בעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).
-
@cfopuser לא התכוונתי שיופיע החלון הזה, כי ברור שהוא לא יועיל להאקר.
התכוונתי שאם יש לו כבר שליטה על אתר, אולי הוא יציג פריצה מקבילה לאנדרואיד. -
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser אתה לא רציני
אני בדיוק מנתח אותו כדי לכתוב על זה מדריך (אבל בקושי יש לי זמן לזה אז זה לוקח זמן...)
בכל אופן אני מאמין שאם י עדיין יהיה רלוונטי כי אני מנתח סטטית ולא מסכם סך הכל מה זה עושהצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser אתה לא רציני
אני בדיוק מנתח אותו כדי לכתוב על זה מדריך (אבל בקושי יש לי זמן לזה אז זה לוקח זמן...)
בכל אופן אני מאמין שאם י עדיין יהיה רלוונטי כי אני מנתח סטטית ולא מסכם סך הכל מה זה עושה@מתכנת-חובב כן יש הרבה להסביר עדיין,
איך המולטי threading בpowershell עובד,
איך כול הshellcode רץ ועוד ועוד,
ועוד יותר מעניין מה הולך באתר.
מה שכתבתי היה ממש בקצרה התכלס. -
@מתכנת-חובב כן יש הרבה להסביר עדיין,
איך המולטי threading בpowershell עובד,
איך כול הshellcode רץ ועוד ועוד,
ועוד יותר מעניין מה הולך באתר.
מה שכתבתי היה ממש בקצרה התכלס.@cfopuser
שיחקת אותה, אני די מתפעל ממך, ואני די מרותק לשמוע את ההמשך...
יישר כח על המאמר המפורט.מ"מ הדבר הכי חשוב כאן הוא ליצור חיסון, מי שיעשה את זה הוא באמת יהיה השחקן המנצח, או יותר נכון גיבור הסיפור.
הצעתי קודם ליצור פקודת נגד, אבל אני חושב כעת - לאור המאמר שלך - שניתן להאריך אותה עוד יותר...לקבוצה הכי מעניינת >> https://did.li/in1Nf
-
@cfopuser
שיחקת אותה, אני די מתפעל ממך, ואני די מרותק לשמוע את ההמשך...
יישר כח על המאמר המפורט.מ"מ הדבר הכי חשוב כאן הוא ליצור חיסון, מי שיעשה את זה הוא באמת יהיה השחקן המנצח, או יותר נכון גיבור הסיפור.
הצעתי קודם ליצור פקודת נגד, אבל אני חושב כעת - לאור המאמר שלך - שניתן להאריך אותה עוד יותר...@es0583292679 תודה
. -
@מתכנת-חובב כן יש הרבה להסביר עדיין,
איך המולטי threading בpowershell עובד,
איך כול הshellcode רץ ועוד ועוד,
ועוד יותר מעניין מה הולך באתר.
מה שכתבתי היה ממש בקצרה התכלס.@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
איך המולטי threading בpowershell עובד,
קשור לצורת הפעולה של הוירוס?
לא ראיתי (כלומר הוא רץ כ thread של ps אבל אין מה לחדש כאן)@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
ועוד יותר מעניין מה הולך באתר.
פחות הקטע שלי
בהצלחהצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
איך המולטי threading בpowershell עובד,
קשור לצורת הפעולה של הוירוס?
לא ראיתי (כלומר הוא רץ כ thread של ps אבל אין מה לחדש כאן)@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
ועוד יותר מעניין מה הולך באתר.
פחות הקטע שלי
בהצלחה@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
לא ראיתי (כלומר הוא רץ כ thread של ps אבל אין מה לחדש כאן)
זה רץ על thread של קוד של #c שמורץ תוך כדי סקריפט בthread נפרד זה נראה די מגניב לדעתי.
כמובן שיש את הdownloader שיכיל את רוב הלוגיקה היותר מעניינת שלא נגעתי בה.
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
פחות הקטע שלי
דווקא יותר מעניין כי זה תקיפה אוטומטית, עם הסוואות נחמדות גם יש לי תאורייה די סבירה איך הם נכנסו פנימה.
-
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
לא ראיתי (כלומר הוא רץ כ thread של ps אבל אין מה לחדש כאן)
זה רץ על thread של קוד של #c שמורץ תוך כדי סקריפט בthread נפרד זה נראה די מגניב לדעתי.
כמובן שיש את הdownloader שיכיל את רוב הלוגיקה היותר מעניינת שלא נגעתי בה.
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
פחות הקטע שלי
דווקא יותר מעניין כי זה תקיפה אוטומטית, עם הסוואות נחמדות גם יש לי תאורייה די סבירה איך הם נכנסו פנימה.
-
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
ולמה הם באמת לא עושים את זה?
-
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
לא ראיתי (כלומר הוא רץ כ thread של ps אבל אין מה לחדש כאן)
זה רץ על thread של קוד של #c שמורץ תוך כדי סקריפט בthread נפרד זה נראה די מגניב לדעתי.
כמובן שיש את הdownloader שיכיל את רוב הלוגיקה היותר מעניינת שלא נגעתי בה.
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
פחות הקטע שלי
דווקא יותר מעניין כי זה תקיפה אוטומטית, עם הסוואות נחמדות גם יש לי תאורייה די סבירה איך הם נכנסו פנימה.
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
זה רץ על thread של קוד של #c שמורץ תוך כדי סקריפט בthread נפרד זה נראה די מגניב לדעתי.
זה די קלאסי
מה מצאת פה חריג? -
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
ולמה הם באמת לא עושים את זה?
@לאצי @cfopuser לא חושב שיש פה עניין
בין כה נטפרי פותחים על בסיס רשימה לבנה ככה שאני לא חושב שגם הכתובת הנ"ל הייתה פתוחה (אלא אם כן מישהו ביקש - לא סביר)צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
אני לא חושב שגם הכתובת הנ"ל הייתה פתוחה
אפשר פשוט לבדוק...
-
@מתכנת-חובב כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
אני לא חושב שגם הכתובת הנ"ל הייתה פתוחה
אפשר פשוט לבדוק...
-
@מתכנת-חובב עובדה שפתוח בלי בקשה.
https://mitmachim.top/post/1130533כן השלב השני חסום אבל למה השלב הראשון פתוח מלכתחילה?
-
@מתכנת-חובב עובדה שפתוח בלי בקשה.
https://mitmachim.top/post/1130533כן השלב השני חסום אבל למה השלב הראשון פתוח מלכתחילה?
@cfopuser איפה ראית שיש משהו שהיה פתוח לו בנטפרי חוץ מהאתר עצמו?
צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser איפה ראית שיש משהו שהיה פתוח לו בנטפרי חוץ מהאתר עצמו?
@מתכנת-חובב אלו התוצאות:
חסום
http://158.94.208.86
HTTP/1.1 418 Blocked by NetFree
חסום
http://158.94.208.92
HTTP/1.1 418 Blocked by NetFree
פתוח
http://158.94.208.104
HTTP/1.1 302 Found -
אין צריך לכל זה.
ברגע שזה צד שרת, הלכ פתוח גם בנטפרי במדה והוא מזריק לאתר תוך כדי גלישה.
מה שצריך בנטפרי זה רק את החלק של ההורדה, לא הויזואליזציה, ואת ההורדה אולי מישהו ביקש לפתוח ופתחו לו בלי לבדוק מה זה. -
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
מעניין לראות שהאנטיוירוס המובנה בווינדוס של Microsoft לא מזהה אותו כוירוס
התוכנות היותר טובות כן הצליחו ESET, Malwarebytes, Kaspersky, McAfee -
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
מסקנה: מי שרוצה הגנה מלאה מוירוסים, שישנה את המיקום במחשב לרוסיה או בלארוס
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}