تشفيرة عينة خبيثة مدمج بها Lumma Stealer بتاريخ اليوم 28-12-2024 للتجربة بالتشغيل

Ramy Badraan قال:
عايزين نجربه علي دكتور ويب ومالوير بايتس
غالبا هيتخطاهم لانهم ملهومش في اللف والدوران :222D بيكتشفوا الملف الواضح فقط
@elmasry2006
@احمد المخاتره

هو غالبا eset هيتعرف عليه علشان دقته في فحص الرام
وياريت لو حد عنده نورتون كمان علشان انا شغال لينكس حاليا
بس نورتون هيجيبه برضو بمحرك افاست
محرك افاست بيجيب لوما ستيلر من اي حتة :222ROFLMAO: :222ROFLMAO:
أنقر للتوسيع...
اعتذر منك ياقائد منشغل حاليا ولي عوده للتجربه
 

2024-12-29_032800.webp
 
سؤال اخ رامي
تنصحني بأي برنامج حماية كمستخدم عادي يستخدم النت لليوتيوب وللتصفح مش اكثر
ولا استخدم الالعاب او برامج المونتاج على جهازي
النظام اللي استخدمه على جهازي هو ويندوز 7
 
الملف حقا تجاوز الكاسبرسكي لمدة ثم اكتشفه متأخرا ب System Watcher

1735467223346.webp
 
أبن فلسطين قال:
سؤال اخ رامي
تنصحني بأي برنامج حماية كمستخدم عادي يستخدم النت لليوتيوب وللتصفح مش اكثر
ولا استخدم الالعاب او برامج المونتاج على جهازي
النظام اللي استخدمه على جهازي هو ويندوز 7
أنقر للتوسيع...
Eset
 
توقيع : Ramy BadraanRamy Badraan is verified member.
احمد المخاتره قال:
تمام رابط الملف الاول اللي انت وضعت رابطه في آخر رد
==
سلوكياته كاملة تم رصدها بهيبس النود
لكن اختصر لك اهمها واذا بتحب ارفق الصور سارفقها لك بالغد بسبب النعاس والعمل اخي الحبيب
==
هذا مسار الملف المستخرج مبرمج بلغة AutoIt v3
==
مشاهدة المرفق 264674



اتصالات الملف

مشاهدة المرفق 264675



مشاهدة المرفق 264676



وفي الغد ان شاء الله ساحاول تحليله بالكاسبرسكي

==

تصبح على خير اخي الحبيب
أنقر للتوسيع...
من الواضح انه تخطي eset اثناء التنصيب
انما اعتقد بعد ما يشتغل هيكتشفه من الرام
 
توقيع : Ramy BadraanRamy Badraan is verified member.
Ramy Badraan قال:
من الواضح انه تخطي eset اثناء التنصيب
انما اعتقد بعد ما يشتغل هيكتشفه من الرام
أنقر للتوسيع...

يتخطى النود🤔
قد يحدث هذا بالوضع الافتراضي للبرنامج
ولكن يتخطى النود وعلى اليدوي ( هيبس + جدار ناري ) لن اقول مستحيل
ولكن ساقول صعب جدا يالغالي ;222)
==
سمعة الملف قبل تشغيله // شاهد نهاية التحليل كيف تغيرت سمعة الملف بسرعة من قبل النود

cAqcIn2.png


فحص الملف قبل التشغيل ( مكشوف من النود )

D6SP7rk.png


نبدأ الآن برصد سلوكيات الملف

JuD3KSX.png


SNY3eFr.png


CqWgxDQ.png


ssiUXZz.png


1y0V5Pj.png


YUZ30YH.png


JBw59bq.png


LeizU3X.png


yytaBZ5.png


8wGP9jm.png


DWmDCBj.png


HwJ0ZBv.png


============

لاحظ اكتشاف النود للملف خلال تشغيله

yIceLzv.png


gsbXlaz.png


ATWaYGT.png




===

اتصالات الملف

g6Dh4p5.png


YAekQcy.png


4EhoPJr.png



بسبب تغير سمعة الملف اثناء التحليل ( بسبب الاتصال السحابي )
قام جدار النود بشكل تلقائي بمنع كل الاتصالات المشبوهة من الملف ووضعها في الحظر


UY5wBn3.png


tBaQTJz.png


O4CMrGx.png



هذه الملفات التي كانت في العمليات قبل ان يقضي عليها النود

8gBREY3.png



لاحظ معي تغير سمعة الملف من مشبوه الى خطر اثناء التحليل

HRMtgOk.png


ولاحظ معي تغير سمعة الملف في مجتمع النود بعد كشف الملف

RCYoang.png



وشكرا على العينة اخي الحبيب
:heart:
 
توقيع : احمد المخاتره
احمد المخاتره قال:
يتخطى النود🤔
قد يحدث هذا بالوضع الافتراضي للبرنامج
ولكن يتخطى النود وعلى اليدوي ( هيبس + جدار ناري ) لن اقول مستحيل
ولكن ساقول صعب جدا يالغالي ;222)
==
سمعة الملف قبل تشغيله // شاهد نهاية التحليل كيف تغيرت سمعة الملف بسرعة من قبل النود

cAqcIn2.png


فحص الملف قبل التشغيل ( مكشوف من النود )

D6SP7rk.png


نبدأ الآن برصد سلوكيات الملف

JuD3KSX.png


SNY3eFr.png


CqWgxDQ.png


ssiUXZz.png


1y0V5Pj.png


YUZ30YH.png


JBw59bq.png


LeizU3X.png


yytaBZ5.png


8wGP9jm.png


DWmDCBj.png


HwJ0ZBv.png


============

لاحظ اكتشاف النود للملف خلال تشغيله

yIceLzv.png


gsbXlaz.png


ATWaYGT.png




===

اتصالات الملف

g6Dh4p5.png


YAekQcy.png


4EhoPJr.png



بسبب تغير سمعة الملف اثناء التحليل ( بسبب الاتصال السحابي )
قام جدار النود بشكل تلقائي بمنع كل الاتصالات المشبوهة من الملف ووضعها في الحظر


UY5wBn3.png


tBaQTJz.png


O4CMrGx.png



هذه الملفات التي كانت في العمليات قبل ان يقضي عليها النود

8gBREY3.png



لاحظ معي تغير سمعة الملف من مشبوه الى خطر اثناء التحليل

HRMtgOk.png


ولاحظ معي تغير سمعة الملف في مجتمع النود بعد كشف الملف

RCYoang.png



وشكرا على العينة اخي الحبيب
:heart:
أنقر للتوسيع...
ايوة كدة تمام
لانك التعليق اللى قبل دة مكنتش منزل اسكرين انه اتعرف عليه بفك الضغط
 
توقيع : Ramy BadraanRamy Badraan is verified member.
توقيع : Ramy BadraanRamy Badraan is verified member.

احمد المخاتره

كيف تقوم اخي بتفعيل الهيبس فقط للملف ؟ المشكلة بالنود انه كل حركة بالنظام يظهر لها رسالة بHIPS كيف يتم فقط تحديد ملف ؟ أو اي ملف جديد غريب؟
 
Phoenix Valley قال:

احمد المخاتره

كيف تقوم اخي بتفعيل الهيبس فقط للملف ؟ المشكلة بالنود انه كل حركة بالنظام يظهر لها رسالة بHIPS كيف يتم فقط تحديد ملف ؟ أو اي ملف جديد غريب؟
أنقر للتوسيع...
كلامك صحيح اخي // ولايمكن تحديد الملف الجديد او الذي تريد تحليله مباشرة // لان هيبس النود بدون قواعد للاسف
انا استخدمه فقط على نظام وهمي اخي الحبيب بغرض رصد سوك الملفات الخبيثة فقط لانه دقيق بهذا الامر
وحتى اقلل تنبيهاته الى اكبر قدر ممكن اضعه على وضع التعلم لعدة أيام
وبعدها أقوم بتصدير اعدادات البرنامج مع القواعد التي تم حفظها حتى استدعيها مرة أخرى وقت حاجتي لها
لكن مع ذلك تظهر تنبيهات أخرى اثناء تحليل البرمجيات الخبيثة ولكنها اقل بكثير مقارنة بها قبل تفعيل وضع التعلم .
يعني الشركة لو تهتم بعمل قواعد بيضاء لهيبس النود سيينتقل الى مستوى آخر في الحماية .


1735499019267.webp

==
أيضا بالنسبة للجدار الناري يمكن الاستفادة منه على نظام حقيقي او وهمي
من خلال وضع التعلم ايضا لعمل القواعد وهوممتاز جدا ويعتمد عليه
1735499038880.webp

==
تحياتي وتقديري لك
 
توقيع : احمد المخاتره
احمد المخاتره قال:
كلامك صحيح اخي // ولايمكن تحديد الملف الجديد او الذي تريد تحليله مباشرة // لان هيبس النود بدون قواعد للاسف
انا استخدمه فقط على نظام وهمي اخي الحبيب بغرض رصد سوك الملفات الخبيثة فقط لانه دقيق بهذا الامر
وحتى اقلل تنبيهاته الى اكبر قدر ممكن اضعه على وضع التعلم لعدة أيام
وبعدها أقوم بتصدير اعدادات البرنامج مع القواعد التي تم حفظها حتى استدعيها مرة أخرى وقت حاجتي لها
لكن مع ذلك تظهر تنبيهات أخرى اثناء تحليل البرمجيات الخبيثة ولكنها اقل بكثير مقارنة بها قبل تفعيل وضع التعلم .
يعني الشركة لو تهتم بعمل قواعد بيضاء لهيبس النود سيينتقل الى مستوى آخر في الحماية .


مشاهدة المرفق 264708
==
أيضا بالنسبة للجدار الناري يمكن الاستفادة منه على نظام حقيقي او وهمي
من خلال وضع التعلم ايضا لعمل القواعد وهوممتاز جدا ويعتمد عليه
مشاهدة المرفق 264709
==
تحياتي وتقديري لك
أنقر للتوسيع...
بارك الله فيك يا اخي الغالي معك كل الحق
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى