שיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר
-
@עידו300 אוקיי אז אני אסביר.
נוזקה רגילה עובדת בדרך כלל באחת משתי צורות: תוכנה שיושבת אצל הקורבן ומורידה את הנוזקה (Dropper), או תוכנה שמכילה בתוכה את הקוד הזדוני. בשני המקרים, גילוי ע"י אנטי וירוס הוא לא וודאי, ובטח שלא וודאי במצב סטטי.
עכשיו ננסה להבין מה אנחנו מעבירים למחשב של הקורבן דרך הסאונד:
אם מדובר רק בקישור או איזה shellcode קצר שיוריד את הנוזקה מהרשת - זו דרך מסורבלת להעביר משהו שיש דרכים הרבה יותר קלות להפיץ (פשוט שהתוכנה תיגש לאינטרנט).
אז נניח שאנחנו שולחים נתונים בינאריים של קובץ שלם (כדי להימנע מתעבורת רשת):
קובץ מינימלי יהיה בגודל של לפחות כמה עשרות ק"ב. בשידור קולי, זה אומר שהניגון צריך להמשך כמה דקות++
בנוסף, צריך שתהיה על המחשב תוכנה שתדע לקחת את הנתונים האלו מהמיקרופון, לבנות מהם אובייקט בזיכרון ולהריץ את זה.
ועכשיו נשאלת השאלה - איפה היתרון?
אם הצלחת לגרום לקורבן להתקין תוכנה שיודעת להריץ קוד - למה לעבוד קשה עם אודיו? פשוט תוריד את הקוד בדרך הרגילה.
כל חוקר אבטחה או מערכת EDR שיחפשו להבין מי הריץ את הנוזקה, יגלו מיד שזו התוכנה שלך (התהליך אב) שיצרה את התהליך הזדוני, בדיוק כמו במתקפה רגילה.
אז בעצם הגענו לאותו מקום כמו כל נוזקה רגילה, רק שהוספנו לעצמנו שני מכשולים:
לגרום לקורבן להתקין תוכנה וגם לאשר לה הרשאות מיקרופון (דבר מחשיד מאוד כשלעצמו).
לנגן לידו אודיו לאורך זמן.
בווינדוס זה לא יעיל כמו שהסברתי, ובאנדרואיד עם ניהול ההרשאות הקפדני זה יהיה מורכב פי כמה. -
התכוונתי שהיום יש המון אפליקציות מטופשות שמותקנות על הרבה מכשירים בגלל קצת באזז שנעשה סביבם.
אפשר ליצור כזו אפליקציה ולהוסיף לה את הענין של הפיענוח.
אפשר לעשות פודקאסט אבטחת מידע או כל דבר שמעניין אנשים, פרסומת ברדיו (אם כבר משקיעים על פיתוח וירוס, זו לא הוצאה כ"כ גדולה), ולגרום לאפליקציה להאזין כל הזמן או בשעות מיוחדות, היא תשתמש בחולשה להזרקת הקוד.
זה לא מתכון לוירוס, זה רעיון בעלמא, תהיה האם העתיד הולך לשם... זה נותן פתרון לזה שהאפליקציה היא בסדר לגמרי, אנטי וירוס לא ימצא בה שום דבר, אין בה קוד מוצפן ולא גישה לשרת לא מוכר. הכי לא מחשיד בעולם ומצד שני עם אופציה לעשות נזקים...
לא הייתי שולל על הסף.
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תהיה האם העתיד הולך לשם...
למה העתיד? אין פה שום דבר חדש.
יש פה טריק מגניב, אבל הטכנולוגיה הזו היא היא האינטרנט.
@צדיק-וטוב-לו-0 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב לך תדע, אולי יגדירו בתוכנה שהצליל של צפירת השבת יפעיל קוד זדוני
לזה אין שום קשר לכאן.
סתם טריגר לקוד זדוני, כמו כל וירוס
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר
היא לא חדשה! כל טכנולוגיית האינטרנט בנויה כך!
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
אבל אין לזה שום יתרון על פני כל וירוס אחר.
-
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
תהיה האם העתיד הולך לשם...
למה העתיד? אין פה שום דבר חדש.
יש פה טריק מגניב, אבל הטכנולוגיה הזו היא היא האינטרנט.
@צדיק-וטוב-לו-0 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב לך תדע, אולי יגדירו בתוכנה שהצליל של צפירת השבת יפעיל קוד זדוני
לזה אין שום קשר לכאן.
סתם טריגר לקוד זדוני, כמו כל וירוס
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב שיטה חדשה שאף אחד לא מכיר
היא לא חדשה! כל טכנולוגיית האינטרנט בנויה כך!
@עידו300 כתב בשיתוף | נפלתי לוירוס של תוכנת כופר, תקראו ותלמדו להיזהר:
@מתכנת-חובב אני חושב שאפשר בקלות לעבור את כל המשוכות האלו, אם רק רוצים.
אבל אין לזה שום יתרון על פני כל וירוס אחר.
@מישהו12 חמודים אתם.
זה חדש כי אין שום וירוס שידוע שעובד ככה
וזה עדיף כי אין שום וירוס שעובד ככה, מה שיצריך את האנטיוירוסים והחוקרים לחקור אותו ואת סדר העבדה ולהתעדכן בו וזה יקח זמן ובינתיים יש מרחב תקיפה. והוא לא מחשיד כמו אחרים שיש בהם איזורים מוצפנים או שטוענים payload משרת מוזר.האנטרנט עובד ככה, אבל הוירוס לא משתמש באנטרנט, הוא משתמש באותה טכניקה יתכן אבל ממקור אחר, כל הנקודה כאן היא שהוא לא צריך אנטרנט...
את כל זה תוכלו לראות בהודעות הקודמות, כמו גם שאני פרשתי מליחצ"ן את הוירוס... זה היה תהיה בעלמא, מין רעיון שעלה בעקבות זה, לא משהו ששווה לי להקיע בו כ"כ הרבה מאמץ...
-
@מישהו12 חמודים אתם.
זה חדש כי אין שום וירוס שידוע שעובד ככה
וזה עדיף כי אין שום וירוס שעובד ככה, מה שיצריך את האנטיוירוסים והחוקרים לחקור אותו ואת סדר העבדה ולהתעדכן בו וזה יקח זמן ובינתיים יש מרחב תקיפה. והוא לא מחשיד כמו אחרים שיש בהם איזורים מוצפנים או שטוענים payload משרת מוזר.האנטרנט עובד ככה, אבל הוירוס לא משתמש באנטרנט, הוא משתמש באותה טכניקה יתכן אבל ממקור אחר, כל הנקודה כאן היא שהוא לא צריך אנטרנט...
את כל זה תוכלו לראות בהודעות הקודמות, כמו גם שאני פרשתי מליחצ"ן את הוירוס... זה היה תהיה בעלמא, מין רעיון שעלה בעקבות זה, לא משהו ששווה לי להקיע בו כ"כ הרבה מאמץ...
-
אתמול נתבקשתי על ידי אתר שקפץ לי בתור פרסומת, "לאמת שאני לא רובוט
".
רק שזה היה נראה בדיקה שונה, כך זה היה: להקיש לחצן התחל+R, ואז קונטרול+V, ואז אנטר.
את כל "האימות" הזה עשיתי במהירות, כך שלא חשבתי מה זה יכול לחולל.
מיד אחרי השלבים האלה נפתח חלון של PowerShell שהריצה פקודה קצרה ונסגרה ,
מיד נפתח חלון על כל המסך הודעה משטרת ישראל על עבירות חוק מהמחשב, ואמור להנעל המחשב לצמיתות, או תשלום כופר ע"ס: ₪1,100.
אף פעם לא חשבתי שתוכנות כופר יגיעו אלי, עד שהייתי צריך להשבית את כל האנטי וירוס כדי להתקין משהו, ובדיוק בזמן הזה זה קורא.
תחכימו תלמדו ותזהרו!נתתי לai את הפקודה שהדבקתי בחלונית ההתחל שפתחתי, וזה טוען שלקחו ממני כתובת ip, וכנראה סיסמאות
, { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}