نـقـاش اختبار اختراق PayLoad Useing MSbuild مع Dr.Web Security Space

[black007]

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

اتمنى ان يكون الجميع فى تمام الصحه والعافيه

وكل عام وانت بالف خير

فديو بسيط يختبر تشغيل ملف PayLoad اختراق

امام Dr.Web Security Space

احب اقول شى مهم جدا وهو انا هذا البرنامج ارفع له القبعه وخصوصا الفايروول firewall الخاص به

من اصعب البرامج الاتوماتيكيه التى واجهتها فى تعامل الجدار مع الملفات والسبب ستعرفوه فى الفديو

اترككم مع المشاهده

يفضل المشاهده بجوده عاليه

[hide]

[/hide]


الفديو اهداء لصديقنا العزيز الغائب @samerira

الفديو ببساطه يشرح وصول PayLoad بشكل ما لدى جهاز الضحيه وتشغيله

النتيجه كما هى العاده اذا كان PayLoad غير مشفر سيتم كشف الملف فور تشغيله سواء بالفحص او التشغيل

مع الوضع فى الاعتبار ان البرنامج محدث + الاعدادات افتراضيه غير معدله

اتمنى يكون الفديو بسيط وشرح الاختبار بشكل واضح

ملاحظه ( تم ارسال الملف للشركه للتحليل لعلها تمنع هذا النوع من التهديدات )

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى & Black007

 

[ahmedibrahim]

يعنى كده دكتور ويب وضعه ايه بين باقى البرامج

 

[buust]

تحياتي لك اخي الغالي وكل عام وانت بخير
الله يعطيك العافية ماقصرت على الابداع
ممكن تست Comodo Internet Security

 

[Dz_zYz0]

امممممممم

ماقصة الفايروال و اوامر الcmd اخ مصطفى ؟

 

[MagicianMiDo32]

ماشاء الله
تم التخطي
بجد فكرة MSBuild قوية انتا عملت ايه بالظبت
وازاي خليته يعمل كومبايل ويشغل بدون انتاج ملفات اخرى

 

[التميمي14]

كل عام وعيد ونحن واحبابنا واياكم بخير

تجربه من الوزن الثقيل لا اعلم لماذا مستخدميه قليل رغم عروضه المجانيه وعدم اعتراف ويندوز10 به كبرنامج

 

[black007]

يعنى كده دكتور ويب وضعه ايه بين باقى البرامج

وضع الدكتور ويب جيد فقط فى الجدار لانه من اذكى الجدار الناريه المتصله مع البرامج بشكل عام

دفاع الدكتور ويب اثناء التشغيل لا باس به ويفى بالغرض

تحياتي لك اخي الغالي وكل عام وانت بخير
الله يعطيك العافية ماقصرت على الابداع
ممكن تست Comodo Internet Security

هممممم

تحدى صعب وقد قبله

هل تريد ان اقوم بالتخطى بنفس الملف ام باستخدام فكره جديده

للعلم اغلب برامج الحمايه تقوم بوضع قواعد اساسيه خاصه بملفات ميكروسوفت الاساسيه زاتيه التنفيذ

اقصد القابله للتنفيذ حتى لا تسبب للمستخدم مشاكل

whitelist يتم وضع فيها كل الملفات الموثوقه من قبل برنامج الحمايه التابعه لاغلب البرامج المشهوره والموثوقه لدى الشركه

امممممممم

ماقصة الفايروال و اوامر الcmd اخ مصطفى ؟

القصه باختصار

ان الجدار على الوضع الاتوماتيكى كما وضحت فى الفديو وكما بينت فى قائمه البرامج التى سمح لها البرنامج بالاتصال وانشاء قواعد لها

هو ان فى الحاله الاولى التى جربت فيها الملف صد الملف وقال انه غير موقع رقميا وكما الحال مع اى ملف مجهول وهذا دعانى الى التفكير

هل اذا وقعت الملف هل سيكشفه

لذلك قمت بتجربه استخدام اسلوبى المفضل powershell وكما ظهر فى الملف ايضا ان الجدار الذكى صنف الملف انه يحاول ان يعمل من خلال برنامج موقع رقميا كما اظهرت فى الفديو

ولكنه اخبرنى برساله ان powershell يريد ان يعمل من خلال ملف مجهول وايضا اظهر رساله بمنع او اتصال الملف

اخير فى النهايه استخدام msbuild الذى وكما ذكرت لصدقى العزيز buust ان هناك ملفات ضمن القائمه البيضاء لبرامج الحمايه لا تعترض عليها برامج الحمايه

+ توضيح بسيط msbuild هو المشغل الاساسى فى مكتبه net framework باى اصدار كان لذلك برامج الحمايه تصنف كما ذكرت برامج موثوقه

اومر ال CMD هى محض فقط اوامر انفذ بها الكود ( توثيق الملف المنفذ )

ماشاء الله
تم التخطي
بجد فكرة MSBuild قوية انتا عملت ايه بالظبت
وازاي خليته يعمل كومبايل ويشغل بدون انتاج ملفات اخرى

الفكره بسيطه

اعمل مشروع جديد عادى جدا بال #C

حط متغير من نوع byte لل shellcode

وضيف مكتبتين مهمين جدا

using Microsoft.Build.Framework;
using Microsoft.Build.Utilities;

وبدل لمه تعمل كوميل للملف

اثناء تشغيل الملف خليه يعمل كومبايل ويشتغل من خلال msbuild اى وضيعه debug mode



فكره خبيثه ( طبعا ملف cmd هو المشغل لكل ده )

كل عام وعيد ونحن واحبابنا واياكم بخير

تجربه من الوزن الثقيل لا اعلم لماذا مستخدميه قليل رغم عروضه المجانيه وعدم اعتراف ويندوز10 به كبرنامج

البرنامج ليس له شعبيه ومن البرامج المهضوم حقها لكنه اصنفه من اذكى البرامج فى الجدار

وهذه ليست مبالغه حيث اننى عانيت كثير مع هذا الجدار لكن فى النهايه تبقى حمايه وقابل للكسر

عليك فقط تفكر دائما خارج الصندوق

----------------

حابب اوضح شى مهم جدا وهو هناك فرق بين الحقن فى ملف موثوق والتشغيل من خلال ملف موثوق

الامر يعتمد على انى استعين بمكتبه اساسيه فى الويندوز

وليس حقنى للكود داخلها لان اغلب برامج الحمايه تكشف الحقن مهما كان

المصيبه الكبرى التى احاول تنفيزها هى اضافه بيتات byte الشل كود shellcode ( الملف الخبيث مع برنامج اخر ) ليس دمج معتاد عادى

بل اضافه الملف ك byte ولا يمكن كشف هذا النوع على الرغم من تغيير الهاش للملف

نفس الفكره التى اتبعها اشخاص مجهولون عندما تم حقن ملفات ccleaner ببيلود اختراق

 

[أحمد البدارنة]

السلام عليكم ورحمة الله وبركاته

يعطيك العافيه تجربه مميزه في انتظار الاختبار على comodo

 

[black007]

السلام عليكم ورحمة الله وبركاته

يعطيك العافيه تجربه مميزه في انتظار الاختبار على comodo

ستكون اول حاضر عندما ستشهد اختباره

الوضع الافتراضى بالكامل

من الملاحظ ان الوضع الافتراضى للبرنامج غير مفعل فيه Hips من اعدادات الشركه

كملاحظه اولى فور التجربه

 

[MagicianMiDo32]

وضع الدكتور ويب جيد فقط فى الجدار لانه من اذكى الجدار الناريه المتصله مع البرامج بشكل عام

دفاع الدكتور ويب اثناء التشغيل لا باس به ويفى بالغرض



هممممم

تحدى صعب وقد قبله

هل تريد ان اقوم بالتخطى بنفس الملف ام باستخدام فكره جديده

للعلم اغلب برامج الحمايه تقوم بوضع قواعد اساسيه خاصه بملفات ميكروسوفت الاساسيه زاتيه التنفيذ

اقصد القابله للتنفيذ حتى لا تسبب للمستخدم مشاكل

whitelist يتم وضع فيها كل الملفات الموثوقه من قبل برنامج الحمايه التابعه لاغلب البرامج المشهوره والموثوقه لدى الشركه



القصه باختصار

ان الجدار على الوضع الاتوماتيكى كما وضحت فى الفديو وكما بينت فى قائمه البرامج التى سمح لها البرنامج بالاتصال وانشاء قواعد لها

هو ان فى الحاله الاولى التى جربت فيها الملف صد الملف وقال انه غير موقع رقميا وكما الحال مع اى ملف مجهول وهذا دعانى الى التفكير

هل اذا وقعت الملف هل سيكشفه

لذلك قمت بتجربه استخدام اسلوبى المفضل powershell وكما ظهر فى الملف ايضا ان الجدار الذكى صنف الملف انه يحاول ان يعمل من خلال برنامج موقع رقميا كما اظهرت فى الفديو

ولكنه اخبرنى برساله ان powershell يريد ان يعمل من خلال ملف مجهول وايضا اظهر رساله بمنع او اتصال الملف

اخير فى النهايه استخدام msbuild الذى وكما ذكرت لصدقى العزيز buust ان هناك ملفات ضمن القائمه البيضاء لبرامج الحمايه لا تعترض عليها برامج الحمايه

+ توضيح بسيط msbuild هو المشغل الاساسى فى مكتبه net framework باى اصدار كان لذلك برامج الحمايه تصنف كما ذكرت برامج موثوقه

اومر ال CMD هى محض فقط اوامر انفذ بها الكود ( توثيق الملف المنفذ )



الفكره بسيطه

اعمل مشروع جديد عادى جدا بال #C

حط متغير من نوع byte لل shellcode

وضيف مكتبتين مهمين جدا

using Microsoft.Build.Framework;
using Microsoft.Build.Utilities;

وبدل لمه تعمل كوميل للملف

اثناء تشغيل الملف خليه يعمل كومبايل ويشتغل من خلال msbuild اى وضيعه debug mode



فكره خبيثه ( طبعا ملف cmd هو المشغل لكل ده )




البرنامج ليس له شعبيه ومن البرامج المهضوم حقها لكنه اصنفه من اذكى البرامج فى الجدار

وهذه ليست مبالغه حيث اننى عانيت كثير مع هذا الجدار لكن فى النهايه تبقى حمايه وقابل للكسر

عليك فقط تفكر دائما خارج الصندوق

----------------

حابب اوضح شى مهم جدا وهو هناك فرق بين الحقن فى ملف موثوق والتشغيل من خلال ملف موثوق

الامر يعتمد على انى استعين بمكتبه اساسيه فى الويندوز

وليس حقنى للكود داخلها لان اغلب برامج الحمايه تكشف الحقن مهما كان

المصيبه الكبرى التى احاول تنفيزها هى اضافه بيتات byte الشل كود shellcode ( الملف الخبيث مع برنامج اخر ) ليس دمج معتاد عادى

بل اضافه الملف ك byte ولا يمكن كشف هذا النوع على الرغم من تغيير الهاش للملف

نفس الفكره التى اتبعها اشخاص مجهولون عندما تم حقن ملفات ccleaner ببيلود اختراق

فكرة عسل

بس بيتهيالي لما تحاول حقن بايتات الملف نفسه التوقيع الرقمي بيضرب invalid
فكدا بنخسر اهم ميزة احنا عاوزينها والبرنامج بيبقى بالنسبة للأنتي فيرس كأنه ملف عادي

انما العيال ولاد الابالسة بتوع السي كلينر هكروا شبكة الشركة الأصلية وبدلوا البرنامج بنسخة تانية ملغمة
والموظفين عملوا بيلد ووقعوا النسخة الملغمة رقميا وتم طرحها للتحميل
لأن في الشركات الكبيرة بيكون هناك اكثر من فريق شغالين على نفس النسخة من البرنامج
والتعديل الي بيقوم بيه احدهم بيحصل عند الكل ,,زي git كدا
فممكن محدش خد باله فعلا ان النسخة اتبدلت
دا على حسب تحليلي , لأن ملقتش معلومات مفصلة قوي عن الموضوع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بس انا عندي فكرة تانية
هيا اننا نبحث عن برنامج قديم , يكون به ثغرة bufferoverflow
ويكون موقع رقميا والتوقيع الرقمي بتاعه صالح
ونقنع الضحية انه يسطبه ويشغل الشيل كود بتاعنا
يعني مثلا نسخة قديمة بها ثغرة من برنامج vlc
الضحية هيحمله ويشغل ملف الفيديو بتاعنا الي هو جواه شيل كود
كدا هنحقن البرنامج في الذاكرة دون ان نلمس الـ image الخاصة بيه على الهارد ودون استخدام الران بي
وبالتالي سيظل التوقيع الرقمي صالح و سنتخطى المكافح

طبعا الخيارات كثيرة في هذة الفكرة , يعني ممكن نختار ملف ملهوش واجهة ونستخدم الـ sfx لدمجه مع الشيل كود و اوامر cmd لتشغيله
cmd.exe vulnerableapp.exe shellcode.mp3

 

[أحمد البدارنة]

ستكون اول حاضر عندما ستشهد اختباره

الوضع الافتراضى بالكامل

من الملاحظ ان الوضع الافتراضى للبرنامج غير مفعل فيه Hips من اعدادات الشركه

كملاحظه اولى فور التجربه

نعم غير مفعل + السماح للاتصال غير المعروفه بالمرور من غير اعتراض للاسف.

 

[ALI 145]

السلام عليكم .. شكرا أخي مصطفى تجربة جميلة .. جدار الدكتور ويب حساس وجدار حقيقي وذو فعالية على الإفتراضي ليس كجدران بقية البرامج برامج الحماية جدارها هو شكلي فقط على الإفتراضي يسمح بمرور %90 من الإتصالات الخبيثة على الإفتراضي .. خصوصا لو كان إتصال أو حاضن إتصال موثوق و موقع لن يتحرك أبدا كأنه ميت .. ؟!!

 

[samerira]

السلام عليكم ورحمة الله.. يا اخي مصطفى هديتكم تلكم ملغومة فبغض النظر عن عدكم صاحبي ومنذ سنين انصرمت واعتز بكم واتيه بكم فخرا فانا لا اخفيكم زعلي.. كما لم يتسنى لي التأكد من نوعية الاختراق بسبب عدم جودة الفديو.. هل فعلا تم الوصول الى الملفات او كشف ملفات السر في المتصفحات وانا متأكد انه لا يمكنك من الوصول الى القرص او تعديل او حذف الملفات بشكل تلقائي بسبب وحدة الحماية الوقائية في د.ويب ام ماذا جرى مع وجود افضل برنامج حماية في العالم وعبر طريقتكم تلك كما وصلني يمكنكم تخطي كل برامج الحماية والانظمة الامنية التي تعمل من خلال جهازكم حصرا اما عن بعد فيستحيل ذلك.. الامر قد يحتاجني الى تأني حتى اقطع الشك باليقين وساعرج متى يتيح لي الوقت في المرور على بقية سلسلتكم.. كما ان السماح للاتصال من خلال د.ويب حتى عبر ملف موقع رقميا لمرة واحدة حتى بشكل متسلسل سيخلق قاعدة اتصال واحدة فقط تكون يدوية بشكل كلي من دون تذكر قاعدة الاجراء فهل فتحت منفذ 443.. لي عودة معكم بحول الله تعالى لكني اعدكم حتما ان اكتب موضوع ارد فيه عليكم وابين فيه للقاصي والداني وعبر تجارب واختبارات حقيقية عن افضلية جناح د.ويب الفضائي وساقدمه لكم بعده هدية مع تقديري لجهودكم الحثيثة وتفانيكم في الارتقاء بجمهورية زيزووم

 

[black007]

السلام عليكم ورحمة الله.. يا اخي مصطفى هديتكم تلكم ملغومة فبغض النظر عن عدكم صاحبي ومنذ سنين انصرمت واعتز بكم واتيه بكم فخرا فانا لا اخفيكم زعلي.. كما لم يتسنى لي التأكد من نوعية الاختراق بسبب عدم جودة الفديو.. هل فعلا تم الوصول الى الملفات او كشف ملفات السر في المتصفحات وانا متأكد انه لا يمكنك من الوصول الى القرص او تعديل او حذف الملفات بشكل تلقائي بسبب وحدة الحماية الوقائية في د.ويب ام ماذا جرى مع وجود افضل برنامج حماية في العالم وعبر طريقتكم تلك كما وصلني يمكنكم تخطي كل برامج الحماية والانظمة الامنية التي تعمل من خلال جهازكم حصرا اما عن بعد فيستحيل ذلك.. الامر قد يحتاجني الى تأني حتى اقطع الشك باليقين وساعرج متى يتيح لي الوقت في المرور على بقية سلسلتكم.. كما ان السماح للاتصال من خلال د.ويب حتى عبر ملف موقع رقميا لمرة واحدة حتى بشكل متسلسل سيخلق قاعدة اتصال واحدة فقط تكون يدوية بشكل كلي من دون تذكر قاعدة الاجراء فهل فتحت منفذ 443.. لي عودة معكم بحول الله تعالى لكني اعدكم حتما ان اكتب موضوع ارد فيه عليكم وابين فيه للقاصي والداني وعبر تجارب واختبارات حقيقية عن افضلية جناح د.ويب الفضائي وساقدمه لكم بعده هدية مع تقديري لجهودكم الحثيثة وتفانيكم في الارتقاء بجمهورية زيزووم

وعليكم السلام واهلا بصديقى الغائب سامر

بخصوص ما تفضلت به انا فى انتظارك لتجربه كل شى بنفسك

لقد اوضحت بفضل المشاهده بجوده عاليه لتتضح لك الصوره

دائما ما اقوم بالاختبار على الوضع الافتراضى للشركه الذى يستخدمه المستخدم العادى وليس المعدل

وقد اوضحت ان الجدار النارى هو من وقف فى طريقى فقط

وقد قمت بتجاوزه بملف سليم يثق فيه Dr.Web وجميع الملفات الاخرى كانت محض تجربه فقط لبيان ان وحدات البرنامج تعمل

اما بخصوص قولك انه لا يمكن الاختراق عن بعد

فسامحنى فى هذه ايضا الاتصال خارج الشبكه الذى اقوم بقه لان اذا لم اكن اخترق خارج الشبكه ما كان ظهر الاى بى الحقيقى الخاص

ويظهر فقط الاى بى المحلى

بانتظارك للدخول لتجرب حتى كل شى بنفسك وهى دعوه شخصيه لكى تزور فيها جهازى المتواضع وتشاهد كل شى بنفسك على الطبيعه

تحياتى وتقديرى