نـقـاش حول برنامج إيسيت والتحذيرات من موقع top4top

جميل أخي مصطفى دائما تتحفنا بهذ المداخلات الرائعة و المفيدة شكرا لك
لكن عندي تعقيب أو إستفسار بسيط أنا معك في كل الكلام لي تفضلت به
في كل هذه العملية من طرف الرانسوموير خلال 15 ثانية أين هو الهيبس ووحدة فاحص الذاكرة
ووحدة الانتي رانسوموير في الهيبس؟ أليس من المفروض منع تشغيل أكواد الرانسوموير لتشفير الملفات
من المفروض يتم منعه قبل البدء في الإستدعاء والتشغيل من قبل وحدات الهيبس المتمثلة في فاحص الذاكرة والأنتي رانسوموير وتوقيفه قبل تدمير الملفات هذا إن تجاوز المحرك والدفاع الإستباقي في برنامج الحماية .

 

شكرا لك اخي الطيب الرقي هو ردك الجميل
نورت الموضوع وشرفت وصحيح كلامك أخي الطيب
كما نقول الوقــــــــــــــــاية خير من العـــــــــــــلاج ​

 

بما اننا هنا سنتكلم عن شركه ESET التى يتمثل الهبس لديها فى خاصيه فى وحده فحص الذاكره

سنجد انه يتم التحرك عندما يكون هناك شى مشبوه فى الذاكره التعديل فى عناونين محدد والتى تعتبر مشبوهه

سرعه الهبس هنا تكون فى جزء من الثانيه اى مستعده لاى شى يحدث وبرده فعل سريعه

وربما تقاس بالملى ثانيه ونحن لا نشعر بذلك

فثقل الاكواد داخل ملفات الرانسيوم هو ما يجعلها تعمل بشكل ابطا من المعتاد بالنظر الى حجم العينه

لذلك نجد حجم العينه الرانسيوم يتراواح ما بين 1 الى 3 ميجا او اكثر او اقل على حسب نوع الكود المكتوب بداخله و كلها داخل ملف تجميعى واحد EXE

اذا حاولنا النظر ان هناك بعض انواع الرانسيوم تعمل بشكل اسرع من غيرها واذا اعنا النظر فى التحليل ستجد انى لاحظت عند تحليل احدى يعنات الرانسيوم

تقوم باسقاط مكتبات من نو DLL ولا يكاد تجذم ان هذه المكتبه هل هى للحقن ام للمساعده ف تسريع عمل الكود

حيث اذا قمت بتقسيم الاكواد المراد تنفيزها الى اكثر من جزء مثل مثلا اكثر من مكتبه DLL سيعمل الملف اسرع من المعتاد عليه وربما الرانسيوم لن ياخذ كل ذلك الوقت الذى يصل الى 15 ثانيه

بل ربما يتم انجاز كل شى فى حوالى 5 ثوانى فقط

وهنا ايضا دور وحده الدفاع مستعده

الخوارزميات المتبعه فى كشف هذا النوع تلعب دور مهم جدا جدا فى سرعه الكشف او لا

فوحده فحص الذاكره تقتنص كما ذكرت اى تعديلات تتم على الذاكره بشكل سريع جدا مما يجعل الملف يحدث له قصور ويفشل فى التشفير

او يستكمل عمله

فكما ذكرت فى الاعلى ترجع على ماذا تحديدا يريد ان يفعل ملف الرانسيوم تحديدا تشفير الملفات فقط

ام البحث عن ملف محدد داخل نسخه النظام ليبدا عمله ام ماذا وكل ذلك عامل مهم للوقت

بالنظر الى سرعه الكشف والحجب

 

رائع اخي مصطفى تحليل رائع ومنطقي لأبعد الحدود أشكرك على الرد
وتحليل عمل الرانسوموير داخل الذاكرة والمكتبات اللتي يستدعيها ونقطة التقسيم
مهمة لم تكون في بالي فعلا ستسرع من عمله ممكن بنسبة سبعين في المئة
في عملية تشفير الملفات .

 

للتوضيح لك اخى الغالى

المشكله ليست فى الدمج وانما

الطريقه التى يتبعها بعض الاشخاص والذين يستخدمون نفس الخدعه هى الكتالى

تابع معى هذا السناريوى

الهاكر دائما ما يفكر فى شى يحمى الباتش الخاص به من الكشف

لذلك يبدا فى التفكير فى تشفيره طيب هناك نظام او يدعى دونلودر واكيد سمعت عنه واصبحت الان اغلب البرامج الكبيره والمشهوره تستخدمه

فكره الدونلودر عباره عن انه ملف صغير الحجم من خلاله يتم تحميل المحتوى الاصلى

مميزاته طبعا معروفه لان حجمه صغير وتم استخدامه للاتصال بالسرفر وتحميل الملف الموضوع رابطه فيه

طيب تفكير الهاكر ايضا يستغل نفس الفكره الموضحه باخفاء الباتش الخاص به عن طريق الدونلودر ولكن لك يفعل ذلك عليه ان يقوم برفع الباتش بشكل مباشر حتى تتحق المعادله

ويقوم الدونلودر بعمله

ناتى الى صديقنا الموقع المعروف

هل لاحظت ان الموقع يعطى روابط مباشره للملفات لكن عند التجربه ستجد ان الرابط يتغير فى كل مره ( واقصد هنا العنوان او جزء منه ) بتغيير بعض الرموز البسيطه

فكره دعم واستكمال التحميل مقتبسه من نفس الفكره

تحاول التحميل منه اى اصبح هناك قصور فى عمل الرابط المباشر اذا فكره الدونلودر فشلت هنا

لان كماا ذكرنا الهاكر يحتاج الى رابط مباشر ثابت لا يتغير حتى يعمل الدونلودر بشكل سليم

اذا كيف الحل وان الموقع مانع ان تقوم برفع الملفات ذات الصيغ exe وبعض الصغير الاخرى الغير مدعومه من الموقع

وبما ان الموقع سريع وسرفراته قويه ويحتفظ باغلب الملفات فهو ملاز جيد للاحتفاظ بكل شى

المهم

تاتى هنا الفكره التى يتبعها الهاكر اذا لاحظ معى يقوم بخداع الموقع ويقوم بتحويل صيغه ملف الباتش الخاص به من صيغه تنفيزيه EXE الى صيغه صوره jpg او غيرها من الصيغ الاخرى التى يدعمها الموقع

وبذلك حصل على رابط مباشر عكس روابط الملفات العاديه

انظر لتلك الفكره وكيف فكر بها ونفزها

بعدها يضع رابط الباتش الذى رفعه بشكل مباشر داخل الدونلودر الخاص به وببعض الاكواد البسيطه يتم تحويل الصيغه وارجاعها الى اصلها ويتم تشغيل الباتش عند الضحيه واصبح كل شى تمام

طيب ما دخل كل الذى ذكرته بما حدث للموقع

ستقول لى ان اصلا الباتشات المولده من برنامج الاختراق هو مكشوفه من برامج الحمايه وكثره استخدام تلك الطريقه اصبح برامج الحمايه تشك فى النطاق

سارد عليك واقول كلامك سليم

لكنك نسيت نقطه مهم

وهو ان بعض الباتشات التى يستخدمها الهاكر ويقوم بتحويل صيغتها من صيغه تنفيزيه EXE الى صوره بصيغه JPG او غيرها تحتوى على اكواد انتشار

ربما سمعت عنها او لم تسمع بها

ساشرح الفكره ليستفيد الجميع

اكواد الانتشار مصممه على انها تقوم بتكرار عمل الملف فى اكثر من مكان وتناسخ الملف الهدف فى اكثر من مكان لتحقق اكتر جزء مرجوه منها وهو جمع اكبر عدد من الضحايا

كيف حدث هذا مع الموقع اعلاه

الموقع اعلاه كما ذكرنا عند تحويل اللعب بالصيغ اصبح الملفات تقوم بالانتشار فى النطاقات المختلفه فى الموقع وبذلك اصبح تنتشر فى اغلب النطاقات

مما ادى الى اشتباه برامج الحمايه فى تلك الروابط

لان كما ذكرنا اغلب الملفا التى يتم تكوينها من برنامج الاختراق يتم تحويل صيغتها الى صيغه صوره وهو فى الاصل الملف خام

فبذلك بعد الفحص اصبحت مكشوفه من برامج الحمايه حتى وان قمت بالتلاعب بالصيغه

الفكره كلها ان برامج الجحمايه قامت بحجب تلك النطاقات لنفس تلك الاسباب فى الاعلى بسبب وجود انتشار واسع جدا فى سرفرات الموقع بتلك الملفات وتناسخها بشكل مستمر مما ادى

الى انا برامج الحمايه اصبحت تحذر من تلك النطاقات عن غيرها داخل الموقع بشكل عام

اعتزر على الاطاله

واتمنى اكون اوصلت الفكره واوضحتها

 

أهلا وسهلا بك أخي الفاضل والكريم تساؤلات في محلها أشكرك على طرحها

-1-
كيف عرفت وجزمت بأن إستثناء الموقع هو سبب الإصابة ؟

قبل إستثناء الموقع كان كل شيء طبيعي لمدة أشهر لم يصب الجهاز
بأي ملف خبيث و خلال يومين من إستثناء الموقع أصيب الجهاز و صاحب
الجهاز لم يحمل أي شيء غريب ويشغله أبدا و هو أصيب عن طريق الموقع المذكور
دخل إليه ليحمل شيء ما قبل التحميل بدأت رسائل إيسيت تقول بوجود
direct InfectioN

ــــــــــــــــــــــــــــــــــــ
ــــــــــــــــــــــ
ـــــــــــ


وبطبيعة الحال النطاقات كانت في whitelist
هنا لن يفحصها درع الويب الخاص بإيسيت وهنا عند الدخول يتم التنزيل أو الحقن مباشرة تلقائيا
auto execute infection

كيف لم يسيطر عليها برنامج إيسيت ويمنع حقن الملفات ؟

فور الإصابة بهذه الدودة بدأت بنسخ نفسها بسرعة كبيرة جدا في الملفات ذو الإمتداد Exe
وتم إيسيت يلاحقها في أرجاء الجهاز هي تنسخ نفسها وهو يحذف حتى سيطر عليها كليا
وأظن الدودة فورالإصابه بها أظهر إيسيت تنبيه بخصوصها وهناك شيء غير طبيعي
نسخت نفسها في عشرة ملفات و إختفت قلت لقد تخلص منها لكن بعد يوم رجعت للظهور
لو تشوف الصور فوق تجد بأن الدودة لبثت يومين في الجهاز تدمره
ولكن سيطرت عليها في الأخير وجدتها مختبئة في sys vol if
داخل الجهاز المنطقة الوحيدة اللتي لا يراقبها برنامج الحماية smart worm

وكلامك صحيح ممكن الموقع به ثغرات كثيرة ومجموعة من الهاكر يستغلونها
وأخي مصطفى ماشاء الله عليه شرح العملية بشكل جميل وجيد

و أنا متأكد سبب الإصابة من الموقع المذكور يجب تفاديه كما تفضلت
هناك مواقع بديلة كثيرة يمكن رفع الملفات عليها





​

 

بارك الله فيكم وكل عيد ونحن واحبابنا واياكم بخير وصحة وتوفيق

جربت الموقع قبل قليل ولم يعترض الدكتور ويب

 

اتذكر من فترة الكاسبر عندي تشتبه بصورة صغيرة في نفس الموقع وكان
يلغي تحميلها فالافضل تصفح المواقع الغير معروفة في البيئة الوهمية
مع التجميد ولايتم الفتح على الحقيقي وحتى في بعض البرامج المجانية تكون
سليمة وبعد التحديث يشتبه فيها برنامج الحماية مثل برنامج prosser hacker
فممكن يكون في تلاعب من مصنعين البرامج فانا مع برنامج الحماية
في اغلب المواقف خصوصا اذا كان برنامج معروف بقلة اشتبهاته
ممكن استثني موقفة في ملف يصنفة على انه تروجان ولايوجد
في اتصالات لكن باقي الاتشتباهات تثير الشكوك

 

بارك الله فيك

النود 10 عندي لا يعترض حتى متصفح قوقل يقول امن لاحظ يمين الرابط

وكل عيد فطر ونحن واحبابنا واياكم بخير وصحة وتوفيق

 

السلام عليكم

عيد سعيد أخي محمد يارب تكون بخير وبأفضل حال وبصحة جيدة

النود لا يعترض الموقع بل يعترض بعض النطاقات فقط من الموقع

هذه النطاقات اللتي يعترضها ولا إسم النطاقات

سأجرب النود على هذه النطاقات وأرفق لك التجربة اخي محمد

http://b.top4top.net/
http://c.top4top.net/





​

 

السلام عليكم

أهلا وسهلا بك أخي الفاضل

ما إسمك ؟؟

كلامك سليم وصواب أشكرك على الإضافة والإفادة


​

 

بارك الله فيك اخي علي فعلا كلامك سليم 100% تم التجربه الان دمت بخير

 

الله إيسلمك

ولو عندك وقت أخي محمد جربها على الدكتور ويب



​

 

وعليكم السلام

اخوك راشد

 

متشرفين أخ راشد عاشت الأسامي

ربي يحفـــــظك

أخوك عـــــلي ​

 

عاشت ايامك تسلم ماعليك زود