[آخر خبر] sAFA7 VS Private w0rm
السلام عليكم , للأمانة العلمية الموضوع منقول من شبكة لينوكس العربية لكاتبه SoFy
________________________________-___________
السلامو عليكو
منذ 7 -8 أعوام أنتشرت دودة خبيثة تدعى Ramen. وقتها دي يمكن كانت من أوائل الديدان الموجهة للLinux. وكانت الدودة دي بتعمل الأتي
أولا كانت بتعمل check for banner . بحيث تشوف نوع الFTP Service اللي أنت مشغلها..ولو كانت wu-ftp بتقوم بإستخدام exploit بتقوم بعمل Deface لكل المواقع. من خلال تغيير الindexs لكل المواقع.
والحقيقة وقتها مكنش حد لسة ليه في السيكيورتي وكنا كلنا كسكسي
طيب أيه اللي فكرني بالworm دي؟:
الحقيقة هو أني أستغربت لما شفت إنها أحيت من جديد و لكن في شكل جديد (حاجة كدا زي أفلام Final Fantasy).
أحيت من جديد بشكل غريب و مريب ومش بس كدا...دي خلفت كمان أولاد ليها
ظهر حاليا دودتين جداد و هم بيتبعوا نفس الفكرة ولكن ليس من خلال إستخدام ثغرة في service ولكن في جهاز الضحية.
الحقيقة أنا عملت سيرش على النت كتير عن الدودتين دول ولكن ملقتلهمش أثر في أي موقع على النت!!
ولذلك أعتمدت على نفسي في الموضوع دا .
أولا قمت بالبحث في كافة الخوادم الي ممكن الوصول إليها عن كيفية عمل هذا الكود ولكن للأسف لم أخرج بالذي يملأ معدتي ولكن وصلت للتالي :
1- الدودة تقوم بالدخول من خلال بروتوكول الإف تي بي (مثل أمها ramen تماما )
2- جميع المواقع المصابة أصحابها يستخدمون نظام تشغيل ويندوز XP !
3- جميع المواقع المصابة يتم تغيير أي ملف يدعى index.php أو index.html . مما يعني أن مبرمج الدودة لا يبحث عن التخريب ولكن عن تجميع عدد من الضحايا.
4- الدودة (إذا جازت تسميتها هكذا) تتغير أهدافها كل فترة، فقديما كانت تقوم بوضع تروجان بطريقة ذكية جدا تدل على أن مبرمجها يعرف كيف يلاعب الأنتي فايرس.
فالطريقة كانت كالتالي :
أ- أنت دخلت موقع مصاب بالكود يتم تحويلك لـ بـ
بـ - تم عمل إتصال بينك وبين بـ و لكن لن ينتهي الأمر هنا..بل سيتم تحويلك ل جـ
جـ - تقوم بتحميل كود على جهازك أخيرا من خلال جـ .
وانت زي الشاطر لا تعرف أي شيء ولا تحس بشيء ولن تشعر بشيء أصلاً
5- هناك طريقة حديثة تستخدمها الأن وهي وضع أكواد جافا سكربت مشفرة! لا تستطيع أن تفهم محتواها و الحقيقة معرفتش أفكه لأن تشفيره بيحتاج KEY و فك التشفير بالتالي هيحتاج هو كمان لKEY
المهم إن طريقة التشفير دي مضرة وسيئة لأنك متعرفش الكود دا كان بيعمل أيه أو وظيفته أيه..
لكن المفروض إننا ناس بتستخدم Linux وبنقول عن نفسنا Security specialists فمينفعش نسكت
WIRESHARK IS HERE.
قمت بإستخدام الخالد واير شارك ومعرفة ماإذا كان هذا الكود اللعين يقوم بعمليات إتصال بمواقع أخرى و أتضح التالي:
الكود يقوم بالتحويل ل3 مواقع!
1- موقع جنسي "بورن يعني " مينفعش أحط أسمه عشان العيال الهايجة إياها ميلبسونيش معاصي
2- يتم تحويلك لموقع غريب أسمه analystic.org
3- يتم تحويلك لموقع ثالث وهو 7speed.info و هنا يتم حقن جهاز المغفل مستخدم الويندوز XP "لا أعرف أكس بي فقط أم غيره" .
دلوقتي الموضوع هيتقسم لقسمين! قسم البنت البارة بأمها وقسم البنت اللي بتشتغل شيطاني
البنت اللي زي أمها ramen الأخت دي بتحمل كود على جهازك ووظيفته إنه يراقب كل كونكشنز ftp ويتم الحصول على معلومات الftp الخاصة بحضرتك ومن ثم يتم حقن الملفات الindex بأكواد أخرى تحول لنفس الثغرة!! ومن ثم تتعاد الحدوتة من الأول وتبقى موقع مصاب وواحد زاره وعنده ftp account إلخ...وتستمر المأسأة
البنت اللي مش زي أمها دي بتتبع طريقة أصعب شوية ولكن أسهل بالنسبة للإسكربتات العبيطة أمنيا زي جوملا و زي وزي wordpress معشوقة المكسحين "على فكرة كنت مركبها زمان عندي لحد ما ربنا هداني وأنعم عليا بنعمة الدروبال" أو زي النيوك "php-nuke" . المهم الطريقة هي عمل SQL Injection للبرامج المصابة دي و بيتم وضع الكود فيها أيضا و الحقيقة إن الطريقة دي أنا شفتها في موقع واحد فقط! و دا ليه معنى من 2
يا إما مفيش bot للعملية دي والموضوع بيتعمل manual "إحتمال ضعيف"
يا إما الworm دي لسة منشطتش أو يمكن لإن السرفرات اللي تحت أيدي مبيشتغلش عليها السكول أنجكشن
شوية معلومات خرجت بيها
* أغلب المواقع اللي بتحول لها الورمز دي بتكون صينية؟! ودا يؤكد نظريتي القديمة إن الصينيين تفوقوا على الجميع بما فيهم الروس و الأمريكان في مجال التكنولوجيا!
*هناك مواقع عربية كثيرة مصابة بهذه الديدان...غالبا أصحابها كانو بيزورو مواقع مشبوهة "أو يمكن حتى مواقع جنسية و بكدا فضحوا نفسهم
* أغلب الinject بيكون من خلال أكواد .cgi ...ومش لاقي سبب لحد دلوقت لكدا؟
* مفيش مواقع أمن غربية أتكلمت عن الموضوع خالص...وكأنه مش موجود ودا ليه معنى واحد وهو إن الworm دي ذكية "دا لو صحت التسمية لأني مش عارف أسميها دودة ولا مجرد super trojan ? على وزن سوبر ماريو
نيجي للحلول المقترحة من قبلي أنا السيد سوفاح والحقيقة أنا ملقتش حلول جذرية .و لكن عندي فكرة وهي البحث عن هذا الكود اللعين بإستخدام egrep ويتم تحديد كلمات مشهورة تأتي دائما في الكود، يعني مثلا كفاية نحط charCodeAt
الخلاصة : الضعف الأمني في ويندوز لايزال مشكلة تهدد أمن أغلب مستخدمي الإنترنت العربي و لا يوجد حل سوى بالإنتقال لنظام تشغيل أقوى أمنيا مثل Linuxأو عائلة BSD . و يوما بعد يوم يؤكد الصينيين أنهم هم الأقوى في هذا المجال ويتقدموا بخطى ثابتة للأمام.
الخاتمة :
هذا الموضوع هو جهد شخصي من العبد لله و محضره منذ أكثر من شهر ونص تحديدا بتاريخ 20/8 وكنت عامله هدية للموقع لذا....ياريت لو حد نقله يحط رابط الموضوع الأصلي هنا عشان حق الموقع . ومش مهم أسمي طبعا
أشوفكم على خير .
رد مع اقتباس
