غير متصل
** حزم ثغرات المتصفح (BEP كاختصارآ او Browser Exploit Pack )أصبحت في الوقت الحالي من أخطر الطرق لتنفيذ Client Side Attacks من خلال ثغرات لمتصفحات الأنترنت مثل MSIE و Firefox و Opera و غيرها . و في هذه التدوينة نلقي الضوء و نفسح المجال لشرح و تفسير فكرة و مفهوم عمل الـBEP و مدى خطورتها و كيفية عملها بالتفصيل ..
من احد اسباب كتابتي لهذا الموضوع هو الانتشار الواسع هذه الأيام لإستخدامات الـBEP بشكل ملحوظ و الأعلان عن انواع و اصدارات جديدة بشكل دائم بالـ Underground Forums & Sites
اولا دعونا نعرف ما هو معنى Browser Exploit Pack و ما مدى الخطورة المترتبة على استخدامها .
Browser Exploit Pack : هو ببساطة كما يفهم من الأسم Pack اي مجموعة او pacakge من ثغرات المتصفحات “browser exploits ” فهو ببساطة عبارة عن نظام كامل او exploit system قريبه من فكرة frameworks لتنفيذ هجوم اوتوماتيكي بتشغيل اكواد ضارة عن طريق ( Shellcode ) على الأجهزة المصابة بثغرات المتصفح
فكرة الـBEP هي عبارة عن تجميع شامل لجميع ثغرات المتصفحات التى قد اعلن عنها و ظهرت مؤخرا في متصفحات الأنترت و اشهرها MSIE الذي قد عانى و مازال يعاني من ظهور ثغرات و اخطاء امنية كثيرة مقارنه بمتصفح Firefox الذي اثبت جدارته حتى الأن في ظهور ثغرات قليلة و في اصدارت محدودة جدا , و يتم ترتيب هذه الثغرات في شكل نظام هذا النظام يتم عاده برمجته بلغة الـPHP مع MYSQL و يهدف النظام لعمل Mass Exploit على الهدف بجميع الثغرات التى تصيب المتصفح او البرامج الخارجية التى لها اضافات Activex ( في حاله Internet Explorer) او plugins في حاله متصفح الـFirefox ..
ديناميكا و اسلوب عمل الـBEP هو كالتالي :
1) تحديد نوع المتصفح الذي سوف يتم عمل عليه Mass Exploiting عن طريق تحليل HTTP Headers المرسلة من المتصفح و التى تظهر معلومات عن نوع المتصفح و اصدارة و نوع نظام التشغيل ..
مثال على ذلك جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Firefox 3.0.15 :
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.0.12) Gecko/2009070611 Firefox/3.0.15
او جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Internet Explorer 7 :
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
و يتم التعرف على الـUSER AGENT عند زيارة صفحة ويب و جلب المعلومات عن طريق إستخدام مثلا دالة “ [‘SERVER[‘HTTP_USER_AGENT$ ” في لغة PHP و منها تبدء اول خطوة و هو تحديد الهدف نوع النظام و نوع المتصفح و اصدارة ..
2) تحديد البرامج التى تكون موجودة و مركبة على النظام مثلا وجودAdobe Reader او FOXIT او Adobe Shockwave او Realplayer , …. و يتم معرفة هذا عن طريق اختبار وجود Activex الخاص بهذة البرامج او CLSID الخاص بكل برنامج في متصفحات انترنت اكسبلولر او عن طريق plugins بمتصفح FF
و من الممكن ايضا تحديد الأصدار الخاص بكل برنامج بنفس الطريقة و معرفة رقم الأصدار بالتحديد و يتم بعدها الأنتقال لخطوة الـMass Explotiing بشكل سريع .
3) تنفيذ الهجوم على النظام عن طريق تجربة جميع الثغرات التى قد تصيب هذا النظام .. مثلا اذا كان الهدف او الضحية التى يتم التطبيق عليه كان من مستخدمين windows Xp و متصفح Internet Explorer 6 هنا سوف يكون عمل BEP اولا بمعرفة نوع النظام و الأصدار عن طريق User Agent المرسل في Http Headers المرسلة إلى الخادم و سوف يقوم النظام بتجربه جميع الثغرات التى قد تصيب اصدار هذا المتصفح مثلا كثغرات : MDAC , DirectShow (Mpeg-2), Aurora و اذا كان النظام غير مرقع لأحدى هذة الثغرات سوف يتم تنفيذ و تشغيل الـ shellcode بنجاح و يتم التسجيل في لوحة تحكم الـBrowser Exploit Pack بنجاح تشغيل الشيل كود على هذا النظام ..
قد يسألني احدكم و كيف يعلم انه تم اصابة هذا الهدف بنجاح و تطبيق عليه الثغرة و تشغيلها ؟ هل عندما يتم عمل run لـshellcode مثلا reverse backdoor او bind يتم بمعرفة اختراق هذا الجهاز ؟ ام ماذا ؟
هذة طريقة غير عملية بإلاختراق عن طريق shellcode بفتح منفذ او port في الجهاز المصاب بالثغرة .. خصوصآ عند اختراق عدد كبير جدا يصل إلى الاف من الضحايا و من الصعب اختراقهم جميعا عن طريق bind او reverse backdoor .. لذلك يتم غالبا استخدام Download & Execute shellcode لتحميل و تشغيل ملف تنفيذي (EXE) بشكل مباشر لملف تروجن خبيث لـBotnet او Rat او غيرها من البرامج الخبيثة ..
و يتم استخدام فكرة بسيطة جدا لمعرفة اذا قد تم اختراق الجهاز و تنفيذ الشيل كود عليه بشكل مباشر ام لا. و هي جعل الشيل كود يقوم بعمل download لملف بأمتداد php بدل من امتداد تنفيذي و مهمة هذا الملف ببدايته عند تشغيله هو تحديد الأي بي الخاص بالزائر و تسجيله في قاعدة البينات الخاصة بالـBEP ان صاحب هذا الأي بي قد تم اصابته و تنفيذ الشيل كود بنجاح عليه و بعدها يتم تنفيذ كود PHP اخر بنفس الملف لعمل request او دونلود لملف الـTrojan الخبيث على النظام المصاب ..
فمثلا ببساطة نفترض اذا قام احدى الأشخاص بزياره موقع قد وضع فيه Hidden Obfuscated Iframe Code و الذي يقوم بتشغيل ملف التنفيذ الخاص بالـbep و بشكل لا يؤثر على ظهور الصفحة و يتم بعدها الـBEP بتحديد نوع المتصفح مثلا Internet exploer 6 و نوع النظام Windows Xp و يتم تجربة مثلا ثغرة Aurora التى ظهرت مؤخرا و كانت السبب في اخترقات حسابات جوجل الصينية لناشطين في حقوق الأنسان و التى قد اثارت ضجة كبيرة في هذا الوقت .
و نفترض انه هذا النظام كان غير مرقع ضد هذة الثغرة و تم تشغيل الشيل كود بنجاح سوف يقوم الشيل كود بمحاولة عمل download مثلا لرابط http://localhost/bep/loader.php و ملف الـloader يقوم عند تشغيله بأخذ User_Agent و Remote_IP و تسجيلهم في قاعدة البينات بأنه صاحب هذا IP Address قد تم تنفيذ الشيل كود عليه بنجاح و يتم بعدها تنفيذ كود HEADER في لغة PHP الخاص بعمل دونلود لملف الـEXE الخبيث .
و يتم معرفة كل شئ و التحكم في هذا النظام عن طريق لوحة تحكم ايضا مبرمجة بلغة PHP و هي تظهر معلومات تفيد مستخدمها في معرفة الكثير من الأحصائيات و المعلومات .
مثلا في لوحة تحكم تظهر ما هو عدد الزوار او الضحايا الذين قامو بالدخول على الملف الرئيسي لتنفيذ الـBEP و ما هي انظمة التشغيل و كم عددها و ما هي انواع المتصفحات التى يستخدمونها و ما هو عدد الأصابات الناجحه من اجمالي الزوار أو الـunique hits التى وصلت إلى النظام ..
مثال على ذلك :
Unique Hits : 1000 – Unique Loads : 200 – Loads Percent 20%
و تعنى انه قام بالدخول 1000 زائر على الـExploit Pack و تم اصابة منهم 200 نظام و نسبة الأصابة هي 20% ..
و كما نرى انه استخدام الـBEP يقوم بعمل Massive Spread و بشكل سريع جدا في جلب الاف الاف من الضحايا في وقت قصير عن طريق وضع اكواد خبيثة في مواقع مخترقة و عند دخول الزوار على هذه المواقع من غير يتم تجربه الثغرات و اذا وجد ثغرة متاحة يتم تنفيذ الشيل كود و البرامج الضارة على النظام .
وهذه الحزم تباع بالـMalware Markets او BlackMarkets في Underground Forums بأسعار تتراوح ما بين 600$ إلى 2000$ ..
و بالطبع فرق الأسعار يختلف عن المميزات بكل واحده بلوحة التحكم و الأمكنيات التى توفرها
و يكون السعر أغلى حسب المميزات و الأمكانيات و نسبة و قوة الثغرات المضافة في كل BEP و بالطبع جميع هذه الثغرات هي غير مكشوفة تماما من اي AVS لأنه كود الثغرة بيكون Fully Ofbuscated بشكل معقد صعب فهمه او تحليلة على برامج الحماية لذلك لا يتم الوثوق في برنامج الحماية فقط كوسيلة للحماية من هذه الهجمات لأنه يتصل غالبا هذة الباكات تصل إلى نسبة 100% Fully Undetected من برامج الحماية المشهورة ..
المقاله منقوله للفائده (مع تعديل طفيف)
ورغم قدم هذه المقاله بعض الشئ الا ان الامر ما زال خطيرا وواسع الانتشار وهذه صوره لواحده من هذه الحزم والتي صدرت منذ عده اشهر ويتم تحديثها باستمرار من خلال مطوريها وفيها الانظمه التي تم اختبار الثغرات عليها بنجاح
كيفيه الحمايه من هذا النوع من الاختراق
1-تعطيل اضافات المتصفح التي لا حاجه لها
2-تحديث اضافات المتصفح باستمرار
يمكنك استخدام هذا الموقع لمعرفه الاضافات التي تحتاج لتحديث
https://browsercheck.qualys.com/
3-استخدم اضافه noscript والتي تعد بمثابه جدار ناري للمتصفح
4-تغيير user agent للمتصفح عن طريق اضافه User Agent Switcher للتحايل علي الحزم
ذكرنا ان اول شئ تقوم به Exploit Pack قبل تنفيذ الثغرات هو تحديد نظام الضحية و نوع المتصفح لدية , و بما ان كل الـExploit Packs لا تقوم الا بمهاجمة مستخدمي وندوز و تتجاهل مستخدمي لينوكس و ماك.
فبأمكانك ان تقوم بعمل حركة بسيطة تتحايل بها على Browser Exploit Packs و تجعلها تتعرف على نظامك كانه نظام مختلف مثل Linux او ماكنتوش و بالتالي لن تقوم بتنفيذ اي من الثغرات عليك حتى و ان كانت هذة الأنظمة تستخدم ثغرة غير معلن عنها في طور الـ0day .