تشفيرة ( ملف لاختبار برامج الحمايه ) تشفيره بتاريخ 20/10/2020

المصدر: ( ملف لاختبار برامج الحمايه ) تشفيره بتاريخ 20/10/2020
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

اتمنى ان يكون الجميع فى تمام الصحه والعافيه

تشفيره جديده بتاريخ 20/10/2020

كلمه مهمه لمجرب العينه

كل عضو مسئول عن قراره في المشاركة بتجارب هذا القسم

فهذا القسم مخصص للتجارب على ملفات ضارة مختلفة الأنواع

ويجب أن لا يشارك سوى أصحاب الخبرة ومن لدية الدراية والمعرفة بما سوف يجربه

والعضو مسئول مسؤولية كاملة عن تحميل أي ملف من القسم وتجريبه على جهازه

والإدارة تخلي مسؤوليتها بهذا الشأن

من الافضل اجراء التجربه على الوضع الافتراضى لبرنامج الحمايه لديك

لان ليس هناك اى فائده من ضبطه على اليدوى وتجربه العينه لان الوضع اليدوى انت الذى تتحكم فيه فلا جدوى من تجربه وضع انت تتحكم فيه

دع البرنامج على وضعه واختبر الملف لترى هل ستصدى للملف ام لا

لا اقيد احد باعدادات معينه وكل شخص حر فى اعداداته

ولكن افضل ان تجرب الملف على وضع الشركه للبرنامج

لانى كما ذكرت ليس هناك اى فائده من وضع نتائج على اليدوى انت الذى تتحكم بها

ولا ننسى الهدف الاساسى من اختبار العينات

وهو للتعلم وتطوير الزات فى فهم الرسائل التى تظهر برامج الحمايه فى تعاملاتها مع الملفات الخبيثه

ايضا يجب تجميد الجهاز ببرنامج shadow defender او deep freeze لضمان سلامه الجهاز او التجربه على الوهمى

مع العلم ان العينه ليست تدميريه وانما نوع من انواع ملفات التجسس

ملاحظات مهمه

- فى حاله التشغيل : العينه تعمل تحت بيئه ويندوز 10 فقط

- العينه ليست للتدرب على الفك وانما موجهه لاختبار برامج الحمايه بشكل خاص ( الدفاع الاستباقى + الجدار وجميع الطبقات الاخرى )

- العينه تعمل تحت بيئه X86 + تعمل تحت البيئه الوهميه بدون مشاكل

- لا حاجه لرفع العينه على فايرس توتل فالعينه للاختبار وليست للتقييم

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

تحياتى للجميع

اخوكم ومحبكم دوما

مصطفى & Black007

 

وعليكم السَلام ورحمة الله وبركاته
هلا بك أخي مصطفى وبعيناتك

جربت التحميل وفك الضغط والكسبر لم يفعل شيء
ضغط على المجلد واخترت فحص وأيضا لم يفعل شيء



نشغل الملف بقة



الكسبر لم يفعل شيء أيضا
هل هناك شيء يجب عمله لختبار العينة

 

تمام اكتب الكود كى يبدا عمل الملف

ستختفى شاشه الكود وسيعمل الملف فى الخلفيه فى صمت

اذا لم يظهر لك اى اشعار من الكاسبر فقد تم التخطى

ملحوظه ( الكود متغير فى كل مره تشغل فيها الملف من جديد )

تابع عمل الملف فى الخلفيه باستخادم اى برنامج مراقبه العمليه مثل process explorer او process hacker )

تحديدا هذا التبويب



Tcp Listening تعني أنه ينتظر الإجابة من الجانب الأخر ( الإتصال غير مكتمل )

Tcp Established تعني أن الإتصال جاري بين الطرفين ( كل شئ تمام )

Tcp Close_Wait تعنى تم إنشاء الإتصال ولكن لم يتم الرد من الجانب الإخر ( الإتصال غير مكتمل )

Tcp Syn_Send تعنى تم الإرسال ولكن لم يتم الرد من الجانب الأخر ( جهاز المخترق )

 

السلام عليكم ورحمه الله وبركاته
ما هو السلوك المشبوه الذى يفعله الملف لكى يمنعه برنامج الحمايه؟
اعتقد ان البرنامج يراه كملف عادى يقوم بالاتصال بالانترنت ولم يتم تصنيفه بعد لذلك تبعا ل الاعدادات الافتراضيه للكاسبر
يذهب الى قائمه "low restricted" الخاصه بالتطبيقات الغير معروفة مع بعض الصلاحيات المحدوده كما يمكن تعديل الصلاحيات من طرف المستخدم مثل عدم السماح بالوصول للانترنت لهذه القائمه
وسيكون اعداد مفيد جدا فى هذه الحالة.
بالنسبه لبرنامج Wisevector

 

السلام عليكم
التجربه على avast

 

مبدئيا تصنيف هذه العينه رات RAT ( remote access trojan اى تصنف كملف اختراق

استغلال جهاز الضحيه بشكل كامل

بعض السلوكيات المشبوهه

1- التجسس على الكام

2- سحب جميع الباسورد المخزن من المتصفح

3- مشاهده سطح المكتب الخاص بالمستخدم

4- استغلال الضحيه كبروكسى

5- التجسس على المايك الخاص بالمستخدم

6- التعدين على جهاز الضحيه

والقائمه تطول

الكاسبر يقول على موقعه فى قاعده Low Restricted

Applications that do not have a digital signature from a trusted vendor and are not listed in the Kaspersky Lab database of trusted applications.
These applications have certain restrictions on accessing other processes, controlling the system, and accessing the network without user's consent. These applications will request permission for most actions from the use

ربما يكون كلامهم صحيح نسبيا

لكن اذا حاولت ان تطبق هذا الكلام على ارض الواقع فستجد انه عكس ذلك

كيف ذلك

عندما يتم اختراق شخص ما فان الصلاحيات الممنوحه للهاكر على جهاز المستخدم بتكون صلاحيات محدوده بالاعتماد على صلاحيات المسجل دخول على الجهاز لذلك يتم منح صلاحيات محدوده للملف

لكن اذا حاولنا ان نقوم بتعديل الجلسه صلاحيات اعلى وهنا تسمى العمليه privilege escalation اى ترقيه الصلاحيات لكى يتم التحكم الكامل فى جهاز الضحيه بصلاحيات ادمن وليس يوزر عادى

الكاسبر يقول ان اى تعديلات ستتم سيسال المستخدم على ذلك وفى الحقيقه الوضع يكون عكس ذلك فترقيه الصلاحيات الجلسه لا تظهر للمستخدم العادى اصلا فى الوضع الطبيعى فى الحالات العاديه

حسننا بالنسبه للملف الذى امامنا ففعلا يتبع نفس الاسلوب وياخذ نفس صلاحيات المستخدم المسجل دخول ولكن تم برمجه هذا الرات ( على حسب نوع الرات المبرمج ) ان يقوم باستخدام باك دور يستعمل صلاحيات الادمن بدون الترقيه الى صلاحيات

بعض الراتات بها الخاصيه التى سبق وشرحتها سابقا وهى يتم الاختراق بجلسه مستخدم ويتم الترقيه بعدها

الراتات من هذا النوع تكون ذلكيه لعدم لفت انتباه سلوك عمل الملف لكى لا شتبه به برنامج الحمايه

لكن اذا لاحظنا هنا فى الملف ستجد انه معه عده مكتبات من نوع DLL سابقا كان الوضع سهل قليلا فى التخطى حتى جائت ميكروسوفت وصنعت بما يعرف بال AMSI

يمكن الطلاع عليها هنا

https://docs.microsoft.com/en-us/windows/win32/amsi/how-amsi-helps

وبدات برامج الحمايه فى وضع او اتباع نفس نهج هذا الاسلوب بل ويتم ترقيعه

وان قلنا ان برامج الحمايه كانت تسبق ميكروسوفت بخطوه بدات باعتماد مصطلح machine learning فى فهم طريقه وعمل اسلوب الملفات الخبيثه واكبر مثال تصنيف قواعد الكاسبر بهذا الشكل

فقد قمت باستغلال مكتبه وتم تخطى AMSI الخاص بالكاسبر

لاحظ هذه الصوره من جهازى من عده تجارب كان اجريها على الملفات وماذا كان يفعل الكاسبر معها








اذا حتى وان تم وضع الملف تحت صلاحيات محدوده لعدم وجوده فى قاعده بيانات الكاسبر وتصنيفه على انه ملف جديد فسيتم استغلال الضحيه طلما انك لا تقوم بالعبث فى ملفات النظام ( اتلافها )

 

مع اقصى اعداد بتفعيل وضع hard end mode

للعلم AMSI مع الافاست مختلف تماما عن الكاسبر وجارى ايجاد حل لها من قبلى للتخطى

لان حتى الان لم استطيع التخلص من الافاست

لم اجرب على باقى الحمايات وتركت الموضوع لكم

 

تجربتى على eset
تم الاكتشاف بالفحص

 

لا اعرف وضع runtime مع النود كيف يكون خصوصا فى وجود AMSI كيف سيكون بدون المحرك

الايست مازال يعيش فى العصور المظلمه استخدام محرك

افضل خاصيه ابتكرها ايست حتى الان هى advanced memory scanner

غيرها لم اجد ولا شى يحسب له ( بستثناء Hips )

 

شكرا على التوضيح والشرح المبسط .
الملف لو صدر منه اى سلوك مشبوه "لتجسس على الكام و****" برنامج الحمايه هيتفرج عليه ؟؟!!!!!!
جربت اخى تنفذ اى سلوك بدون مشاكل ؟

 

حتى اكون صادق معك

صراحه لم تكون التجربه كامله من قبلى وانى اعتبرها ناقصه لعمل تنفيذ اى سلوك مشوبه كما اشرنا

الجزء الاصعب دائما يكون اثناء استخراج الملف وتشغيله اى فى حاله runtime

اتذكر عندما كنت استخدم مشروع metasploit وحاوله ان اقوم بعمل dump لجميع ملفات المستخدمين لاقوم باستخراج الباسوردات الممخزنه على جهاز وكان مثبت الكاسبر لم تنجح العمليه او لم تكتمل وظهر خطا عندى

لم احدد وقتها هل تم امساك الملف بسبب اننى حاولت استخدام سلوك مشبوه او بسبب لان الملف كان خام وقتها ولم يتم تشفيره كما يجب

لكن اعدك بفديو ساحاول عمله على الكاسبر واقوم بتجربه جميع السلوكيات المتاحه وساخبرك بالنتيجه

هنا او على الخاص للافاده

 

تم الاطلاع عليه
"But what if the obfuscator is so trivial that it looks like many well-behaved scripts? A signature for it would generate an unacceptable number of false positives. Here's a sample stager script that's too benign to detect on its own.ً" "script inserted remotely and called we're downloading a web page, and invoking some content from it. Here's the equivalent in Visual Basic script."
فالجزء ده صعب تعمله قاعده لكشفه ؟
ممكن طريفة التشفير هى الحل للتجاوز, وهنا هيكون صعب يتعمله قاعده للرصد ؟

 

الافيرا عند فك الضغط TR/Dropper.MSIL.Gen

 

قمت بالتجربة على

Kaspersky Security Cloud

صاحبنا نايم

 

السلام عليكم لم أجرب ولن أجرب ولكن مستمع كثيرا وأنا أقرأ خبراتكم شكرا لكم جميعا وأخص بالشكر أستاذي black007 فعلا مواضيعك تحتاج كاسة شاي وهيا استمتع وشكرا للشباب المتفاعلين ولكم مني أحلى وردة

 

هذا المحتوى يظهر للاعضاء المسجلين فقط:

هذا المحتوى يظهر للاعضاء المسجلين فقط:

 

من التسميه واضح انه يستخدم محرك الافيرا