غير متصل
فريق سايبركوف يطارد فايروس لهاكر سعودي من مقره الى عقر داره في تشيلي!!
الهاكرز منتشرون بكل مكان ويزدادون يوماً بعد يوم وتختلف أساليبهم وأهدافهم، منهم من يخترق المؤسسات الحكومية ليوصل رسالة سياسية، ومنهم من يخترق بهدف جمع الوثائق والأسرار، ومنهم من يخترق بهدف جمع المال ومنهم من يخترق بلا حس أو خبر ويجمع المعلومات لسنين عديدة ثم يذهب، ومنهم من يتبع أجهزة أمنية يخترق لأهداف إستخباراتية ومنهم هاكرز خبثاء يخترق البسطاء من الناس بهدف الايقاع بهم ثم تهديدهم او إبتزازهم وهو موضوعنا اليوم.
وصلتنا بعض التقارير من مستخدمي منتدى عربي مشهور عن وجود صفحة مشبوهة قد تحتوي فايروس وقد أصابت بعض الأجهزة بالفعل، وقاموا بتزويدنا بالرابط وتحققنا من الموضوع، وبدأت ملاحقة أحد الهاكرز المخادعين الذي كان جل همه هو إختراق البسطاء من الناس ثم البحث عن صورهم في أجهزتهم وتشغيل كامراتهم وتصويرهم ثم نقل هذه الصورة لسيرفرات خارجية يقوم هو بعد ذلك بنسخها ثم إبتزازهم او فضحهم او تهديدهم.
ليست هذه المرة الأولى التي نقوم بها، ولكننا أحببنا مشاركة هذا التحليل مع زوار الموقع ليعرفوا كيف يعمل بعض الهاكرز وكيف يخفي آثاره وكيف يقوموا بنشر فايروساتهم بالمواقع المشهورة وكيف يتم تحليل برامجهم التجسيسة وسندخل هنا ببعض الشيء من التفصيل.
في البداية وبعد إبلاغنا بموضوع الصفحة المشبوهه بالمنتدى العربي، قام الفريق بزيارة الصفحة وتحليلها وبالفعل وجدنا فايروس مخادع عبارة عن توقيع لأحد مشرفي المنتدى وكأنه ( بالظاهر ) ملف فلاش يحتاج تنزيل إضافة ( Plugin ) ليتم تشغيله وهو في الحقيقة فايروس تجسسي وبمجرد الضغط على الصورة التي تظهر وكأنها إضافة يقوم الفايروس بالعمل بجهازك ثم يجمع كافة الصور من الجهاز بكافة الأقراص ثم يفتح كاميرا الجهاز ويقوم بتصويرك من كامرتك ويجمع تلك الصور ثم يقوم بإرسالها لسيرفر في دولة ( شيلي ) يتبع مؤسسة تم إختراقها مسبقاً وفيها يتم وضع كافة الصور المسحوبة من الناس ثم يقوم الهاكر بالدخول على المؤسسة الشيلية بحساب خاص به ويسحب تلك الصور لجهازه ثم يمسحها من المؤسسة، كما قام بوضع حسابين بالمؤسسة الشيلية ، واحد يجمع به الصور من الأجهزة ، والآخر يجمع به الصور من الكاميرات.
كيف انتشر الفايروس بشكل مخادع :-
صورة من منتدى كويتيات الشهير لتوقيع ( المشرفة ) والذي يظهر كما في الصورة أنه ملف كأنه فلاش يحتاج لتنصيب إضافة ليتم تشغيله
في حين أن هذا الشكل هو مجرد ( صورة فقط ) ولكنها جاءت بشكل مخادع وكأنه إضافة تحتاج تثبيت، وعند تحليل الصفحة يتضح التالي :-
[hide]
[/hide]
وعند الضغط على الـ ( الصورة ) لكي تقوم بتثيت الإضافة يتم تنزيل ملف بجهازك بإسم ( jav@plug.v3_2.exe )] وهو عبارة عن فايروس، تمسكه بعض الحمايات ويفلت من بعضها.
هنا قام برنامج الحماية كاسبرسكي بحجب الوصول للملف او تنزيله لأنه فايروس كما يتبين أن طريقة الإمساك به تمت عن طريق الـ Cloud Protection مما يدل على إنتشار الفايروس بشكل واسع، وستبين هذا لاحقاً.
كما يتضح أن مكان وجود الفايروس، وهو موقع اخر حيث يتم تنزيل الفايروس منه وليس من المنتدى العربي مباشرة، وقد تبين لاحقاً أن الهاكر قام بإختراق ( منتدي آخر) ووضع الفايروس به حيث يعتقد اي شخص أن المنتدى الثاني هو من يستضيف الفايروس كما أن هذه الطريقة تصعب من عملية الوصول للهاكر وذلك لتشعب عملية التتبع، كما قام الهاكر بنشر نفس الفايروس في العديد من المنتديات والمواقع على شكل برامج مجانية مثل الفوتوشوب و برامج التعديل على الصور، وقام بنشر نسختين من الفايروس الأول بإسم ( Java.exe ) والثاني نسخة مطورة من الفايروس بإسم ( jav@plug.v3_2.exe ) ولايزال ينشرها في المواقع حتى هذه اللحظة، وقد قمنا بتنزيل الفايروسين ثم تحليلهم حتى نتمكن من فهم الفايروس وكيفية عمله وكيف وماهي العمليات التي يقوم بها وماهي قدراته وهل يمكننا معرفة مصدر الفايروس وأين يقوم بجمع الصور هذه !!
معلومات عامة عن الفايروس :
الفايروس مخصص للعمل بأجهزة وندوز فقط، وأول إجراء يقوم به عند دخوله الجهاز هو إعطاء نفسه صلاحيات كاملة بالجدار الناري ( الفايروول ) ويقوم بتعطيله ليتسنى له الاتصال بالجهاز التابع للهاكر متى شاء عن طريق استخدام أمر :-
C:\WINDOWS\system32\cmd.exe /c netsh firewall set opmode disable
أمر تعطيل الفايروول بلغة الأسمبلي
ثم يقوم بالبحث عن كل الصور بالهارددسك C ثم D ثم E ثم G حسب توفرها بصيغة jpg او jpeg او bmp او txt ثم ويقوم بنسخها لمجلد خاص بالـ C بإستخدام الأمر التالي :
يحاول الفايروس جمع أكبر عدد من الصور حتى لو كانت من فلاش مركب بجهاز الضحية
بعد ذلك يقوم بالإتصال بالسيرفر الخاص بالهاكر في العادة يكون جهاز الهاكر نفسه او سيرفر يشتريه، لكن في حالتنا قام الهاكر بإختراق مؤسسة نقل في دولة شيلي ووضع فيها ملفاته ثم يقوم الهاكر بالدخول على السيرفر وسحب الملفات ثم حذفها، وقد إستطاع فريق سايبركوف الحصول على السيرفر وكلمات السر الخاصة به من خلال تحليل الفايروس وإستخراجها ثم الدخول على السيرفر ومشاهدة الملفات التي قام الهاكر بأخذها من الناس :-
تحليل كود الأسمبلي للاتصال بسيرفر الهاكر عن طريق FTP
الصورة أعلاه للفايروس الجديد الذي ينشره الهاكر ، أما الفايروس القديم يقوم بالإتصال بنفس الشركة الشيلية المخترقة ولكن عبر حساب آخر ومجلد آخر :
كود أسمبلي يبين اتصال الفايروس بسيرفر الهاكر عن طريق حساب FTP آخر مختص بجمع صور الكاميرا
بعد ذلك يقوم الهاكر بإلتقاط صورة من الكاميرا الخاصة بالشخص المخترق وتقوم الكامرا بالوميض بشكل سريع لأخذ الصورة ويقوم بإرسالها للسيرفر الخاص بالهاكر قد تنتبه لذلك ولكن وقتها قد انتقلت الصورة لسيرفر الهاكر :-
الكود الذي يستخدمة الهاكر ويبين استخدام الكاميرا للتصوير يتم عن طريق مكتبة AVICAP32.DLL واطلاق دالة capCreateCaptureWindowA لانشاء مربع للكاميرا ومباشرة استدعاء دوال SendMessage الخاصة بالنظام لعمل التقاط لمربع الكاميرا او screenshot مصغرة للمربع الذي تم انشائه فقط للكاميرا.
لفهم الطريقة أكثر يجب فهم طريقة استخدام دالة SendMessage:
دالة رسائل النظام في الوندوز وتفصيل مدخلاتها
لنركز أكثر على ثاني مدخل وهو UNIT Msg أي انه رقم يشير إلى رسالة يفهمها النظام. هذه القيمة تحدد نوعية الرسالة التي نريد ارسالها للنافذة التي يؤشر عليها مدخل HWND hWnd وهو المدخل الأول وهي قيمة حصلنا عليها من داخل النظام حيث تؤشر على مربع الكاميرا الذي قام الفايروس بفتحه. هذا المربع كما شرحنا سابقاً يحتوى على المنظر الذي تراه الكاميرا لذلك يريد الفايروس اخذ لقطة منه ليقوم بتصوير الضحية!
لنعرف الآن اول استخدام لدالة SendMessage :
ملاحظ أعلاه اننا نقوم بعمل call للدالة SendMessage بعد عدد من عمليات push أو بمعنى اخر نحن نجهز المدخلات عن طريق ادخالها بطريقة عكسية على الـ stack ثم ننادي الدالة. عملية push ecx تضع مؤشر نافذة الكاميرا، ثم عملية push 40Ah اي وضع قيمة 40A بنظام الhex. وهي نوعية الرسالة WM_CAP_DRIVER_CONNECT ومعناها تجهيز التقاط الصورة من النافذة أما قيمتها هي 40A بسبب المعادلة التي يقوم بها نظام وندوز:
اذاً الآن قام الوندوز بتجهيز التقاط الصور، والخطوة التالية بالكود كما يأتي:
هذا الكود يطابق السابق مع اختلافين.
الاول: نوعية الرسالة، حيث هنا نرسل رسالة قيمتها 419h او 419 بالhex. هذه الرسالة هي WM_CAP_FILE_SAVEDIB وتعني حفظ اللقطة (من مربع الكاميرا) بملف DIB وهو بكل بساطة ملف صورة مثل BMP. أي باختصار هذه الرسالة تقول للوندوز احفظ ما تصوره الكاميرا بملف. ولكن أين الملف؟
الاختلاف الثاني بالكود هو [lea edx, [ebp + Format حيث Format هي اسم الملف على صيغة C:\%d-file%d.bmp وهي صيغة صورة من نوعية bmp او bitmap .
اذاً قمنا بإرسال رسالتين الأولى لتجهيز التقاط الصور بالكاميرا والثانية لحفظ اللقطات بملف، ثم يقوم بالخطوة الثانية وهي كالتالي:
وهي بكل بساطة تقوم بارسال رسالة WM_CAP_DRIVER_DISCONNECT أي اغلاق محرك التقاط الصور والانتهاء.
الكود القادم بكل بساطة يقوم بجمع الصور المسجلة من الكاميرا وارسالها للسيرفر الخاص بالهاكر عبر الFTP:
وهي السيرفرات التي ذكرناها بالمقدمة والتي تجتمع فيها الصور الخاصة بالكاميرا وكذلك الصور التي تم تجميعها، حيث يقوم بإرسالها عبر بروتوكول FTP للسيرفر، أيضاً تم عمل كومبايل لهذا الفايروس باستخدام Microsoft Visual C++ 5 وتم عمل packing له باستخدام InstallShield 2000 ولغة الجهاز الذي تم استخدامه هي اللغة العربية و المنطقة locale هي المملكة العربية السعودية.
بما أننا قد حصلنا على إسم السيرفر وعنوانه وحساب الهاكر والرقم السري، قمنا بالدخول على سيرفر الشركة الشيلية للتأكد من صحة المعلومات، وراقبنا حركة السيرفر فوجدنا أنه يجمع ما بين 1000 الى 3000 آلاف صورة يوميا ما بين صور عامة وصور عائلية وصور خاصة بالأفراح والحفلات العائلية !! قام الهاكر بنسخها من أجهزة الناس ووجدنا مجلد كامل بالصور التي تم إلتقاطها عبر كامرات اللابتوبات، هنا صورة لبعض الصور من السيرفر ( تم اختيار الصور العامة فقط ) :
اما مجلد الصور التي تم إلتقاطها بواسطة الكاميرا فلن نضعها هنا ولكن هناك العديد من الصور الخاصة بأطفال وعجائز وغيرهم، أيضا العديد من الصور كانت ” سوداء ” وهي لأشخاص قامو بوضع ” ملصق على كامراتهم ” او اغلقوها بشي من باب الإحتياط، فهؤلاء قد نجو من تصوير الهاكر لهم.
ملاحظات وتعليمات :-
1- قام الهاكر بإستغلال منتدى عربي مشهور جدا ونشر بواسطة الفايروس على شكل توقيع يحتاج إضافة وبشكل مخادع لتمكن من الوصول لعدد أكبر من الضحايا كما قام بوضعه بحساب ” مشرفة ” ليكسب ثقة الناس بشكل أكبر، وجاري التواصل مع المشرفة لمعرفة تورطها بالموضوع.
2- قام الهاكر بنشر برنامجه التجسسي بواسطة مواقع أخرى على شكل برامج تصميم وبرامج مكركة، ولكن الأثر الأكبر كان للمنتدى العربي بسبب شهرته.
3- قام الهاكر بإختراق موقع شركة في شيلي ووضع كل الصور التي قام بسرقتها من الناس في هذه الشركة ويقوم هو بشكل يومي بالدخول على سيرفر الشركة ثم سحب الصور منها، وذلك ليقوم بتصعيب إقتفاء أثره وتحديد شخصيته وذلك لتشعب الإتصالات وتعقيد عملية التواصل بين هذه الدول والمؤسسات فتصعب ملاحقته ومعرفته.
4- يقوم الهاكر وحتى هذه اللحظة بعمل فايروسات وفي كل مره يقوم بتطويرها وإضافة الإعدادت والمميزات عليها.
5- هذا النوع من الإختراقات مشهور ومنتشر وأثره بالغ على نفوس الناس لإنتهاكه خصوصياتهم والتدخل بحياتهم الخاصة، فضلا عن تعرضهم للتهديد او الإبتزاز وهكذا.
6- تقوم الأجهزة الأمنية ببعض الدول العربية بإستغلال الهاكرز ونشر فايروسات متقدمة بقصد اختراق الناس، لذلك يجب أن تتأهب لهجمات أكثر تعقيدا من هذه وإتخاذ الحيطة والحذر
نصائح وتوجيهات :-
1- على المواقع المشهورة مسؤولية كبيرة في حماية زوارها ومستخدميها وذلك بحماية مواقعها من الإختراق او الإستغلال او نشر الفايروسات، وذلك عن طريق الفحص الدوري والتحديث الدائم.
2- كمستخدم لا تقم أبدا بإنزال البرامج المكركة ولا تستخدم برامج الا من مصدرها الرسمي ، واذا كانت غير مجانية حاول العثور على برامج مشابهة ومجانية.
3- قم دائما بتحديث جهازك ووضع مكافح فايروسات أصلي وقم بتحديثه بشكل دائم.
4- يفضل بكل الأحوال وضع لاصق على كاميرا اللابتوب أو اغلقها بشيء من باب الإحتياط، ولا تستخدم الكاميرا الا عند الحاجة فقط.
5- قم بتعطيل الجافا بجهازك لإحتواءها على الكثير من الثغرات وإذا كنت بحاجتها قم بتفعيلها مؤقتا ثم اغلقها من المتصفح.
فريق العمل :-
قام بهذا العمل أعضاء فريق سايبكوف للأمن الالكتروني
تحديث 1 |
تم التواصل مع المشرفة المذكورة أعلاه وقد وضحت أنها لا تعلم شيئا بالموضوع وأن الهاكر قام بإختراق حسابها بالمنتدى ثم تغير التوقيع ولم يغير الرقم السري، وقام بعد ذلك بمراسلة العشرات من الاعضاء بالموقع وإرسال الرابط الذي يحتوي على فايروس لهم على أساس أنه لعبة وتريد مشاركتها وذلك بهدف خداعهم وإختراق أجهزتهم وأخذ صورهم، وهذه صورة من محادثاته الخاصة زودتنا بها المشرفة المذكورة.
صورة من حقيقة التوقيع الذي تم وضعه بحسابها.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
الهاكرز منتشرون بكل مكان ويزدادون يوماً بعد يوم وتختلف أساليبهم وأهدافهم، منهم من يخترق المؤسسات الحكومية ليوصل رسالة سياسية، ومنهم من يخترق بهدف جمع الوثائق والأسرار، ومنهم من يخترق بهدف جمع المال ومنهم من يخترق بلا حس أو خبر ويجمع المعلومات لسنين عديدة ثم يذهب، ومنهم من يتبع أجهزة أمنية يخترق لأهداف إستخباراتية ومنهم هاكرز خبثاء يخترق البسطاء من الناس بهدف الايقاع بهم ثم تهديدهم او إبتزازهم وهو موضوعنا اليوم.
وصلتنا بعض التقارير من مستخدمي منتدى عربي مشهور عن وجود صفحة مشبوهة قد تحتوي فايروس وقد أصابت بعض الأجهزة بالفعل، وقاموا بتزويدنا بالرابط وتحققنا من الموضوع، وبدأت ملاحقة أحد الهاكرز المخادعين الذي كان جل همه هو إختراق البسطاء من الناس ثم البحث عن صورهم في أجهزتهم وتشغيل كامراتهم وتصويرهم ثم نقل هذه الصورة لسيرفرات خارجية يقوم هو بعد ذلك بنسخها ثم إبتزازهم او فضحهم او تهديدهم.
ليست هذه المرة الأولى التي نقوم بها، ولكننا أحببنا مشاركة هذا التحليل مع زوار الموقع ليعرفوا كيف يعمل بعض الهاكرز وكيف يخفي آثاره وكيف يقوموا بنشر فايروساتهم بالمواقع المشهورة وكيف يتم تحليل برامجهم التجسيسة وسندخل هنا ببعض الشيء من التفصيل.
في البداية وبعد إبلاغنا بموضوع الصفحة المشبوهه بالمنتدى العربي، قام الفريق بزيارة الصفحة وتحليلها وبالفعل وجدنا فايروس مخادع عبارة عن توقيع لأحد مشرفي المنتدى وكأنه ( بالظاهر ) ملف فلاش يحتاج تنزيل إضافة ( Plugin ) ليتم تشغيله وهو في الحقيقة فايروس تجسسي وبمجرد الضغط على الصورة التي تظهر وكأنها إضافة يقوم الفايروس بالعمل بجهازك ثم يجمع كافة الصور من الجهاز بكافة الأقراص ثم يفتح كاميرا الجهاز ويقوم بتصويرك من كامرتك ويجمع تلك الصور ثم يقوم بإرسالها لسيرفر في دولة ( شيلي ) يتبع مؤسسة تم إختراقها مسبقاً وفيها يتم وضع كافة الصور المسحوبة من الناس ثم يقوم الهاكر بالدخول على المؤسسة الشيلية بحساب خاص به ويسحب تلك الصور لجهازه ثم يمسحها من المؤسسة، كما قام بوضع حسابين بالمؤسسة الشيلية ، واحد يجمع به الصور من الأجهزة ، والآخر يجمع به الصور من الكاميرات.
كيف انتشر الفايروس بشكل مخادع :-
صورة من منتدى كويتيات الشهير لتوقيع ( المشرفة ) والذي يظهر كما في الصورة أنه ملف كأنه فلاش يحتاج لتنصيب إضافة ليتم تشغيله
في حين أن هذا الشكل هو مجرد ( صورة فقط ) ولكنها جاءت بشكل مخادع وكأنه إضافة تحتاج تثبيت، وعند تحليل الصفحة يتضح التالي :-
[hide]
وعند الضغط على الـ ( الصورة ) لكي تقوم بتثيت الإضافة يتم تنزيل ملف بجهازك بإسم ( jav@plug.v3_2.exe )] وهو عبارة عن فايروس، تمسكه بعض الحمايات ويفلت من بعضها.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
هنا قام برنامج الحماية كاسبرسكي بحجب الوصول للملف او تنزيله لأنه فايروس كما يتبين أن طريقة الإمساك به تمت عن طريق الـ Cloud Protection مما يدل على إنتشار الفايروس بشكل واسع، وستبين هذا لاحقاً.
كما يتضح أن مكان وجود الفايروس، وهو موقع اخر حيث يتم تنزيل الفايروس منه وليس من المنتدى العربي مباشرة، وقد تبين لاحقاً أن الهاكر قام بإختراق ( منتدي آخر) ووضع الفايروس به حيث يعتقد اي شخص أن المنتدى الثاني هو من يستضيف الفايروس كما أن هذه الطريقة تصعب من عملية الوصول للهاكر وذلك لتشعب عملية التتبع، كما قام الهاكر بنشر نفس الفايروس في العديد من المنتديات والمواقع على شكل برامج مجانية مثل الفوتوشوب و برامج التعديل على الصور، وقام بنشر نسختين من الفايروس الأول بإسم ( Java.exe ) والثاني نسخة مطورة من الفايروس بإسم ( jav@plug.v3_2.exe ) ولايزال ينشرها في المواقع حتى هذه اللحظة، وقد قمنا بتنزيل الفايروسين ثم تحليلهم حتى نتمكن من فهم الفايروس وكيفية عمله وكيف وماهي العمليات التي يقوم بها وماهي قدراته وهل يمكننا معرفة مصدر الفايروس وأين يقوم بجمع الصور هذه !!
معلومات عامة عن الفايروس :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
الفايروس مخصص للعمل بأجهزة وندوز فقط، وأول إجراء يقوم به عند دخوله الجهاز هو إعطاء نفسه صلاحيات كاملة بالجدار الناري ( الفايروول ) ويقوم بتعطيله ليتسنى له الاتصال بالجهاز التابع للهاكر متى شاء عن طريق استخدام أمر :-
C:\WINDOWS\system32\cmd.exe /c netsh firewall set opmode disable
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
أمر تعطيل الفايروول بلغة الأسمبلي
ثم يقوم بالبحث عن كل الصور بالهارددسك C ثم D ثم E ثم G حسب توفرها بصيغة jpg او jpeg او bmp او txt ثم ويقوم بنسخها لمجلد خاص بالـ C بإستخدام الأمر التالي :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
يحاول الفايروس جمع أكبر عدد من الصور حتى لو كانت من فلاش مركب بجهاز الضحية
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بعد ذلك يقوم بالإتصال بالسيرفر الخاص بالهاكر في العادة يكون جهاز الهاكر نفسه او سيرفر يشتريه، لكن في حالتنا قام الهاكر بإختراق مؤسسة نقل في دولة شيلي ووضع فيها ملفاته ثم يقوم الهاكر بالدخول على السيرفر وسحب الملفات ثم حذفها، وقد إستطاع فريق سايبركوف الحصول على السيرفر وكلمات السر الخاصة به من خلال تحليل الفايروس وإستخراجها ثم الدخول على السيرفر ومشاهدة الملفات التي قام الهاكر بأخذها من الناس :-
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
تحليل كود الأسمبلي للاتصال بسيرفر الهاكر عن طريق FTP
الصورة أعلاه للفايروس الجديد الذي ينشره الهاكر ، أما الفايروس القديم يقوم بالإتصال بنفس الشركة الشيلية المخترقة ولكن عبر حساب آخر ومجلد آخر :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
كود أسمبلي يبين اتصال الفايروس بسيرفر الهاكر عن طريق حساب FTP آخر مختص بجمع صور الكاميرا
بعد ذلك يقوم الهاكر بإلتقاط صورة من الكاميرا الخاصة بالشخص المخترق وتقوم الكامرا بالوميض بشكل سريع لأخذ الصورة ويقوم بإرسالها للسيرفر الخاص بالهاكر قد تنتبه لذلك ولكن وقتها قد انتقلت الصورة لسيرفر الهاكر :-
الكود الذي يستخدمة الهاكر ويبين استخدام الكاميرا للتصوير يتم عن طريق مكتبة AVICAP32.DLL واطلاق دالة capCreateCaptureWindowA لانشاء مربع للكاميرا ومباشرة استدعاء دوال SendMessage الخاصة بالنظام لعمل التقاط لمربع الكاميرا او screenshot مصغرة للمربع الذي تم انشائه فقط للكاميرا.
لفهم الطريقة أكثر يجب فهم طريقة استخدام دالة SendMessage:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
دالة رسائل النظام في الوندوز وتفصيل مدخلاتها
لنركز أكثر على ثاني مدخل وهو UNIT Msg أي انه رقم يشير إلى رسالة يفهمها النظام. هذه القيمة تحدد نوعية الرسالة التي نريد ارسالها للنافذة التي يؤشر عليها مدخل HWND hWnd وهو المدخل الأول وهي قيمة حصلنا عليها من داخل النظام حيث تؤشر على مربع الكاميرا الذي قام الفايروس بفتحه. هذا المربع كما شرحنا سابقاً يحتوى على المنظر الذي تراه الكاميرا لذلك يريد الفايروس اخذ لقطة منه ليقوم بتصوير الضحية!
لنعرف الآن اول استخدام لدالة SendMessage :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
ملاحظ أعلاه اننا نقوم بعمل call للدالة SendMessage بعد عدد من عمليات push أو بمعنى اخر نحن نجهز المدخلات عن طريق ادخالها بطريقة عكسية على الـ stack ثم ننادي الدالة. عملية push ecx تضع مؤشر نافذة الكاميرا، ثم عملية push 40Ah اي وضع قيمة 40A بنظام الhex. وهي نوعية الرسالة WM_CAP_DRIVER_CONNECT ومعناها تجهيز التقاط الصورة من النافذة أما قيمتها هي 40A بسبب المعادلة التي يقوم بها نظام وندوز:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
اذاً الآن قام الوندوز بتجهيز التقاط الصور، والخطوة التالية بالكود كما يأتي:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
هذا الكود يطابق السابق مع اختلافين.
الاول: نوعية الرسالة، حيث هنا نرسل رسالة قيمتها 419h او 419 بالhex. هذه الرسالة هي WM_CAP_FILE_SAVEDIB وتعني حفظ اللقطة (من مربع الكاميرا) بملف DIB وهو بكل بساطة ملف صورة مثل BMP. أي باختصار هذه الرسالة تقول للوندوز احفظ ما تصوره الكاميرا بملف. ولكن أين الملف؟
الاختلاف الثاني بالكود هو [lea edx, [ebp + Format حيث Format هي اسم الملف على صيغة C:\%d-file%d.bmp وهي صيغة صورة من نوعية bmp او bitmap .
اذاً قمنا بإرسال رسالتين الأولى لتجهيز التقاط الصور بالكاميرا والثانية لحفظ اللقطات بملف، ثم يقوم بالخطوة الثانية وهي كالتالي:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
وهي بكل بساطة تقوم بارسال رسالة WM_CAP_DRIVER_DISCONNECT أي اغلاق محرك التقاط الصور والانتهاء.
الكود القادم بكل بساطة يقوم بجمع الصور المسجلة من الكاميرا وارسالها للسيرفر الخاص بالهاكر عبر الFTP:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
وهي السيرفرات التي ذكرناها بالمقدمة والتي تجتمع فيها الصور الخاصة بالكاميرا وكذلك الصور التي تم تجميعها، حيث يقوم بإرسالها عبر بروتوكول FTP للسيرفر، أيضاً تم عمل كومبايل لهذا الفايروس باستخدام Microsoft Visual C++ 5 وتم عمل packing له باستخدام InstallShield 2000 ولغة الجهاز الذي تم استخدامه هي اللغة العربية و المنطقة locale هي المملكة العربية السعودية.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
بما أننا قد حصلنا على إسم السيرفر وعنوانه وحساب الهاكر والرقم السري، قمنا بالدخول على سيرفر الشركة الشيلية للتأكد من صحة المعلومات، وراقبنا حركة السيرفر فوجدنا أنه يجمع ما بين 1000 الى 3000 آلاف صورة يوميا ما بين صور عامة وصور عائلية وصور خاصة بالأفراح والحفلات العائلية !! قام الهاكر بنسخها من أجهزة الناس ووجدنا مجلد كامل بالصور التي تم إلتقاطها عبر كامرات اللابتوبات، هنا صورة لبعض الصور من السيرفر ( تم اختيار الصور العامة فقط ) :
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
اما مجلد الصور التي تم إلتقاطها بواسطة الكاميرا فلن نضعها هنا ولكن هناك العديد من الصور الخاصة بأطفال وعجائز وغيرهم، أيضا العديد من الصور كانت ” سوداء ” وهي لأشخاص قامو بوضع ” ملصق على كامراتهم ” او اغلقوها بشي من باب الإحتياط، فهؤلاء قد نجو من تصوير الهاكر لهم.
ملاحظات وتعليمات :-
1- قام الهاكر بإستغلال منتدى عربي مشهور جدا ونشر بواسطة الفايروس على شكل توقيع يحتاج إضافة وبشكل مخادع لتمكن من الوصول لعدد أكبر من الضحايا كما قام بوضعه بحساب ” مشرفة ” ليكسب ثقة الناس بشكل أكبر، وجاري التواصل مع المشرفة لمعرفة تورطها بالموضوع.
2- قام الهاكر بنشر برنامجه التجسسي بواسطة مواقع أخرى على شكل برامج تصميم وبرامج مكركة، ولكن الأثر الأكبر كان للمنتدى العربي بسبب شهرته.
3- قام الهاكر بإختراق موقع شركة في شيلي ووضع كل الصور التي قام بسرقتها من الناس في هذه الشركة ويقوم هو بشكل يومي بالدخول على سيرفر الشركة ثم سحب الصور منها، وذلك ليقوم بتصعيب إقتفاء أثره وتحديد شخصيته وذلك لتشعب الإتصالات وتعقيد عملية التواصل بين هذه الدول والمؤسسات فتصعب ملاحقته ومعرفته.
4- يقوم الهاكر وحتى هذه اللحظة بعمل فايروسات وفي كل مره يقوم بتطويرها وإضافة الإعدادت والمميزات عليها.
5- هذا النوع من الإختراقات مشهور ومنتشر وأثره بالغ على نفوس الناس لإنتهاكه خصوصياتهم والتدخل بحياتهم الخاصة، فضلا عن تعرضهم للتهديد او الإبتزاز وهكذا.
6- تقوم الأجهزة الأمنية ببعض الدول العربية بإستغلال الهاكرز ونشر فايروسات متقدمة بقصد اختراق الناس، لذلك يجب أن تتأهب لهجمات أكثر تعقيدا من هذه وإتخاذ الحيطة والحذر
نصائح وتوجيهات :-
1- على المواقع المشهورة مسؤولية كبيرة في حماية زوارها ومستخدميها وذلك بحماية مواقعها من الإختراق او الإستغلال او نشر الفايروسات، وذلك عن طريق الفحص الدوري والتحديث الدائم.
2- كمستخدم لا تقم أبدا بإنزال البرامج المكركة ولا تستخدم برامج الا من مصدرها الرسمي ، واذا كانت غير مجانية حاول العثور على برامج مشابهة ومجانية.
3- قم دائما بتحديث جهازك ووضع مكافح فايروسات أصلي وقم بتحديثه بشكل دائم.
4- يفضل بكل الأحوال وضع لاصق على كاميرا اللابتوب أو اغلقها بشيء من باب الإحتياط، ولا تستخدم الكاميرا الا عند الحاجة فقط.
5- قم بتعطيل الجافا بجهازك لإحتواءها على الكثير من الثغرات وإذا كنت بحاجتها قم بتفعيلها مؤقتا ثم اغلقها من المتصفح.
فريق العمل :-
قام بهذا العمل أعضاء فريق سايبكوف للأمن الالكتروني
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
،
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
و
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
، من جانب تحليل الفايروس والهندسة العكسية (reverse engineering) وتتبع حركة الفايروس وجمع الأدلة وكتابة التقرير النهائي.تحديث 1 |
تم التواصل مع المشرفة المذكورة أعلاه وقد وضحت أنها لا تعلم شيئا بالموضوع وأن الهاكر قام بإختراق حسابها بالمنتدى ثم تغير التوقيع ولم يغير الرقم السري، وقام بعد ذلك بمراسلة العشرات من الاعضاء بالموقع وإرسال الرابط الذي يحتوي على فايروس لهم على أساس أنه لعبة وتريد مشاركتها وذلك بهدف خداعهم وإختراق أجهزتهم وأخذ صورهم، وهذه صورة من محادثاته الخاصة زودتنا بها المشرفة المذكورة.
صورة من حقيقة التوقيع الذي تم وضعه بحسابها.
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
----------------------
رابط الفايروس لمن اراد التجربة
[hide]
و نذكر ان الفايروس يقوم بالتصوير من خلال الويب كام
رابط الفايروس لمن اراد التجربة
[hide]
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
[/hide]و نذكر ان الفايروس يقوم بالتصوير من خلال الويب كام
التعديل الأخير بواسطة المشرف:
