בעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).
-
@מתכנת-חובב עובדה שפתוח בלי בקשה.
https://mitmachim.top/post/1130533כן השלב השני חסום אבל למה השלב הראשון פתוח מלכתחילה?
@cfopuser איפה ראית שיש משהו שהיה פתוח לו בנטפרי חוץ מהאתר עצמו?
צריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser איפה ראית שיש משהו שהיה פתוח לו בנטפרי חוץ מהאתר עצמו?
@מתכנת-חובב אלו התוצאות:
חסום
http://158.94.208.86
HTTP/1.1 418 Blocked by NetFree
חסום
http://158.94.208.92
HTTP/1.1 418 Blocked by NetFree
פתוח
http://158.94.208.104
HTTP/1.1 302 Found -
אין צריך לכל זה.
ברגע שזה צד שרת, הלכ פתוח גם בנטפרי במדה והוא מזריק לאתר תוך כדי גלישה.
מה שצריך בנטפרי זה רק את החלק של ההורדה, לא הויזואליזציה, ואת ההורדה אולי מישהו ביקש לפתוח ופתחו לו בלי לבדוק מה זה. -
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
מעניין לראות שהאנטיוירוס המובנה בווינדוס של Microsoft לא מזהה אותו כוירוס
התוכנות היותר טובות כן הצליחו ESET, Malwarebytes, Kaspersky, McAfee -
בהמשך לזה,
הexe שהורד מכיל shell code שמשתמש בpeb כדי להשיג dll בram,
לאחר מיכן הוא משתמש בspeck64 hash על מנת לעבור עליהם ולמצוא את הפונקציות הנצרכות לו,מילה קטנה על הקטע הזה הוא די מוזר,
ובהסתכלות על הקוד הוא לא מטרגט קוטן של אחסון אלא ערפול של התהליך על ידי לוגיקה מוזרה / מורכבת,
הלוגיקה של ההאש היא לא סטנדרטית, ולכן כלים אוטומטיים לא יזהו אותה בקלות. מדובר בשימוש במימוש מותאם של Speck64/128 (צופן בלוקים) בתור פונקציית האש.זה הפורמולה:
TargetHash = Hash(ModuleName.lower(), Salt) ^ Hash(FunctionName, Salt)כל האש כזה מחושב על ידי חלוקת השם לבלוקים של 16 בתים, הזנה שלהם בתור ה-Key לצופן Speck, וביצוע XOR של התוצאה עם ה-State הקודם.
הטריק כאן שאחרי כול האלגוריתם הרגיל הוא גם מבצע שינויים לסדר בתים ככה שמפענח רגיל לא יעזור,
ואכן זה תקע אותי ללא מעט זמן, עד שבחרתי לדלג על הקטע הזה (שהוא לא כזה חשוב לכשעצמו נראה בהמשך למה) ולחזור אליו בהמשך,לאחר שכל ה-DLL והפונקציות נטענים, אנחנו ממשיכים לפענוח השלב הבא. בתוך הבינארי נמצא קטע מוצפן שמשתמש באלגוריתם ARX במצב Counter Mode.
התוקף מימש כאן צופן בלוקים ייחודי של 16 סבבים. הפענוח מתבצע על ידי יצירת Stream של בתים מתוך Nonce שגדל בכל בלוק, וביצוע XOR עם המידע המוצפן. הטריק כאן הוא שהמפתח וה-Nonce ההתחלתי "מוחבאים" בתוך הקוד בצורה שנראית כמו מידע אקראי, אך ה-AI עזר לי לחלץ אותם ולכתוב סקריפט פענוח מלא.
payload_dot_net - Copy.exe.7z
סיסמה:infected
https://www.virustotal.com/gui/file/9b300b62e98d2115a59642f18ed7dfc92186d20eb4c9e24129ce02e80091c1be(זה לא באמת dotnet לכול השואלים)
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
אז מ הוא עושה?אז בוא נתחיל מסריקה פשוטה אנחנו יכולים לראות שהוא עושה שני פעולות עיקריות חשודות
- 1 הוא מזריק את עצמו לתוך תהליכים נוספים.
- 2 הוא מתקשר עם שרת עלום לפקודות.
ובגלל שניהם זה נראה לי כמו דבר אחד rat (בשלב הזה הוא כבר יכול לגנוב את כול המידע שעל המערכת העובדה שהוא נשאר רק מוכיח שהוא מחכה לפקודות נוספות)
אז בוא נצלול לתוכו ונראה מה קורה כאן בתכלס.
אז ככה נסדר את זה לפי איך שהוירוס עושה את זה,-
1 דבר ראשון הוא מזריק את עצמו ישירות לתוך svchost.exe
-
2 לאחר מכן הולכים לנתיב הזה ברג'יסטרי
HKCU\Control Panel\International\Geo\Nameובודקים את המיקום הגיאוגרפי של המערכת. -
- הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
זה לא אומר שהתוקף הוא 100% רוסי אבל הוא כנראה רוסי
(למי ששואל לא הם לא נחמדים הם פשוט לא רוצים להסתבך משפטית עם מאמא רוסיה)- 3 לאחר מכן הוא מתחיל לתקשר עם השרת על גבי http לקבל הנחיות נוספות,
הדומיין / ip שמנהל את האירוע הוא158.94.208.104מה שמראה שזה אותו דבר חלק מחבילת seeds שהתוקף קנה מאותו טווח (הדומיין המקורי של התקיפה היה158.94.208.86).
-
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אבל, אם המערכת מזוהה ככזו שנמצאת בארה"ב (US) או קנדה (CA), היא מקבלת "טיפול VIP" - הוירוס מוריד קובץ נוסף בשםdownloaderשנועד כנראה להעמיק את האחיזה או לגנוב מידע ספציפי.
- ישנן שתי אפשרויות: ברוב העולם (כולל ישראל) הוא פשוט ימתין לפקודות נוספות (RAT).
אם זה מעניין מישהו מכאן מורידים את הdownloader
x7GkP2mQ9zL4/my_downloader.bin/ושכחתי לציין אבל מכאן מורידים את הוירוס הנוכחי שאנחו מנתחים,
x7GkP2mQ9zL4/my_s.bin/הכול מאותו שרת כמובן,
158.94.208.104חשוב לציין שהכול כאן נעשה בram לגמרי שזה מעניין בעיני בלי שום קובץ בדיסק,
אז זה בערך זה סיכום ביינים די כללי של מה הולך פה בקיצור וירוס של rat שמטרגט אמריקאים ונמנע מרוסים,
טוב מקווה שנהנתם מי שקרא עד הסוף יש עוד לא מעט קטעים לחקור מוזמנים בשמחה נראה לי זה מספק בינתיים אולי אני יחפור לזה יותר בהמשך.בהמשך אני יוסיף לגבי איך הוירוס בכלל הגיע לאתר מה קורה שם באתר, ומה מוזר בקוד powershell שמריץ את הכול בהתחלה.
אגב כול זה היה יכול להמנע בקלות אם נטפרי היו מספקים סינון מבוסס easylist על דומיינים ככה בקלות וביעילות הם היו חוסכים רוחב פס לאנשים והיו מספקים אבטחה מאוד משופרת להרבה משתמשים, (לדוג' נגד התקפות כאלה שלא יתחילו אפילו).
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
הקטע המעניין: אם הקורבן נמצא ברוסיה (RU) או בבלארוס (BY), הוירוס מפסיק את הפעילות שלו וסוגר את עצמו מיד.
מסקנה: מי שרוצה הגנה מלאה מוירוסים, שישנה את המיקום במחשב לרוסיה או בלארוס
-
@cfopuser כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
בכול אופן זה הבשר זה הוירוס הסופי לכאו'
מעניין לראות שהאנטיוירוס המובנה בווינדוס של Microsoft לא מזהה אותו כוירוס
התוכנות היותר טובות כן הצליחו ESET, Malwarebytes, Kaspersky, McAfee -
סתם מענין, אחרי שהאתר פתוח 5 דקות ודורש אימות (בזמן שרפרפתי על שרשור) פתאום הוא נפתח בלי 'אימות'....
-
עכשיו נכנסתי לאתר של מכון כתר https://keter.org.il/חשש-ריבית-בחוזה-לקניית-דירה-במחיר-למשת/
וזה מה שאני רואה :
למותר לציין שהאתר הזה הוא אתר אמין ואולי זה משהו חיצוני שהשתלט.
-
@החכם-התם כתב בבעיה | הונאה באתר מכון כת"ר (לציין שמכון כת"ר אינו קשור כלל למכון כתר תורה).:
עכשיו נכנסתי לאתר של מכון כתר
סוף סוף הבעלים השבית את האתר
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}