שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@המלאך אשמח אם תואיל לבאר את השיקולים השונים שהיו גורמים לך לבחור בשיטת ההפצה הזאת על פני השיטות שמקובלות כיום
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר, הוירוס יכול להיות "רדום" תקופה ארוכה.
תאר לעצמך אפליקציה שמותקנת על המון מכשירים ומתעוררת בבת אחת למתקפת DDOS, היא קיבלת את מידע התקיפה את מה לתקוף ומתי, הוא לא צריך לעשות שום דבר חריג רק לשמור את הנתונים, ובזמן הנכון לעשות פעולה לגיטימית של שליחת בקשת אינטרנט, או לא לגיטימית כי זה אגרסיבי מן הסתם.
-
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר, הוירוס יכול להיות "רדום" תקופה ארוכה.
תאר לעצמך אפליקציה שמותקנת על המון מכשירים ומתעוררת בבת אחת למתקפת DDOS, היא קיבלת את מידע התקיפה את מה לתקוף ומתי, הוא לא צריך לעשות שום דבר חריג רק לשמור את הנתונים, ובזמן הנכון לעשות פעולה לגיטימית של שליחת בקשת אינטרנט, או לא לגיטימית כי זה אגרסיבי מן הסתם.
-
@עידו300 נו? זה כבר קיים היום
מה אתם באים לחדש? -
@מתכנת-חובב אהה ברור שזה כבר קיים, אבל קיימים המון סוגים של וירוסים, היה מישהו שחשב, נכון הוירוס הזה קיים, אבל בואו נתקוף ממקום שלא ציפו לו, בוא נמציא את הגלגל מחדש.
איך אני יודע? פשוט, תראה כמה וירוסים יש גם מאותם משפחות וגם ממשפחות אחרות.
-
@עידו300 התכוונתי לשאול מה היתרון שבזה על פני שיטות שקיימות היום
-
@מתכנת-חובב חדש, לא מוכר, לא מחפשים את הכיוון הזה, זה הוא המירוץ האין סופי של פורץ ומגן.
וגם יש פחות בקשות מחשידות, אין תוכן שצריך לפענח, אין בכלל מנגנון פיענוח, אין צורך בטשטוש, אין הרבה דברים שצועקים אני וירוס...
-
@עידו300 בא נרד לרמה הטכנית
מה נדרש מוירוס שבזמן סביר יהיה אפשר כאן לשלוח דרך השיטה הזאת ובאילו מקרים זה יהיה שמיש -
@מתכנת-חובב כמו שאמרתי, אני לא בא לכתוב מתכון. בסה"כ העלתי רעיון. את הישום אני מאמין שיש כאלו שידעו לעשות יותר טוב ממני.
אני לא יודע טכני...
-
@עידו300 ואני קצת יודע וכמה שניסיתי לחשוב למרות שזה נראה מגניב לא הצלחתי לחשוב על שימוש יעיל
אולי במקרים מאוד מסויימים ומטורגטים אבל לא כנוזקה להפצה המונית -
@מתכנת-חובב שוב, יעיל הסברתי כמה וכמה פעמים למה זה יעיל.
איך לבנות טכנית ואיך לשפץ את האלגוריתם, זה אנ ילא יודע.
@עידו300 אוקיי אז אני אסביר.
נוזקה רגילה עובדת בדרך כלל באחת משתי צורות: תוכנה שיושבת אצל הקורבן ומורידה את הנוזקה (Dropper), או תוכנה שמכילה בתוכה את הקוד הזדוני. בשני המקרים, גילוי ע"י אנטי וירוס הוא לא וודאי, ובטח שלא וודאי במצב סטטי.
עכשיו ננסה להבין מה אנחנו מעבירים למחשב של הקורבן דרך הסאונד:
אם מדובר רק בקישור או איזה shellcode קצר שיוריד את הנוזקה מהרשת - זו דרך מסורבלת להעביר משהו שיש דרכים הרבה יותר קלות להפיץ (פשוט שהתוכנה תיגש לאינטרנט).
אז נניח שאנחנו שולחים נתונים בינאריים של קובץ שלם (כדי להימנע מתעבורת רשת):
קובץ מינימלי יהיה בגודל של לפחות כמה עשרות ק"ב. בשידור קולי, זה אומר שהניגון צריך להמשך כמה דקות++
בנוסף, צריך שתהיה על המחשב תוכנה שתדע לקחת את הנתונים האלו מהמיקרופון, לבנות מהם אובייקט בזיכרון ולהריץ את זה.
ועכשיו נשאלת השאלה - איפה היתרון?
אם הצלחת לגרום לקורבן להתקין תוכנה שיודעת להריץ קוד - למה לעבוד קשה עם אודיו? פשוט תוריד את הקוד בדרך הרגילה.
כל חוקר אבטחה או מערכת EDR שיחפשו להבין מי הריץ את הנוזקה, יגלו מיד שזו התוכנה שלך (התהליך אב) שיצרה את התהליך הזדוני, בדיוק כמו במתקפה רגילה.
אז בעצם הגענו לאותו מקום כמו כל נוזקה רגילה, רק שהוספנו לעצמנו שני מכשולים:
לגרום לקורבן להתקין תוכנה וגם לאשר לה הרשאות מיקרופון (דבר מחשיד מאוד כשלעצמו).
לנגן לידו אודיו לאורך זמן.
בווינדוס זה לא יעיל כמו שהסברתי, ובאנדרואיד עם ניהול ההרשאות הקפדני זה יהיה מורכב פי כמה. -
@עידו300 אוקיי אז אני אסביר.
נוזקה רגילה עובדת בדרך כלל באחת משתי צורות: תוכנה שיושבת אצל הקורבן ומורידה את הנוזקה (Dropper), או תוכנה שמכילה בתוכה את הקוד הזדוני. בשני המקרים, גילוי ע"י אנטי וירוס הוא לא וודאי, ובטח שלא וודאי במצב סטטי.
עכשיו ננסה להבין מה אנחנו מעבירים למחשב של הקורבן דרך הסאונד:
אם מדובר רק בקישור או איזה shellcode קצר שיוריד את הנוזקה מהרשת - זו דרך מסורבלת להעביר משהו שיש דרכים הרבה יותר קלות להפיץ (פשוט שהתוכנה תיגש לאינטרנט).
אז נניח שאנחנו שולחים נתונים בינאריים של קובץ שלם (כדי להימנע מתעבורת רשת):
קובץ מינימלי יהיה בגודל של לפחות כמה עשרות ק"ב. בשידור קולי, זה אומר שהניגון צריך להמשך כמה דקות++
בנוסף, צריך שתהיה על המחשב תוכנה שתדע לקחת את הנתונים האלו מהמיקרופון, לבנות מהם אובייקט בזיכרון ולהריץ את זה.
ועכשיו נשאלת השאלה - איפה היתרון?
אם הצלחת לגרום לקורבן להתקין תוכנה שיודעת להריץ קוד - למה לעבוד קשה עם אודיו? פשוט תוריד את הקוד בדרך הרגילה.
כל חוקר אבטחה או מערכת EDR שיחפשו להבין מי הריץ את הנוזקה, יגלו מיד שזו התוכנה שלך (התהליך אב) שיצרה את התהליך הזדוני, בדיוק כמו במתקפה רגילה.
אז בעצם הגענו לאותו מקום כמו כל נוזקה רגילה, רק שהוספנו לעצמנו שני מכשולים:
לגרום לקורבן להתקין תוכנה וגם לאשר לה הרשאות מיקרופון (דבר מחשיד מאוד כשלעצמו).
לנגן לידו אודיו לאורך זמן.
בווינדוס זה לא יעיל כמו שהסברתי, ובאנדרואיד עם ניהול ההרשאות הקפדני זה יהיה מורכב פי כמה. -
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
-
@עידו300 אם זה כזה פשוט למה אין מקרה מפורסם של שימוש בכזאת שיטה?
את הגלגל המציא מישהו ממתמחים וג'מיני?@מתכנת-חובב יתכן, למה לא?
מאיפה אתה חושב הגיעו המצאות? מגאוני העולם? מצורך ופתרון, כאן היה צורך ומצאו פתרון...ולא אמרתי פשוט, אמרתי שצריך פיתוח, אבל אמרתי שאלו משוכות שאפשר לעבור זה הכל. לא באתי לשווק את הוירוס...
-
@עידו300 אם זה כזה פשוט למה אין מקרה מפורסם של שימוש בכזאת שיטה?
את הגלגל המציא מישהו ממתמחים וג'מיני?@מתכנת-חובב מיציתי את הנושא, זה ויכוח ארוך על היתכנות של וירוס שסביר להניח שאף אחד לא יעשה (אא"כ מסתובבים האקרים בינינו, לך תדע...
), חבל על הזמן...
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}