نحو وعي امني زيزوومي (حزم ثغرات المتصفح)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏ديسمبر 11, 2013.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    111.png

    ** حزم ثغرات المتصفح (BEP كاختصارآ او Browser Exploit Pack )أصبحت في الوقت الحالي من أخطر الطرق لتنفيذ Client Side Attacks من خلال ثغرات لمتصفحات الأنترنت مثل MSIE و Firefox و Opera و غيرها . و في هذه التدوينة نلقي الضوء و نفسح المجال لشرح و تفسير فكرة و مفهوم عمل الـBEP و مدى خطورتها و كيفية عملها بالتفصيل ..

    من احد اسباب كتابتي لهذا الموضوع هو الانتشار الواسع هذه الأيام لإستخدامات الـBEP بشكل ملحوظ و الأعلان عن انواع و اصدارات جديدة بشكل دائم بالـ Underground Forums & Sites

    اولا دعونا نعرف ما هو معنى Browser Exploit Pack و ما مدى الخطورة المترتبة على استخدامها .

    Browser Exploit Pack : هو ببساطة كما يفهم من الأسم Pack اي مجموعة او pacakge من ثغرات المتصفحات “browser exploits ” فهو ببساطة عبارة عن نظام كامل او exploit system قريبه من فكرة frameworks لتنفيذ هجوم اوتوماتيكي بتشغيل اكواد ضارة عن طريق ( Shellcode ) على الأجهزة المصابة بثغرات المتصفح

    فكرة الـBEP هي عبارة عن تجميع شامل لجميع ثغرات المتصفحات التى قد اعلن عنها و ظهرت مؤخرا في متصفحات الأنترت و اشهرها MSIE الذي قد عانى و مازال يعاني من ظهور ثغرات و اخطاء امنية كثيرة مقارنه بمتصفح Firefox الذي اثبت جدارته حتى الأن في ظهور ثغرات قليلة و في اصدارت محدودة جدا , و يتم ترتيب هذه الثغرات في شكل نظام هذا النظام يتم عاده برمجته بلغة الـPHP مع MYSQL و يهدف النظام لعمل Mass Exploit على الهدف بجميع الثغرات التى تصيب المتصفح او البرامج الخارجية التى لها اضافات Activex ( في حاله Internet Explorer) او plugins في حاله متصفح الـFirefox ..

    ديناميكا و اسلوب عمل الـBEP هو كالتالي :

    1) تحديد نوع المتصفح الذي سوف يتم عمل عليه Mass Exploiting عن طريق تحليل HTTP Headers المرسلة من المتصفح و التى تظهر معلومات عن نوع المتصفح و اصدارة و نوع نظام التشغيل ..

    مثال على ذلك جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Firefox 3.0.15 :

    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.0.12) Gecko/2009070611 Firefox/3.0.15

    او جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Internet Explorer 7 :

    Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

    و يتم التعرف على الـUSER AGENT عند زيارة صفحة ويب و جلب المعلومات عن طريق إستخدام مثلا دالة “ [‘SERVER[‘HTTP_USER_AGENT$ ” في لغة PHP و منها تبدء اول خطوة و هو تحديد الهدف نوع النظام و نوع المتصفح و اصدارة ..

    2) تحديد البرامج التى تكون موجودة و مركبة على النظام مثلا وجودAdobe Reader او FOXIT او Adobe Shockwave او Realplayer , …. و يتم معرفة هذا عن طريق اختبار وجود Activex الخاص بهذة البرامج او CLSID الخاص بكل برنامج في متصفحات انترنت اكسبلولر او عن طريق plugins بمتصفح FF

    و من الممكن ايضا تحديد الأصدار الخاص بكل برنامج بنفس الطريقة و معرفة رقم الأصدار بالتحديد و يتم بعدها الأنتقال لخطوة الـMass Explotiing بشكل سريع .

    3) تنفيذ الهجوم على النظام عن طريق تجربة جميع الثغرات التى قد تصيب هذا النظام .. مثلا اذا كان الهدف او الضحية التى يتم التطبيق عليه كان من مستخدمين windows Xp و متصفح Internet Explorer 6 هنا سوف يكون عمل BEP اولا بمعرفة نوع النظام و الأصدار عن طريق User Agent المرسل في Http Headers المرسلة إلى الخادم و سوف يقوم النظام بتجربه جميع الثغرات التى قد تصيب اصدار هذا المتصفح مثلا كثغرات : MDAC , DirectShow (Mpeg-2), Aurora و اذا كان النظام غير مرقع لأحدى هذة الثغرات سوف يتم تنفيذ و تشغيل الـ shellcode بنجاح و يتم التسجيل في لوحة تحكم الـBrowser Exploit Pack بنجاح تشغيل الشيل كود على هذا النظام ..

    قد يسألني احدكم و كيف يعلم انه تم اصابة هذا الهدف بنجاح و تطبيق عليه الثغرة و تشغيلها ؟ هل عندما يتم عمل run لـshellcode مثلا reverse backdoor او bind يتم بمعرفة اختراق هذا الجهاز ؟ ام ماذا ؟

    هذة طريقة غير عملية بإلاختراق عن طريق shellcode بفتح منفذ او port في الجهاز المصاب بالثغرة .. خصوصآ عند اختراق عدد كبير جدا يصل إلى الاف من الضحايا و من الصعب اختراقهم جميعا عن طريق bind او reverse backdoor .. لذلك يتم غالبا استخدام Download & Execute shellcode لتحميل و تشغيل ملف تنفيذي (EXE) بشكل مباشر لملف تروجن خبيث لـBotnet او Rat او غيرها من البرامج الخبيثة ..

    و يتم استخدام فكرة بسيطة جدا لمعرفة اذا قد تم اختراق الجهاز و تنفيذ الشيل كود عليه بشكل مباشر ام لا. و هي جعل الشيل كود يقوم بعمل download لملف بأمتداد php بدل من امتداد تنفيذي و مهمة هذا الملف ببدايته عند تشغيله هو تحديد الأي بي الخاص بالزائر و تسجيله في قاعدة البينات الخاصة بالـBEP ان صاحب هذا الأي بي قد تم اصابته و تنفيذ الشيل كود بنجاح عليه و بعدها يتم تنفيذ كود PHP اخر بنفس الملف لعمل request او دونلود لملف الـTrojan الخبيث على النظام المصاب ..

    فمثلا ببساطة نفترض اذا قام احدى الأشخاص بزياره موقع قد وضع فيه Hidden Obfuscated Iframe Code و الذي يقوم بتشغيل ملف التنفيذ الخاص بالـbep و بشكل لا يؤثر على ظهور الصفحة و يتم بعدها الـBEP بتحديد نوع المتصفح مثلا Internet exploer 6 و نوع النظام Windows Xp و يتم تجربة مثلا ثغرة Aurora التى ظهرت مؤخرا و كانت السبب في اخترقات حسابات جوجل الصينية لناشطين في حقوق الأنسان و التى قد اثارت ضجة كبيرة في هذا الوقت .

    و نفترض انه هذا النظام كان غير مرقع ضد هذة الثغرة و تم تشغيل الشيل كود بنجاح سوف يقوم الشيل كود بمحاولة عمل download مثلا لرابط http://localhost/bep/loader.php و ملف الـloader يقوم عند تشغيله بأخذ User_Agent و Remote_IP و تسجيلهم في قاعدة البينات بأنه صاحب هذا IP Address قد تم تنفيذ الشيل كود عليه بنجاح و يتم بعدها تنفيذ كود HEADER في لغة PHP الخاص بعمل دونلود لملف الـEXE الخبيث .

    و يتم معرفة كل شئ و التحكم في هذا النظام عن طريق لوحة تحكم ايضا مبرمجة بلغة PHP و هي تظهر معلومات تفيد مستخدمها في معرفة الكثير من الأحصائيات و المعلومات .

    مثلا في لوحة تحكم تظهر ما هو عدد الزوار او الضحايا الذين قامو بالدخول على الملف الرئيسي لتنفيذ الـBEP و ما هي انظمة التشغيل و كم عددها و ما هي انواع المتصفحات التى يستخدمونها و ما هو عدد الأصابات الناجحه من اجمالي الزوار أو الـunique hits التى وصلت إلى النظام ..

    مثال على ذلك :

    Unique Hits : 1000 – Unique Loads : 200 – Loads Percent 20%

    و تعنى انه قام بالدخول 1000 زائر على الـExploit Pack و تم اصابة منهم 200 نظام و نسبة الأصابة هي 20% ..
    و كما نرى انه استخدام الـBEP يقوم بعمل Massive Spread و بشكل سريع جدا في جلب الاف الاف من الضحايا في وقت قصير عن طريق وضع اكواد خبيثة في مواقع مخترقة و عند دخول الزوار على هذه المواقع من غير يتم تجربه الثغرات و اذا وجد ثغرة متاحة يتم تنفيذ الشيل كود و البرامج الضارة على النظام .

    وهذه الحزم تباع بالـMalware Markets او BlackMarkets في Underground Forums بأسعار تتراوح ما بين 600$ إلى 2000$ ..
    و بالطبع فرق الأسعار يختلف عن المميزات بكل واحده بلوحة التحكم و الأمكنيات التى توفرها
    و يكون السعر أغلى حسب المميزات و الأمكانيات و نسبة و قوة الثغرات المضافة في كل BEP و بالطبع جميع هذه الثغرات هي غير مكشوفة تماما من اي AVS لأنه كود الثغرة بيكون Fully Ofbuscated بشكل معقد صعب فهمه او تحليلة على برامج الحماية لذلك لا يتم الوثوق في برنامج الحماية فقط كوسيلة للحماية من هذه الهجمات لأنه يتصل غالبا هذة الباكات تصل إلى نسبة 100% Fully Undetected من برامج الحماية المشهورة ..

    المقاله منقوله للفائده (مع تعديل طفيف)
    ورغم قدم هذه المقاله بعض الشئ الا ان الامر ما زال خطيرا وواسع الانتشار وهذه صوره لواحده من هذه الحزم والتي صدرت منذ عده اشهر ويتم تحديثها باستمرار من خلال مطوريها وفيها الانظمه التي تم اختبار الثغرات عليها بنجاح

    Screenshot from 2013-12-11 21:29:30.png
    222.png

    كيفيه الحمايه من هذا النوع من الاختراق

    1-تعطيل اضافات المتصفح التي لا حاجه لها

    2-تحديث اضافات المتصفح باستمرار

    يمكنك استخدام هذا الموقع لمعرفه الاضافات التي تحتاج لتحديث

    https://browsercheck.qualys.com/

    3-استخدم اضافه noscript والتي تعد بمثابه جدار ناري للمتصفح

    4-تغيير user agent للمتصفح عن طريق اضافه User Agent Switcher للتحايل علي الحزم

    ذكرنا ان اول شئ تقوم به Exploit Pack قبل تنفيذ الثغرات هو تحديد نظام الضحية و نوع المتصفح لدية , و بما ان كل الـExploit Packs لا تقوم الا بمهاجمة مستخدمي وندوز و تتجاهل مستخدمي لينوكس و ماك.

    فبأمكانك ان تقوم بعمل حركة بسيطة تتحايل بها على Browser Exploit Packs و تجعلها تتعرف على نظامك كانه نظام مختلف مثل Linux او ماكنتوش و بالتالي لن تقوم بتنفيذ اي من الثغرات عليك حتى و ان كانت هذة الأنظمة تستخدم ثغرة غير معلن عنها في طور الـ0day .

    333.png
     
    sabir_2007 ،أبو إيمى ،ausama-vet و 12آخرون معجبون بهذا.
  2. Dz_zYz0

    Dz_zYz0 خبير تفعيل برامج

    إنضم إلينا في:
    ‏نوفمبر 14, 2013
    المشاركات:
    2,241
    الإعجابات المتلقاة:
    5,296
    نقاط الجائزة:
    1,120
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    بارك الله فيك اخي على موضوعك

    فعلا اخي اغلبية الاختراقات تأتي من المتصفح

    لكن اخي اقتبس من قولك: ''''فبأمكانك ان تقوم بعمل حركة بسيطة تتحايل بها على Browser Exploit Packs و تجعلها تتعرف على نظامك كانه نظام مختلف مثل Linux او ماكنتوش و بالتالي لن تقوم بتنفيذ اي من الثغرات عليك حتى و ان كانت هذة الأنظمة تستخدم ثغرة غير معلن عنها في طور الـ0day .''''

    ماهي هاته الحركة البسيطة التي تكلمت عنها اخي؟​
     
    Mя.Soul ،fahd و m0d!s@r7@n معجبون بهذا.
  3. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    من خلال تغيير user agent بالاضافه المذكوره وهي متوفره للفايرفوكس والكروم

    https://addons.mozilla.org/ar/firefox/addon/user-agent-switcher/

    https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg

    وهناك طريقه يدويه من خلال التعديل علي ملف config للمتصفح لم اذكرها لان الاضاف تقوم بذلك بشكل اسهل واسرع
     
    آخر تعديل: ‏ديسمبر 11, 2013
    fahd و Mя.Soul معجبون بهذا.
  4. أحمد البدارنة

    أحمد البدارنة .: خبير تحليل ملفات :.

    إنضم إلينا في:
    ‏مارس 25, 2013
    المشاركات:
    5,674
    الإعجابات المتلقاة:
    20,788
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    بارك الله فيك موضوع رائع اخي الغالي

    وهذا يدل على احترافك في الختراق لاتكون هكر (امزح ):kissingheart:
     
    Axx, Mя.Soul, m0d!s@r7@n و 1 شخص آخر معجبون بهذا.
  5. dahman_kz

    dahman_kz _دحمان_

    إنضم إلينا في:
    ‏ابريل 29, 2009
    المشاركات:
    1,110
    الإعجابات المتلقاة:
    3,122
    نقاط الجائزة:
    1,020
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    جزاك الله خير على النصايح والمعلومات المهمة والاختراق دائما في تطور وبالوقاية والحذر وعسانا نسلم ...والله يكفينا من شرهم
     
    Mя.Soul و m0d!s@r7@n معجبون بهذا.
  6. Mя.Soul

    Mя.Soul .: خبير إختبارات برامج الحماية :.

    إنضم إلينا في:
    ‏ابريل 24, 2013
    المشاركات:
    3,837
    الإعجابات المتلقاة:
    13,154
    نقاط الجائزة:
    1,220
    الإقامة:
    In My Lab
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows8.1
    دائما وابدا معلومات قيمه ... شكرا اخى الغالى
     
    أعجب بهذه المشاركة m0d!s@r7@n
  7. william

    william زيزوومي محترف

    إنضم إلينا في:
    ‏أغسطس 10, 2009
    المشاركات:
    792
    الإعجابات المتلقاة:
    1,018
    نقاط الجائزة:
    720
    الإقامة:
    damas
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
  8. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    أعجب بهذه المشاركة william
  9. william

    william زيزوومي محترف

    إنضم إلينا في:
    ‏أغسطس 10, 2009
    المشاركات:
    792
    الإعجابات المتلقاة:
    1,018
    نقاط الجائزة:
    720
    الإقامة:
    damas
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
  10. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    الشركه المسؤوله https://www.qualys.com عن هذه الخدمه المجانيه هي واحده من افضل الشركات في مجال الحمايه خاصه المتعلق بالثغرات الامنيه وحلولها
    الجوائز التي حصلت عليها الشركه بمجال الحمايه
    https://www.qualys.com/customers/awards/#2013

    لعل هناك خطأ ما
     
    أعجب بهذه المشاركة william
  11. william

    william زيزوومي محترف

    إنضم إلينا في:
    ‏أغسطس 10, 2009
    المشاركات:
    792
    الإعجابات المتلقاة:
    1,018
    نقاط الجائزة:
    720
    الإقامة:
    damas
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    ممكن يكون خطأ بارك الله فيك اخي الغالي
     
    أعجب بهذه المشاركة m0d!s@r7@n
  12. Axx

    Axx زيزوومي VIP

    إنضم إلينا في:
    ‏يناير 3, 2013
    المشاركات:
    6,168
    الإعجابات المتلقاة:
    13,095
    نقاط الجائزة:
    1,220
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    بارك الله بيك أخي
     
    Axx,
  13. فريدرامي

    فريدرامي زيزوومي مبدع

    إنضم إلينا في:
    ‏مايو 30, 2012
    المشاركات:
    604
    الإعجابات المتلقاة:
    783
    نقاط الجائزة:
    620
    برامج الحماية:
    Sophos
    نظام التشغيل:
    أخرى
    بارك الله فيك على هذا الموضوع الممتع والمفيد
     
  14. White Man

    White Man خبير فحص ملفات فريق فحص زيزووم للحماية

    إنضم إلينا في:
    ‏فبراير 24, 2014
    المشاركات:
    12,580
    الإعجابات المتلقاة:
    28,709
    نقاط الجائزة:
    1,250
    الإقامة:
    Egypt,Alex
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك
     
  15. ابوالهنوف11

    ابوالهنوف11 زيزوومي نشيط

    إنضم إلينا في:
    ‏مارس 22, 2013
    المشاركات:
    123
    الإعجابات المتلقاة:
    95
    نقاط الجائزة:
    190
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    بارك الله فيك أخي العزيز على هذه النصائح
    والإثراء المعرفي الهام في كيفية حماية النفس من مرتزقة التهكير والإختراق
     
  16. أبو إيمى

    أبو إيمى زيزوومي VIP فريق الدعم لقسم الحماية فريق تفعيلات منتجات الميكروسوفت نجم الشهر المركز الأول بمسابقة البرامج فريق الدعم لتطبيقات الجوالات

    إنضم إلينا في:
    ‏أكتوبر 23, 2008
    المشاركات:
    6,660
    الإعجابات المتلقاة:
    9,392
    نقاط الجائزة:
    1,800
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 10
    موضوع جميل
    جزاك الله ألف خير يادكتور
     
  17. kimo7

    kimo7 زيزوومي ذهبي

    إنضم إلينا في:
    ‏ابريل 9, 2014
    المشاركات:
    1,728
    الإعجابات المتلقاة:
    6,496
    نقاط الجائزة:
    1,070
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows8.1
    الموضوع قديم لذى يتم غلقه طبقا لقوانين المنتدى .
     
    أبو إيمى و أبو رمش معجبون بهذا.
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...