שיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם
-
@cfopuser
רק עכשיו בדקתי מה שלחת
בכל אופן זה לא נחשב לנגיעות בקובץ אלא לעובדה ששלחת לקורבן dll נגוע
כלומר הבעיה היא לא בקובץ הרצה אלא ב dll שהקורבן הוריד בלי לבדוק
אגב ספציפית ה dll הזה נראה שהוא לא מיובא בכלל על ידי התוכנה אבל הרעיון מובן
סליחה שאני מתקטנן...
בכל אופן אשמח אם למישהו יהיה גרסה נגועה שאוכל לחקור אותה קצת@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
-
@מתכנת-חובב זה הגרסה ה"מקורית" של הוירוס וזה בדיוק הבאג ש cpu z לא הטמיעו הגנות כנגד dll sideloading
ולכן הdll הזדוני נטען במקום הdll של המערכת.https://gist.github.com/N3mes1s/b5b0b96782b9f832819d2db7c6684f84#1-executive-summary
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלבצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב אם כי אכן זה לא אשמת הקוד של cpu z ודבר דומה יכול לקרות אם מריצים תוכנה ממקום כמו תיקיית הורדות שי בתוכה dll זדוני (לא סביר מאוד אבל אפשרי),
התהליך עצמו עדיין מעניין. -
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלב@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריותאבל אז אתה מפסיד את החתימות וכו'
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.וזה באמת התגובה שלהם,
We have already added DLL sideloading protection to the main executable, but it appears we need to strengthen it further (or just make it work properly). We are currently working on that. -
@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריותאבל אז אתה מפסיד את החתימות וכו'
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.וזה באמת התגובה שלהם,
We have already added DLL sideloading protection to the main executable, but it appears we need to strengthen it further (or just make it work properly). We are currently working on that.@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אבל אז אתה מפסיד את החתימות וכו'
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.
לא יעיל בכלל
משתמש מנוסה ישים לב מיד ל dll הזה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
וזה באמת התגובה שלהם,
כמו שכתוב מי שנכוונה ברותחין...
בקיצור זה לא סטנדרט למיטב ידיעתיצריך עזרה בשחזור מידע? ייעוץ? egozkokus1@gmail.com
-
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אבל אז אתה מפסיד את החתימות וכו'
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
מה שעשו כאן כמה שזה פשוט ככה זה יעיל.
לא יעיל בכלל
משתמש מנוסה ישים לב מיד ל dll הזה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רוב הdllים של ווינדוס (סטייל kernel32 וכדו')
מוגנים באמת בריג'סטרי שהסדר טעינה נעול,
פשוט cpu z השתמשו בdll שמצד אחד זמין במערכת מצד שני לא מוגן, וזה חובה של המפתח לאבטח נגד זה.לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
וזה באמת התגובה שלהם,
כמו שכתוב מי שנכוונה ברותחין...
בקיצור זה לא סטנדרט למיטב ידיעתי@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
משתמש מנוסה ישים לב מיד ל dll הזה
לא נראה לי בכלל,
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
היית מצפה שיעשו הגנות כאלה (שלא קשות בכלל להטמעה).@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
כמו xz?
חשבתי שאתה מתכוון להתעסקות בשרת עצמו והחלפת הקובץ. -
@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
משתמש מנוסה ישים לב מיד ל dll הזה
לא נראה לי בכלל,
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
לא חושב שחובה וכנ"ל - אם בחרת להוריד dll נגוע למחשב שלך אל תבוא ותתלונן אלא אם כן זה בא מצד המפתח שאז זאת אשמתו בכל אופן
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
היית מצפה שיעשו הגנות כאלה (שלא קשות בכלל להטמעה).@מתכנת-חובב כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
למה מפסיד את החתימות? אם אתה מתעסק להם בקוד הווי אומר שהם חותמים את זה אחרי ההתעסקות שלך
כמו xz?
חשבתי שאתה מתכוון להתעסקות בשרת עצמו והחלפת הקובץ.@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
אתה מסתכל על שמות של dlls לפני שאתה מריץ תוכנה שמורידים פעם ב?
תוכנה שמגיעה עם DLL אחד? היה מדליק נורה קטנה
ובכל אופן לא על זה דיברתי
התכוונתי שאם היו משנים משהו בקוד היה לוקח יותר זמן עד שמישהו היה שם לב לזה מאשר אם שמים קובץ בולט בתיקייה שלו - אני לא מאמין שזה החזיק יותר מכמה ימים@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
כלי שסומכים עליו כול כך הרבה אנשים וכבר הוכו בעבר במשהו דומה,
מעניין לא ידעתי שכבר הוכו
ובכל אופן - אחזור על דעתי
לא משנה כמה זה קל אתה כמפתח לא אמור לעזור למשתמש להגן על המחשב שלו
הבעיה היא ב DLL לא בתוכנה@cfopuser כתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
כמו xz?
כמו מאות או אלפי התקפות דומות
זה חלק מהעניין של מתקפת שרשרת אספקה
רק שכאן המתקפה נכנסה בשלב מאוחר כלשהו
אולי מחר יהיה לי זמן לקרוא את זה (באמת למגילה הזאת הם קראו summary???) -
@cfopuser אהה
כזה פשוט?
הייתי בטוח שזה היה משהו מתוחכם יותר
שהתעסקו להם עם הקוד או ספריות
ואגב זה הגנות שכמעט אף אחד לא מטמיע בתוכנות שלו
פשוט מהמקור הרשמי לא אמורים לבוא dll's זדוניים אז אין סיבה להגן מזה
אבל מעניין
נחקור את זה בהזדמנות
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxd
תודה
עריכה: בעצם אני רואה עכשיו שזה כן supply chain attack
מעניין באיזה שלבכתב בשיתוף | הורדתם בימים האחרונים את CPU-Z והרצתם? תבדקו מהר את המחשב שלכם:
רק מוזר שב IDA לא ראיתי בכלל ייבוא של זה
אני יבדוק ישירות ב hxdגם ב IAT לא מצאתי את זה אבל אז ראיתי בדו"ח שלהם שזה dll שמיובא על ידי dll אחר שאותו התוכנה כן מייבאת - advapi32.dll ולמרות שאותו dll כן נמצא ב KnownDLLs התלויות שלו לא מושפעות מזה ואחת התלויות שלו היא CRYPTBASE שהוחלפה בקובץ זדוני
-
בגרסה הניידת שלהם גם הייתה הבעיה?
-
כיצד ניתן לבודק אם קרה משהו?
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}