حادث أمني وجد مؤخرا في CCleaner



حادث أمني وجد مؤخرا في كلنر الإصدار 5.33.6162 و كلنر كلاود الإصدار 1.07.3191. تم تحديد نشاط مريب في 12 سبتمبر 2017، حيث رأينا عنوان إب غير معروف يتلقى بيانات من البرامج الموجودة في الإصدار 5.33.6162 من لينر، و لينر كلاود الإصدار 1.07.3191، على أنظمة ويندوز 32 بت. استنادا إلى مزيد من التحليل، وجدنا أن نسخة 5.33.6162 من كلنر و 1.07.3191 نسخة من كلنر الغيمة تم تعديلها بشكل غير قانوني قبل أن يتم إصدارها للجمهور، وبدأنا عملية التحقيق. كما اتصلنا على الفور بوحدات إنفاذ القانون وعملنا معهم على حل المسألة. قبل الخوض في التفاصيل التقنية، اسمحوا لي أن أقول أن التهديد قد حل الآن بمعنى أن الخادم المارقة هو أسفل، والخوادم المحتملة الأخرى هي خارج سيطرة المهاجم، ونحن نقل كل ماكنر v5.33.6162 القائمة للمستخدمين إلى أحدث إصدار. تلقى مستخدمو كلنر كلاود الإصدار 1.07.3191 تحديث تلقائي. وبعبارة أخرى، وعلى حد علمنا، كنا قادرين على نزع سلاح التهديد قبل أن يتمكن من القيام بأي ضرر.

الوصف الفني
تعديل غير مصرح به من الثنائية CCLER.exe أدى إلى إدراج مستتر من مرحلتين قادرة على تشغيل التعليمات البرمجية الواردة من عنوان إب بعيد على الأنظمة المتأثرة.

تم إخفاء رمز مشبوهة في رمز التهيئة التطبيق يسمى كرت (وقت التشغيل المشترك) التي يتم إدراجها عادة أثناء تجميع من قبل مترجم. تم تنفيذ هذا التعديل التعليمات البرمجية بواسطة استدعاءات الدالة التالية (الدالات التي تم تمييزها باللون الأحمر تمثل تعديلات كرت):



نفذ هذا التعديل الإجراءات التالية قبل رمز التطبيق الرئيسي:

    فك تشفير وتفكيك هاردكودد شلكود (10 كب كبير) - تم استخدام شفرات بسيطة شور القائم على هذا.
    وكانت النتيجة (16 كيلو بايت في الحجم) دل (مكتبة الارتباط الحيوي) مع رأس مز مفقودة.
    تم تحميل دل في وقت لاحق وتنفيذها في مؤشر ترابط مستقل.
    بعد ذلك، استمر تنفيذ عادي من رمز كرت و كلينر الرئيسي، مما أدى إلى موضوع مع الحمولة التي تعمل في الخلفية.

رسم توضيحي من رمز كرت مصحح (انظر الدعوة المضافة إلى روتين الحمولة النافعة في النسخة المعدلة):

كانت التعليمات البرمجية التي تم تنفيذها داخل هذا الموضوع مشوشة بشكل كبير لجعل تحليلها أكثر صعوبة (سلاسل مشفرة، ومكالمات أبي غير المباشرة، وما إلى ذلك). كان الشفرة المشبوهة تؤدي الإجراءات التالية:

    تخزين معلومات معينة في مفتاح التسجيل ويندوز هكلم \ سوفتوار \ بيريفورم \ أغومو:
        مويد: رقم تم إنشاؤه عشوائيا يحدد نظاما معينا. ربما أيضا لاستخدامها كمفتاح تشفير الاتصالات.
        تسيد: قيمة الموقت المستخدمة للتحقق من ما إذا كان سيتم تنفيذ إجراءات معينة (الاتصالات، وما إلى ذلك)
        نيد: عنوان إب لملقم نك الثانوي
    وبالإضافة إلى ذلك، جمعت المعلومات التالية عن النظام المحلي:
        اسم الكمبيوتر
        قائمة البرامج المثبتة، بما في ذلك تحديثات ويندوز
        قائمة العمليات قيد التشغيل
        عناوين ماك من محولات الشبكة الثلاثة الأولى
        معلومات إضافية حول ما إذا كانت العملية قيد التشغيل مع امتيازات المشرف، سواء كان نظام 64 بت، وما إلى ذلك.
    تم تشفير جميع المعلومات التي تم جمعها وتشفير من قبل base64 مع الأبجدية المخصصة.
    وبعد ذلك تم إرسال المعلومات المشفرة إلى عنوان إب خارجي 216.126.x.x (تم ترميز هذا العنوان في الحمولة النافعة، وقد ألقينا عمدا آخر ثمانيتين هنا) عبر طلب بوست هتبس. كان هناك أيضا إشارة [وهمية] إلى "المضيف: speccy.piriform.com" في الاتصالات.
    ثم قراءة التعليمات البرمجية ردا من نفس عنوان إب، مع تزويدها وظيفة لتحميل حمولة المرحلة الثانية من عنوان إب المذكور أعلاه. يتم استقبال حمولة المرحلة الثانية كسلسلة ترميز base64 مخصصة، مشفرة كذلك من قبل خوارزمية التشفير المستندة إلى شور كما كل السلاسل في رمز المرحلة الأولى. لم نكتشف تنفيذ حمولة المرحلة الثانية ونعتقد أن تفعيلها من غير المرجح للغاية.
    في حالة تعذر الوصول إلى عنوان إب، يتم تنشيط نسخة احتياطية في شكل دغا (مولد اسم النطاق) وتستخدم لإعادة توجيه الاتصال إلى موقع مختلف. لحسن الحظ، هذه المجالات ولدت ليست تحت سيطرة المهاجم ولا تشكل أي خطر.

في هذه المرحلة، التكهن كيف ظهر رمز غير مصرح به في برنامج كلنر، حيث نشأ الهجوم، ومتى كان يجري إعداده من قبل الذين وقفوا وراء ذلك. ولا تزال التحقيقات جارية.

Comments

Post a Comment

Popular posts from this blog

تحميل اصدارات برنامج njRAT لاختراق الاجهزة 2017

Image
تحميل   اصدارات برنامج  njRAT  لاختراق الاجهزة  2017 ---------------------------------------------------------------------------------------------- السلام عليكم ورحمة الله تعالى وبركاته تحميل جميع اصدارات برنامج  njRAT  الشهير لاختراق الاجهزة مع تشفيرة متواضعة  لستب njRAT 5 نتيجة فحص تشفيرة الستب http://pscan.xyz/results.php?id=VbGXRoAJjWiEeSHH الان ناتي الى التحميل njRAT_v0.3.5 للتحميل https://up.top4top.net/downloadf-483nr2oz4-rar.html njRAT_v0.4.1 https://up.top4top.net/downloadf-483nhv6j2-rar.html njRAT_v0.5.0 للتحميل https://up.top4top.net/downloadf-483nihol1-rar.html njRAT-v0.6.4 للتحميل https://up.top4top.net/downloadf-483dr2zk1-rar.html njRAT-v0.7d
Read more

أفضل برامج إختراق أجهزه للأندرويد و تجسس على الشبكه و تجسس على الواتس اب و رؤية محاذثات الواتس اب

  التطبيق الاول هو تطبيق Hackode   و هو واحد من أفضل التطبيقات الختراق لاندرويد و هو تطبيق مهم لكل من يريد دخول اختراق الاجهزة و الشبكات حيث يوجد به العديد من الادوات المهمه فى الاختراق و ختبار أمن الشبكات و المواقع Test Penetration یقدم التطبیق المزایا و الامكانات الاتیة: مھام الاستكشاف و الاستطلاع التى تمكنك من معرف الاجھزة المتصلة بالشبكة المحلیة التى تتصل بھا كشف و فحص منافذ الاتصال فى الاجھزة المرطبطة بالشبكة فحص الثغرات فى الانظمة التى تعمل على الشبكة الاسلكیة تتبع الاجھزة و المسارات لمعرفة تخطیط الشبكة التى تتصل بھا و یقدم المزید من مھام الكشف و تحلیل الشبكة و الجھزة المرتبطة بھا وھو جزء اساسى و مھم فى عملیات اختراق الشبكات او فحص تأمینھا و معرفة الثغرات المتوفر للتحميل  http://www.adyou.me/k56f أو من هنا  http://gsurl.in/4alj أو من هنا  http://picocurl.com/1oOw التطبيق الثانى هو تطبيق اختراق الواتساب للأندروید  ھو تطبیق خطیر لاختراق محادثات الواتس اب على الشبكة اللاسلكیة فیمكنك التطبیق من مشاھدة المحادثات التى یجریھا اصدقائك على نفس الشبكة اللاسكیة و یمكنك ایضا
Read more

Is ICEMAN behind the malware-based attack on Crystal Finance Millennium؟

Image
Exclusive – The Iceman gang taking responsibility for infecting Crystal Finance Millennium , the journalist  Marc Miller  interviewd one of the members of the crew. Iceman gang member confirms that they are behind the introduction and spreading of malware that infected the systems at  Crystal Finance Millennium . In Septemeber security experts at TrendMicro reported that the Ukraine based Account Firm, Crystal Finance Millennium (CFM), has been hacked and is found to be distributing malware. The incident caused the firm to take down its website to stop spreading the threat. Crystal Finance Millennium attack (Source Trend Micro) Marc Miller had a chance to speak to one of the gang members on XMMP and he confirmed that the Iceman group is behind this attack. They started with a simple web attack (SQLI which lead to web shell upload, no privilege escalation was needed) in order to gain access to the web servers of the company. He
Read more