فأنا اهنئك على نجاحك​

==​

التجربة الثالثة لا يمكن اعتبارها نجاح لأن المستخدم هو من اختار الوثوق بالملف​

​

 

[' فـلسفـه ..]

و عليكم السلام ورحمة الله وبركاته​

​

رائع يا يونس ... و لكنها لا يعد ثغرة بحد ذاته و لم يتمكن من إسقاط البرنامج​

​

فقط نجح KOA.au3 في إغلاق عمليات البرنامج و إغلاق ايقونته بجانب الساعة وهذا شائع ​

​

إذا الملف موثوق و يقوم بهذه الأعمال هل أعطيه صلاحيات كاملة من العمل ؟ بالطبع لا​

​

إذن أنت أعطيت الملف KOA.exe الثقة المطلقة من خلال الضغط على Trust في قائمة البرامج بالاونلاين ارمور​

​

هنا سينقل الملف إلى قائمة الملفات الموثوقة التي يثق بها الاونلاين ارمور و يعطيها صلاحيات كاملة من العمل ؟ كيف​

​

لأنك أعطيته أعلى علامة في الثقة و هي علامة موثوق Trusted هنا يثق بالتطبيق مع الثقة بسلوكياته و فيما يقوم به ايضاً​

​

في هذه الحالة سيثق بكافة تحركات الملف موثوق سيدعه يعمل براحته و يقوم بأي عمل يريدها ​

​

بارك الله فيك أخي الغالي يونس و لكن الحق يقال يا غالي​

​

​

​

وليس الاون لاين ارمور فقط من سَ يثق ب التطبيقات الموضوعه في قائمةة الملفات الموثوقه​

بل كل برامج الحمايه ولا اجدها ثغره ابداً​

ولكن التجربه الاولى ​

وهي تشغيل السكربت اللتي استطاعت ايقاف الارمور هي اللتي شدتني ولم تم دمج كود او اوامر خبيثه ل العبث ف الجهاز وتخريبه​

لكانت التجربه افضل ب كثير من مجرد ايقاف الارمور​

التجربه الثانيه وبعد التنبيه الثالث اللذي ب اللون الاحمرر ​

وهي عملية حقن و تحكم بِ الهدف و ب شكل​

و الاون لاين ارمور ينصح ب حظر السلوك وانت عملت سماح معللاً في المستند النصي​

​

​

وهذا خطأ فادح فكيف لي ان اسمح ب هذا السلوك من برنامج غير معروف !​

ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور​

​

 

[ثعلب الجزائري]

​

التجربه الثانيه وبعد التنبيه الثالث اللذي ب اللون الاحمرر ​

وهي عملية حقن و تحكم بِ الهدف و ب شكل​

و الاون لاين ارمور ينصح ب حظر السلوك وانت عملت سماح معللاً في المستند النصي​

​

​

وهذا خطأ فادح فكيف لي ان اسمح ب هذا السلوك من برنامج غير معروف !​

ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور​

​

كنت سأذكر هذا ولكن لم افعل كي لا يتم ااتهامي بالتعصب له​

+​

بالنسبة للسطر الاخير من ردك​

"ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور"​

​

حتى ملفات التنصيب غير المعروفة للأون لاين ارمور وهي "كثيرة" لاتقوم بالتعديل على ملف يشتغل بالذاكرة ​

​

حيث انني استخدم الاونلاين ارمور منذ ثلاث سنوات وشغلت الكثييييييير من ملفات التنصيب غير المعروفة للأونلاين ارمور ولم اثق بها عند التنصيب لم تقم ابدا بالتعديل على ملف يشتغل بالذاكرة ​

​

​

​

​

​

 

[tariq al]

كالعادة أخي الكريم مبدع فيما تقدم ^ـ^

في التجربة الأولى هل استخدمت خدعة تحريك الماوس للموافقة على ايقاف تشغيل البرنامج ؟


الخدعة الثانية تكون على مسؤولية المستخدم لوضعه البرنامج كموثوق

أمر اخر لم أرى رسالة استخراج الملف installskybe.exe ! وأظن السبب الان وضع البرنامج على stander mode

في الأخير لكل برنامج نقطة ضعف ولا يوجد برنامج كامل

 

[Pilent ReX]

​

​

​

وليس الاون لاين ارمور فقط من سَ يثق ب التطبيقات الموضوعه في قائمةة الملفات الموثوقه​

بل كل برامج الحمايه ولا اجدها ثغره ابداً​

ولكن التجربه الاولى ​

وهي تشغيل السكربت اللتي استطاعت ايقاف الارمور هي اللتي شدتني ولم تم دمج كود او اوامر خبيثه ل العبث ف الجهاز وتخريبه​

لكانت التجربه افضل ب كثير من مجرد ايقاف الارمور​

التجربه الثانيه وبعد التنبيه الثالث اللذي ب اللون الاحمرر ​

وهي عملية حقن و تحكم بِ الهدف و ب شكل​

و الاون لاين ارمور ينصح ب حظر السلوك وانت عملت سماح معللاً في المستند النصي​

​

​

وهذا خطأ فادح فكيف لي ان اسمح ب هذا السلوك من برنامج غير معروف !​

ضف الى ذالك ان برامج التنصيب فِ الغالب تكون موثوقه ولن يصدر هكذا تنيه من الارمور​

​

​

​

​

​

نحن نتكلم عن الاونلاين ارمور و ليس عن برامج حماية أخرى ​

​

سبقاً و أن وضحت هذه التنبيه في ردي السابق رقم 6 راجعها ​

​

و اقتبس منك أخي الكريم​

​

وهي عملية حقن و تحكم بِ الهدف و ب شكل

​

لا يوجد أي عملية الحقن هنا​

​

هذا السلوك عادي و طبيعي و ظاهر أنك تعتمد على لون الأحمر في الرسائل على أنها خطيرة ... ليس تماماً أخي​

​

العملية المجهولة (KOA.exe) يحاول تعديل Modify على عملية موثوقة(InstallSkype.exe) تابعة للملف القاتل و ليس للنظام System​

​

برأي رسالة نظيفة و اختيار يونس لقرار السماح القرار السليم لأنه لا يعقل أن نمنع الملف من أن يتحكم أو يعدل عملية موثوقة تابعة لها ​

​

​

​

 

[yones7x]

إخواني الكرام،

المقصد من هذا الموضوع، إن الأونلاين ارمور تم إغلاقه من عملية موثوقة

والمفترض أن لا يتم إغلاقه أبدًا ولو من عملية موثوقة

وصلت الفكرة...

 

[MagicianMiDo32]

أكتشفت هذه الثغرة في جميع برامج الحماية تقريبا
وأستغلالها يكمن في عمل دمج
بين ملف موثوق وفيروس او جعل ملف سلوكه عادي كأي ملف آخر
بحيث يأخذ الفيروس الصلاحيات الكاملة للعمل
وكأن الجهاز لايحتوي على برنامج حماية!!!
هذة الثغرة الخطيرة نجحت في أسقاط برامج حماية عديدة
ماعدا أثنين
كاسبر سكاي
وهذا لأنه لايعطي الوثوق بالملف بنسبة 100%
لذلك أما ستظهر رسالة من الهيبس لتعلمك بمحاولة ملف في المجموعة(موثوق)التعديل على ملف أو عملية اخرى
وكذلك الترست بورت حيث أنه يستخدم نفس تقنيات هيبس الكاسبر تماما
ويمكنه صد هذة الهجمات من نفس هذة النوعية
حيث أنه أضافة الى هذة يضع قواعد وثوقية عالية الدرجة يصعب تقليدها
كما أنه سيكشف أن تواقيع الفيروس (مزورة) باستخدام أحدى تقنيات الهيبس الموجودة به
وهي (حاجب السلوك المتقدم)و(فاحص الملفات الموثوقة)
وأحتمال كبير أيضا ان يكشفه باستخدام (محلل السلوك الدقيق)وهو مدمج مسبقا في (الحارس في الوقت الحقيقي) وعند كشف فيروس يمكنك أن تعرف انه (مكتشف بالمحلل)
حيث لايضع(أسم المحرك المكشوف به ) ويمكنك متابعة هذا من(التقارير)مع العلم ان البرنامج يستخدم 3 تواقيع في الفحص هم بتديفندر وأفج ومحركه الخاص أيضاوالأخير ليس قويا
وان كان الفيروس سيتخطى الحماية التلقئية
فهل سيتخطى حاجب السلوك
أو محلل الهاش المتقدم
او فاحص الوثوقية
أو محلل الملفات العميق(ديب جارد)وهو ايضا موجود في أف سيكور
كل هذة التقنيات مدموجة في الهيبس
حيث ان للهيبس عدة أنواع
وترست بورت يستخدم (هيبس مركب ) وهو هيبس يضم أنواع اخرى من الهيبسP:
---------------
مع العلم أن ايا من هذة البرامج لن يتم كشفه بالأفتراضي
بل يجب ضبته على اليدوي
بالنسة لترست بورت
فقط
الغ تحديد هذا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بالمناسبة
فقط الهيبس الخااام
الذي لايحتوي على(قواعد وثوقية)مثل أداة بروسيس هيبس التي أخترعتها يايووونس
لايمكن أختراقها بهذة الطرق
وبرنامج آخر
لكن لن يصدقني أحدريزنج
محبكم \\ ميدو

 

[MagicianMiDo32]

وحملو الفيديو مالمتصفح

 

[nizarawi]

رد مطور online armor
Kill protection in general is rather useless, especially if you are using an Administrator account. There are dozens of ways to kill processes, no matter how hard they try to prevent being killed. So unless this method is actually being used by malware

 

[MagicianMiDo32]

الطريقة الأولى نجاح تام ولاشك
وأظن السبب هو
أن سلوك الملف عادي ولن يشك به
أو أنه قام بالوثوق به
الأخيرة
بالوثوق بالملف طبعا يأخذ كافة الصلاحيات للعمل

 

[yones7x]

بالمناسبة، من يريد تجربة الملف يرسل لي رسالة

بشرط أن يضع تجربته في الموضوع