Deadeye
عضو شرف
غير متصل
السلام عليكم
-------------------------------------
لاننا هنا نهتم بكل ما يخص امن المعلومات، من واجبنا متابعة كل ما هو جديد في هذا المجال
لهذا سأتحدث في هذا الموضوع عن مالوير خطير و جديد بفكرة بمنتهى الذكاء ظهر مؤخراً منذ 3-5 ايام تقريباً الا وهو: DoubleAgent
كوصف له يُعتبر من نوع رانسوموير (ransomware) او كما يسميها البعض هنا 'فيروسات الفدية او قفل الشاشة'
،
قد يبدو للحظة الاولى ان هذا النوع من التهديدات ليس بالامر الجديد
لكن سنرى في فيما بعد كيف ان هذا التهديد مختلف تماماً
حيث انه تجاوز جميع او 'معظم' برامج الحماية المشهورة و القوية التي يفضلها الاعضاء هنا
بل دمرها تماماً و حولها لمجرد ايقونات لا حول لها ولا قوة .. بل اكثر من ذلك !
-------------------------------------
فكرة عمل DoubleAgent بالشكل المختصر و المُبسط:
يقوم على ثغرة قديمة عمرها حوالي 15 سنة، وهذه الثغرة موجودة على جميع انظمة الويندوز من XP الى Windows 10
اسم هذه الثغرة:
عن طريق هذه الثغرة يحصل التهديد على صلاحيات عالية
يقوم من خلالها بعملية حقن inject code لاي عملية process بل و السيطرة عليها تماماً
يقوم صديقنا اللطيف DoubleAgent بعملية حقن في مفاتيح الريجيستري التابعة لبرنامج الحماية المثبت على الجهاز !
و يحصل على السيطرة الكاملة على برنامج الحماية و جميع العمليات التابعة له !
بل و يحول برنامج الحماية الى رانسوموير يقفل الشاشة و يشفر الملفات !
فبعد الاصابة بهذا الرانسوموير، عند إلقاء نظرة على التاسك منجر task manager
ستلاحظ ان العمليات التابعة لبرنامج الحماية قد تغيرت مسمياتها الى DoubleAgent او ما شابه
،
قد يتساءل البعض ان برامج الحماية مثل الكاسبر و البتديفندر و الافاست و الافيرا و الايسيت ... ووالخ تمتلك وحدة الدفاع الذاتي التي تحمي ملفات و مفاتيح الريجيستري التابعة لبرنامج الحماية
و بالتالي لا يمكن التعديل عليه او حقن اي كود به
ولكن صديقنا هنا يمتلك التقنيات اللازمة لتجاوز هذه الوحدة
،
ليس هذا فقط
المشكلة الكبرى ان اغلب برامج الحماية تعمل من مستوى الكيرنل 0 - kernel level 0 اي انها تملك صلاحيات عالية جداً في النظام
حتى يمكنها مثلا فحص الملفات او مراقبة سلوكيات التطبيقات او حذف تهديد .. الخ
فعندما يقوم هذا التهديد DoubleAgent بالسيطرة على برنامج الحماية و تحويله الى مالوير، يكون قد حصل على صلاحيات برنامج الحماية المطلقة في النظام
تمكنه من عمل اي شيء .. تقريباً
كمثال تحميل باك دور backdoor ، تروجان Trojan ، مالوير malware .. الخ بالاضافة بالطبع الى تشفير الملفات كـ اي رانسوموير آخر
او حتى حقن عملية اخرى تابعة لتطبيق اخر غير برنامج الحماية، و السيطرة عليها ايضاً ليتجذر اكثر و اكثر بالنظام
(بالمناسبة: حذف التطبيق المحقون و اعادة تثبيته لن يغير اي شيء، مجرد اعادة تثبيت البرنامج المحقون يقوم DoubleAgent بالسيطرة عليه مجدداً بشكل تلقائي)
،
الفكرة هنا ان تهديدات قفل الشاشة او الرانسوموير كانت دائماً ما تركز على تجاوز برامج الحماية
بينما هذا التهديد الجديد لا يستهدف تجاوز برامج الحماية فحسب، بل السيطرة عليها بما انها تملك صلاحيات عالية في النظام
و تحويل عكسي لهذه البرامج التي من المفترض ان تحمي النظام الى ادوات عبارة عن مالوير بحد ذاتها
،
برامج الحماية المستهدفة و التي نجح DoubleAgent بإسقاطها :
avast
AVG
Avira
Bitdefender
Trend Micro
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton Security
تقريباً جميع برامج الحماية المشهورة
،
مثال على ما يفعله DoubleAgent ببرنامج الحماية Norton Security
واجهة برنامج Norton Security طبيعية بدون اي تعديل
واجهة برنامج Norton Security بعد ان سيطر DoubleAgent عليه بشكل كامل و قام بتحويله الى رانسوموير
الفيديو التجربة على برنامج Norton Security
فيديو للتجربة على برنامج Avira Antivirus
بالاضافة لبرنامج Comodo Antivirus
بالاضافة الى فيديو من قناة The PC Security Channel بهذا الخصوص
-------------------------------------------------
الخبر الجيد
ان مكتشف الثغرة و مبرمج هذا التهديد هو شركة Cybellum التي اساساً هدفها تطوير مجال الحماية
من خلال البحث و الكشف عن ثغرات و طرق التي قد يستخدمها الهكرز، و بالتالي اعلام شركات الحماية بهذه التهدايدات
بالمناسبة الشركة ذكرت انها تواصلت مع جميع شركات الحماية و امن المعلومات بخصوص هذه الثغرة
و ارسلت لهم عينات من DoubleAgent قبل 19 يوم من الاعلان عن هذا التهديد
حتى تقوم شركات الحماية بعمل التحديثات و الاجراءات اللازمة
و مع ذلك لايزال DoubleAgent يتجاوز معظم برامج الحماية .. لحد هذه اللحظة
علماً انه بعض شركات الحماية قد اصدرت بالفعل تحديثات بهذا الخصوص
( لكن لم اتأكد انها حلت هذه المشكلة ام لا)
ملاحظة: DoubleAgent لم يتواجد بالشبكة اساساً، بمعنى انه حالياً لا يشكل تهديد على المستخدمين
ولكن شركة Cybellum قامت بطرح الكود الخاص بـ DoubleAgent للعامة
مما قد يحصل عليه الاشخاص الخطأ و يقوموا بالتعديل عليه و تطويره اكثر
--------------------------------------------
[hide]الآن الى الروابط من موقع الشركة Cybellum الرسمي
هنا تحميل DoubleAgent ، بالاضافة لطريقة تشغيله (التي لم افهمها بالضبط)
هنا كل ما يخص DoubleAgent و كيفية عمله و استغلال الثغرة و بالاضافة لمزيد من المعلومات
[/hide]
-------------------------------------
لاننا هنا نهتم بكل ما يخص امن المعلومات، من واجبنا متابعة كل ما هو جديد في هذا المجال
لهذا سأتحدث في هذا الموضوع عن مالوير خطير و جديد بفكرة بمنتهى الذكاء ظهر مؤخراً منذ 3-5 ايام تقريباً الا وهو: DoubleAgent
كوصف له يُعتبر من نوع رانسوموير (ransomware) او كما يسميها البعض هنا 'فيروسات الفدية او قفل الشاشة'
،
قد يبدو للحظة الاولى ان هذا النوع من التهديدات ليس بالامر الجديد
لكن سنرى في فيما بعد كيف ان هذا التهديد مختلف تماماً
حيث انه تجاوز جميع او 'معظم' برامج الحماية المشهورة و القوية التي يفضلها الاعضاء هنا
بل دمرها تماماً و حولها لمجرد ايقونات لا حول لها ولا قوة .. بل اكثر من ذلك !
-------------------------------------
فكرة عمل DoubleAgent بالشكل المختصر و المُبسط:
يقوم على ثغرة قديمة عمرها حوالي 15 سنة، وهذه الثغرة موجودة على جميع انظمة الويندوز من XP الى Windows 10
اسم هذه الثغرة:
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
عن طريق هذه الثغرة يحصل التهديد على صلاحيات عالية
يقوم من خلالها بعملية حقن inject code لاي عملية process بل و السيطرة عليها تماماً
يقوم صديقنا اللطيف DoubleAgent بعملية حقن في مفاتيح الريجيستري التابعة لبرنامج الحماية المثبت على الجهاز !
و يحصل على السيطرة الكاملة على برنامج الحماية و جميع العمليات التابعة له !
بل و يحول برنامج الحماية الى رانسوموير يقفل الشاشة و يشفر الملفات !
فبعد الاصابة بهذا الرانسوموير، عند إلقاء نظرة على التاسك منجر task manager
ستلاحظ ان العمليات التابعة لبرنامج الحماية قد تغيرت مسمياتها الى DoubleAgent او ما شابه
،
قد يتساءل البعض ان برامج الحماية مثل الكاسبر و البتديفندر و الافاست و الافيرا و الايسيت ... ووالخ تمتلك وحدة الدفاع الذاتي التي تحمي ملفات و مفاتيح الريجيستري التابعة لبرنامج الحماية
و بالتالي لا يمكن التعديل عليه او حقن اي كود به
ولكن صديقنا هنا يمتلك التقنيات اللازمة لتجاوز هذه الوحدة
،
ليس هذا فقط
المشكلة الكبرى ان اغلب برامج الحماية تعمل من مستوى الكيرنل 0 - kernel level 0 اي انها تملك صلاحيات عالية جداً في النظام
حتى يمكنها مثلا فحص الملفات او مراقبة سلوكيات التطبيقات او حذف تهديد .. الخ
فعندما يقوم هذا التهديد DoubleAgent بالسيطرة على برنامج الحماية و تحويله الى مالوير، يكون قد حصل على صلاحيات برنامج الحماية المطلقة في النظام
تمكنه من عمل اي شيء .. تقريباً
كمثال تحميل باك دور backdoor ، تروجان Trojan ، مالوير malware .. الخ بالاضافة بالطبع الى تشفير الملفات كـ اي رانسوموير آخر
او حتى حقن عملية اخرى تابعة لتطبيق اخر غير برنامج الحماية، و السيطرة عليها ايضاً ليتجذر اكثر و اكثر بالنظام
(بالمناسبة: حذف التطبيق المحقون و اعادة تثبيته لن يغير اي شيء، مجرد اعادة تثبيت البرنامج المحقون يقوم DoubleAgent بالسيطرة عليه مجدداً بشكل تلقائي)
،
الفكرة هنا ان تهديدات قفل الشاشة او الرانسوموير كانت دائماً ما تركز على تجاوز برامج الحماية
بينما هذا التهديد الجديد لا يستهدف تجاوز برامج الحماية فحسب، بل السيطرة عليها بما انها تملك صلاحيات عالية في النظام
و تحويل عكسي لهذه البرامج التي من المفترض ان تحمي النظام الى ادوات عبارة عن مالوير بحد ذاتها
،
برامج الحماية المستهدفة و التي نجح DoubleAgent بإسقاطها :
avast
AVG
Avira
Bitdefender
Trend Micro
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton Security
تقريباً جميع برامج الحماية المشهورة
،
مثال على ما يفعله DoubleAgent ببرنامج الحماية Norton Security
واجهة برنامج Norton Security طبيعية بدون اي تعديل
واجهة برنامج Norton Security بعد ان سيطر DoubleAgent عليه بشكل كامل و قام بتحويله الى رانسوموير
الفيديو التجربة على برنامج Norton Security
فيديو للتجربة على برنامج Avira Antivirus
بالاضافة لبرنامج Comodo Antivirus
بالاضافة الى فيديو من قناة The PC Security Channel بهذا الخصوص
الخبر الجيد
ان مكتشف الثغرة و مبرمج هذا التهديد هو شركة Cybellum التي اساساً هدفها تطوير مجال الحماية
من خلال البحث و الكشف عن ثغرات و طرق التي قد يستخدمها الهكرز، و بالتالي اعلام شركات الحماية بهذه التهدايدات
بالمناسبة الشركة ذكرت انها تواصلت مع جميع شركات الحماية و امن المعلومات بخصوص هذه الثغرة
و ارسلت لهم عينات من DoubleAgent قبل 19 يوم من الاعلان عن هذا التهديد
حتى تقوم شركات الحماية بعمل التحديثات و الاجراءات اللازمة
و مع ذلك لايزال DoubleAgent يتجاوز معظم برامج الحماية .. لحد هذه اللحظة
علماً انه بعض شركات الحماية قد اصدرت بالفعل تحديثات بهذا الخصوص
( لكن لم اتأكد انها حلت هذه المشكلة ام لا)
ملاحظة: DoubleAgent لم يتواجد بالشبكة اساساً، بمعنى انه حالياً لا يشكل تهديد على المستخدمين
ولكن شركة Cybellum قامت بطرح الكود الخاص بـ DoubleAgent للعامة
مما قد يحصل عليه الاشخاص الخطأ و يقوموا بالتعديل عليه و تطويره اكثر
--------------------------------------------
[hide]الآن الى الروابط من موقع الشركة Cybellum الرسمي
هنا تحميل DoubleAgent ، بالاضافة لطريقة تشغيله (التي لم افهمها بالضبط
)
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
هنا كل ما يخص DoubleAgent و كيفية عمله و استغلال الثغرة و بالاضافة لمزيد من المعلومات
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
[/hide]
التعديل الأخير:
