انتشر عبر موقع الفيسبوك قبل عدة ايام اشعار (تنبيه) يصل للمستخدمين يخبرهم بأن احد الاصدقاء قد قام بالإشارة لهم على منشور. هذا الإشعار هو اشعار وهمي وخبيث فبمجرد النقر عليه لمشاهدة التعليق يطلب منك تحميل ملف بإمتداد JSE ويكون اسمه على شكل comment_xxxxxxx.jse
اذا تمت عملية تحميل الملف وتشغيله فإن الضحية سيلاحظ بأنه قد تم اغلاق المتصفح الخاص به وبعدها ستبدأ تصل اشعارات وهمية كالتي وصلت للضحية لأصدقاءه على الفيسبوك لكي يقوم هذا البرنامج الخبيث بنشر نفسه, حيث أن هذا الأمر فقط يعمل اذا كان الضحية يستخدم متصفح Chrome.
بمجرد ان تم اخبارنا من قبل اصدقاء بوجود مثل هذا الأمر. قمنا بالبحث عن الغاية مه فوجدنا بأنه قد انتشر بشكل كبير لمستخدمي الفيسبوك وقد اصاب عدد كبير جداً من الأجهزة.
تواصلت مع احد الأصدقاء وهو احد المختصين بمجال تحليل البرامج الخبيثة و الهندسة العكسية (يمكنكم زيارة صفحته من هنا : https://www.facebook.com/Dr.FarFar ) وقام بتزويدي ببعض الأمور المفيدة التي ساعدتنا على اجراء واتمام هذا التقرير (وخاصة بأنه قد قام بتزويدي بالملف الذي يتم تحميله بإمتداد jse) كما أننا وجدنا نقاشاً على موقع stackexchange ساعدنا في فهم بعض الأمور.
لكن قبل ان نقوم بكتابة هذا التقرير كنا قد نشرنا على صفحة الموقع توضيح حول هذا الامر وذكرنا بأننا قمنا بتحليل سريع ومبدئي لهذا الملف الخبيث ووجدنا بأنه عبارة عن برنامج فدية أو Ransomware (للتعرف على هذا النوع من انواع البرامج يمكنك قراءة الموضوع التالي : إضغط هنا ) ينشر نفسه عبر اضافة وهمية يتم تثبيتها على متصفح Chrome عبر ملف jse الذي يتم تحميله وتشغيله على جهاز الضحية وهو يصيب ويؤثر فقط على أنظمة تشغيل ويندوز. الا ان احد المتابعين على الصفحة نبهنا بأن هذا البرنامج الخبيث هو جزء من شبكة Botnet وانه ينشر نفسه عبر جميع المتصفحات ويصيب جميع أنظمة التشغيل.
قمنا بعدها بإعادة عملية التحليل والبحث ووجدنا بأن الجزء الأول من كلامه صحيح فهذا البرنامج الخبيث هو برنامج من نوع حصان طروادة (Trojan Horse) يحتوي على خصائص خبيثة مثل التجسس على لوحة المفاتيح للضحية و الإتصال بجهاز المخترق عن بعد وغيرها من الأمور الأخرى, لكنه لا يقوم بنشر نفسه سوى بواسطة متصفح الكروم ولا يصيب الا أنظمة تشغيل ويندوز وهذا ما سنوضحه في هذا التقرير.
دعونا نبدا الآن في هذا التقرير.. بإسم الله نبدأ 
أولاً : وصول الإشعار الوهمي.
بعد أن يصل للضحية اشعار وهمي بأن احد الأصدقاء قد اشار له في تعليق على احدى المنشورات وبمجرد النقر على هذا الإشعار يتم الطلب من الضحية ان يقوم بتحميل ملف بإمتداد JSE (حيث وجد بأن الملف تم رفعه على خدمات جوجل لرفع الملفات وتم حذفه بعد التعرف على انه برنامج خبيث) وفي حالة كان المتصفح لديك قد تم اعداده مسبقاً لفتح الملفات بشكل تلقائي بعد ان تتم عملية تحميلها سيتم فتحه بشكل تلقائي ويبدأ بعمله.
هذا الإمتداد يعود لملفات مكتوبة بلغة Javascript الا انه قد تم حمايتها من عملية قراءة الشفرة المصدرية عبر عمل ما يسمى Encoding لبعض محتوياته (للتعرف على مفهوم الـ Encoding يمكنك قراءة الموضوع التالي :إضغط هنا ) بالإضافة الى ان هذه الطريقة تعتبر احدى طرق تجاوز برامج كشف الفيروسات والحماية المختلفة.
ثانياً : تحليل ملف الـ Javascript.
عند فتح الملف واستعراضه عبر أي معالج من معالجات النصوص نجد بأن السطر الأول فيه عبارة عن مصفوفة (Array) والبيانات الموجودة بداخلها تم عمل encoding للنص فيها ليصبح على شكل HEX كما في الصورة التالية :
لمعرفة محتوى هذه المصفوفة وقراءته بشكل طبيعي يجب ان نقوم بتحويل المصفوفة من Hex الى نص مقروء. حيث يمكننا ذلك بواسطة العديد من الأدوات و المواقع ولكننا ننصح بإستخدام هذا الموقع :
بعد ان قمنا بعمل Decode من hex لنص مقروء وجدنا بأن المصفوفة أصبحت كما في الصورة التالية :
من الواضح بأن هذه المصفوحة تحتوي على العديد من الأمور مثل اسماء ملفات سيتم تحميلها بإمتداد jbg والتي سيتم تغيير امتدادها لاحقاً حسب ماهو موجود في المصفوفة (وهذا ما سنوضحه بعد قليل) بالإضافة الى بعض الإعدادات والمهام التي سيقوم هذا السكريبت بإجراءها.
دعونا الآن نقوم بتحليل الدوال الموجودة في الملف. الدالة الأولى والتي تدعى (_0xc4a4x2) تقوم بعمل طلبات من نوع GET Request لتحميل الملفات الموجودة في المصفوفة السابقة و تغيير امتداداتها من jpg للإمتداد المطلوب كما في الصور التالية :
الدالة الثانية والتي تدعى (_0xc4a4x6) لم نعلم ما الغاية منها لأنها غير مستخدمة أبداً في هذا السكريبت وقد يكون لها استخدام مستقبلي من قبل المخترقين :
آخر جزء من أجزاء هذا الملف هو كما في الصورة التالية :
يقوم هذا الجزء بفحص اذا كان هنالك مجلد بإسم Mozila موجود على المسار التالي (%appdata%) ام لا, واذا لم يكن موجود يقوم بإنشاءه وبعدها يقوم بإضافة المسار التالي (%appdata%\Mozila) للمتغير الذي يدعى Path في إعدادات المستخدم على نظام تشغيل ويندوز للضحية وهو مكافيء لـلمسار التالي :
C:\Users\VictimUserName\AppData\Roaming\Mozila
بعد ذلك يقوم هذا الجزء بتشغيل ملف run.bat وهو ملف يتكون من سطرين فقط حيث يقوم بتشغيل ملف autoit.exe ويمرر له ملف آخر يدعى ekl.au3 كمتغير وهما ملفان تم تحميلهما سابقاً بواسطة أول دالة.
ملاحظات :
– VictimUserName هي عبارة عن اسم المستخدم على جهاز الضحية.
– المسار السابق هو المسار الذي يتم تحميل وحفظ جميع الملفات الخاصة بهذا البرنامج الخبيثة عليه.
ملخص تحليل هذا الملف بأن هذا الملف يعتبر ملف خبيث من نوع Downloader أي ملف لا يقوم بأي شيء سوى تحميل الملفات الخاصة بالبرنامج الخبيث الذي يصيب جهاز الضحية من خادم المخترق كطريقة من طرق تجاوز أنظمة الحماية وكشف الفايروسات.
هذا وقد قمنا بفحص النطاق السابق والذي يتم تحميل الملفات منه فوجدنا بأن المخترقين قد قاموا بإستخدام خدمة لإخفاء بيانات الإتصال الخاصة بصاحب النطاق كما أنه قد تم شراؤه مؤخراً بتاريخ 27-3-2016.
ثالثاً : نظرة حول الملفات التي تم تحميلها في الخطوة السابقة.
– ملفي bg.js و manifest.json هما ملفان خاصان بإضافة (Extension) لمتصفح Chrome والتي يتم استغلالها لنشر الإشارات الوهمية لحسابات اصدقاء الضحية على الفيسبوك.
– ملف ff.zip وهو ملف فارغ لا يحتوي على شيء ولكننا سنجد لاحقاً في هذا التقرير ان هذا الملف هو عبارة عن اضافة Firefox يبدو انه سيتم اعدادها مستقبلاً لجعل هذا البرنامج الخبيث ينتشر عبر متصفح Firefox ايضاً وليس فقط متصفح Chrome.
– ملفات ekl.au3 و force.au3 و sabit.au3 هي ملفات تحتوي على دوال خاصة بالتشفير وهذا ما جعلنا في البداية نعتقد بأنه Ransomeware ولكنه على ما يبدو يتم استخدامها لتشفير وفك تشفير بعض الامور والفعاليات داخل البرنامج الخبيث Autoit.exe.
– ملف up.au3 هو ملف لم يتم تحميله لأنه على ما يبدو قد تم حذفه من الخادم.
– ملف ff.zip وهو ملف فارغ لا يحتوي على شيء ولكننا سنجد لاحقاً في هذا التقرير ان هذا الملف هو عبارة عن اضافة Firefox يبدو انه سيتم اعدادها مستقبلاً لجعل هذا البرنامج الخبيث ينتشر عبر متصفح Firefox ايضاً وليس فقط متصفح Chrome.
– ملفات ekl.au3 و force.au3 و sabit.au3 هي ملفات تحتوي على دوال خاصة بالتشفير وهذا ما جعلنا في البداية نعتقد بأنه Ransomeware ولكنه على ما يبدو يتم استخدامها لتشفير وفك تشفير بعض الامور والفعاليات داخل البرنامج الخبيث Autoit.exe.
– ملف up.au3 هو ملف لم يتم تحميله لأنه على ما يبدو قد تم حذفه من الخادم.
ربعاً : تحليل ملف Autoit.exe.
تعتمد عملية تحليل الملفات الخبيثة على طريقتين رئيسيتين وهما :
– Static Analysis : تعتمد هذه الطريقة على القيام بهندسة عكسية (Reverse Engineering) للبرنامج الخبيث وتحليل الكود البرمجي الناتج عن هذه العمليةولكنها تحتاج لوقت وخبرة ومهارات كبيرة للقيام بهذا الامر.
– Dynamic Analysis : تعتمد هذه الطريقة على تشغيل البرنامج الخبيث ومن ثم مراقبة الأمور التي يقوم بها من إتصالات على الشبكة وعمليات الكتابة والقراءة و التعديل على ملفات نظام التشغيل و مسجل النظام (Regsitry) وغيرها من أمور ومن الممكن ان يتم اجراءها بطريقتين Active (والتي تعني فحص التغيريرات بشكل مباشر) أو Passive (والتي تعني ترك البرنامج الخبيث يعمل لفترة من الزمن و تسجيل وحفظ جميع الفعاليات التي يقوم بها ومن ثم تحليلها)
– Dynamic Analysis : تعتمد هذه الطريقة على تشغيل البرنامج الخبيث ومن ثم مراقبة الأمور التي يقوم بها من إتصالات على الشبكة وعمليات الكتابة والقراءة و التعديل على ملفات نظام التشغيل و مسجل النظام (Regsitry) وغيرها من أمور ومن الممكن ان يتم اجراءها بطريقتين Active (والتي تعني فحص التغيريرات بشكل مباشر) أو Passive (والتي تعني ترك البرنامج الخبيث يعمل لفترة من الزمن و تسجيل وحفظ جميع الفعاليات التي يقوم بها ومن ثم تحليلها)
سنعتمد في التحليل على طريقتي Static و Dynamic معاً واللتان تم ذكرهما سابقاً.
أول أمر يقوم به هذا البرنامج الخبيث هو أنه يقوم بإيقاف تشغيل المتصفحات المستخدمة من قبل الضحية وهذا ما تظهره نتيجة الهندسة العكسية للبرنامج الخبيث في الصورة التالية :
بعدها يقوم البرنامج بمعرفة مسار وجود الملف التنفيذي للمتصفحات سواءً Chrome او Internet Explorer وأيضاً مسار مجلد Program Files من خلال الدوال في الصورة التالية :
ثم يقوم بحذف الإختصارات (Shortcuts) الخاصة بالمتصفحات ويقوم بإنشاء اختصارات خبيثة خاصة به لتشير على البرنامج الخبيث وهذا ما تظهره الصور التالية :
بعد ذلك يقوم هذا البرنامج الخبيث بإضافة نفسه لقائمة الـ Startup حتى يحافظ على تشغيله في كل مرة يتم فيها اقفال الجهاز واعادة تشغيله وهذا ما تظهره الصورةة التالية :
أيضاً وجدنا بأن البرنامج الخبيث يحتوي على دوال خاصة لتنصيب إضافة خبيثة على متصفح Firefox الا أن الإضافة والتي سبق وذكرنا انها يفترض ان تتواجد في ملف ff.zip لم تكن موجودة لأن الملف المضغوط كان فارغ وهذا الأمر يظهر في الدوال في الصورة التالية :
هذه الأمور التي حصلنا عليها من خلال عمل Static Analysis وسنستخدم أيضاً نتيجة عمل Dynamic Analysis تمت لنفس الملف على موقع reverse.it والتي يمكنكم مشاهدتها من خلال الرابط التالي :
حيث أظهرت نتيجة التحليل والموجودة في الرابط السابق الى مايلي :
– امكانية حقن البرنامج الخبيث نفسه في برامج وخدمات Process أخرى على نظام التشغيل.
– امكانية التجسس على ملفات الـ cookies للمتصفحات.
– إمكانية إعادة تشغيل الجهاز وإغلاقه.
– التنصت على الإتصالات التي تتم من والى جهاز الضحية.
– امكانية الإتصال مع خادم التحكم و السيطرة للمخترقين.
– التعديل على إعدادات المتصفحات.
– التعامل بشكل كامل مع جهاز الضحية من التعامل مع الأقراص, وتسجيل النقرات على لوحة المفاتيح.
– القراءة و الكتابة على مسجلات النظام Registry.
– امكانية التجسس على ملفات الـ cookies للمتصفحات.
– إمكانية إعادة تشغيل الجهاز وإغلاقه.
– التنصت على الإتصالات التي تتم من والى جهاز الضحية.
– امكانية الإتصال مع خادم التحكم و السيطرة للمخترقين.
– التعديل على إعدادات المتصفحات.
– التعامل بشكل كامل مع جهاز الضحية من التعامل مع الأقراص, وتسجيل النقرات على لوحة المفاتيح.
– القراءة و الكتابة على مسجلات النظام Registry.
مما ذكرناه سابقاً نجد بأن هذا البرنامج الخبيث هو في الغالب عبارة عن حصان طروادة وهو جزء من شبكة Botnet والتي يمكن ان يتم استغلالها واستخدامها من قبل المخترقين في العديد من الأمور الضارة سواءً التجسس على الضحايا او اي جهات أخرى كشن هجمات حجب خدمة وغيرها.
يذكر بأنه قد تم حظر جميع النطاقات التي استخدمها المخترقين لشن هذه الهجمة وتم حذف ملفات الـ javascript من خوادم شركة جوجل الا أن المخترقين بإمكانهم شن مثل هذا النوع من أنواع الهجمات بواسطة نطاقات جديدة. وللحد من مثل هذا النوع من أنواع الهجمات يرجى الغاء التشغيل التلقائي للملفات بعد انتهاء تحميلها من اعدادات المتصفح كما انه يجب ان تكون على وعي مستقبلاً بعد الإنجرار لتحميل وتشغيل مثل هذه الملفات.
Aucun commentaire:
Enregistrer un commentaire