تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
تحذير من نسخة ملغومة من SharpOD x64
#1
الأخوة الأعزاء جميعاً

قبل حوالي سنتين قمت بتحديث الإضافة (Plugin) لبرنامج SharpOD x64 و الخاص بـ برنامج X64dbg و ذلك عن طريق رابط نشره أحد أعضاء المنتدى في ذلك الحين، حيث كانت النسخة المستخدمة من قبلي قديمة فقمت بعملية التحديث عن طيب خاطر، و استمريت في استخدام النسخة المحدثة طوال الفترة الماضية قبل أن أكتشف بالصدفة أنها ملغومة  Angry 

حيث نبهني مكافح الفيروسات الشهير Norton أن الملف SharpOD x64.dp32 ملغم و ذلك أثناء نسخ البرنامج X64dbg و ملحقاته لجهاز جديد، و عند فحص الملف عن طريق برنامج Detect It Easy وجدت أن الملف محمي بواسطة برنامج الحماية vmprotect

و هذا هو الرابط الخاص بموقع VirusTotal و الذي يبين أن الأضافة عبارة عن فيروس من نوع Trojan
 
https://www.virustotal.com/gui/file/8a509c01b561f3234d61c93a803ff99c273f5141caea09dd5d5818eb2b601060/detection

و أكاد أجزم أن الأخ الذي قام بنشر رابط التنزيل لهذه الإضافة الهامة لم يكن على دراية أنها ملغومة، مع العلم أني لا أتذكر متى قمت بتنزيل الـ Plugin  و لا أتذكر من نشر رابط التنزيل الخاص به في حينه.

لكن النقطة المهمة و التي أرغب في التحذير منها هي أنه يجب على كل شخص أن يقوم بفحص كل الإضافات التي لديه لعله يجد أشياء لا تسره  Cry و و رغم استخدام الكثير لنسخ ويندوز وهمية في عملهم الا أن احتمال وجود برنامج كهذا في نسخة الويندوز الأساسية وارد بالإضافة إلى أن الكثير يقوم بفك و هندسة البرامج و من ثم يقوم بنقلها و استخدامها على أجهزة عادية و من المحتمل أن تكون تلك البرامج التي عمل عليها المهندس العكسي مصابة بالـ Trojan دون أن يدري!

حيث أصبح من الشائع في السنوات الأخيرة وجود الكثير من البرامج والإضافات الملغومة و التي يستخدمها المهندس العكسي، و كنا واجهنا في الفترات الماضية برامح ملغومه كمثال IDA Pro نشرها البعض دون أن يدري الكثير أنها تحوي فايروس من نوع Trojan، كما واجهنا بعض البرامج المصدرية على برنامج Visual Studio الشهير تحوي على Macros خبيثة تعمل عند عمل Build للتطبيقات تعمل على تنزيل برمجيات خبيثة مختلفة. وهذا يذكرنا بالطريقة التي جرى فيها استغلال MS Office Excel Macros قديماً لذات الغرض!

بل و كذلك يوجد الكثير من البرامج و الأدوات التي يستخدمها المبرمجون العاديون و هم لا يدرون أنها ملغومة. و يمكن أن نأخذ NPM كمثال و الرابط التالي يوضح جزء من هذه الأشكال:
 
https://www.theregister.com/2022/02/03/npm_malware_report/

و ذات الأمر تكرر مع لغات اخرى مثل Python كما هو واضح في هذه المقالة:
 
https://www.fortinet.com/blog/threat-research/more-supply-chain-attacks-via-new-malicious-python-packages-in-pypi

و الحالات المشابه كثيرة و لعل الكثير لاحظ التحذيرات التي صدرت موخراً بخصوص Visual Studio Code extensions :
 
https://www.infoworld.com/article/3685542/researchers-warn-of-malicious-visual-studio-code-extensions.html
 
https://blog.checkpoint.com/securing-the-cloud/malicious-vscode-extensions-with-more-than-45k-downloads-steal-pii-and-enable-backdoors/


حيث أصبح الكثير من الـ Attackers يلجئ لهذا الأسلوب للتغلب على كشف برامج مكافحة الفيروسات و كذلك للأحتيال على المستخدمين.


في الختام أنصح الجميع بـأخذ الحذر و الحيطة و فحص الأدوات التي يستخدمونها مع ملحقاتها جيداً و عدم الثقة في الروابط التي تنشر هنا و هناك
 
و دمتم بحفظ الرحمن rose
أعضاء أعجبوا بهذه المشاركة : otmanov , Venox , samoray , rce3033
#2
Salam
ادوات الهندسة العكسية عادة لها حساسية مع المضادات
خاصة إذا تم حمايتها و المبرمج عادة يقوم باضافة الحماية 
لمنع التطفل و معرفة كيفية عمل برنامجه حتى لا يبرمج شيء مشابه له
و الجزم ليس بتقرير مضاد و لكن هل بعد فتح البرنامج تفتح منافذ في الجهاز؟
و هل يتصل البرنامج بسيرفر ؟ 
هل نجحت في فك الحماية و تنقيح الاضافة ووصلت للاكواد الخبيثة ؟
اذا لم تتاكد من هذه النقاط المهمة فلا تحكم على الاضافة
​​دائما ننصح الاخوة باستعمال جهاز وهمي للتنقيح 
و الله أعلى و اعلم
مع المحبة.
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.

عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ».
(صحيح - رواه مسلم).
أعضاء أعجبوا بهذه المشاركة : xdvb_dz , rce3033
#3
(26-05-2023, 06:28 PM)knoami كتب : و هذا هو الرابط الخاص بموقع VirusTotal و الذي يبين أن الأضافة عبارة عن فيروس من نوع Trojan

لا يمكن الاعتماد على هذا الموقع في تحديد احتمالية كون ملف تنفيذي ملغم, يظهر العديد من التقارير الخاطئة, مثلا مرة برمجت مكتبة d3d8 proxy تقوم بتغييرات طفيفة في ذاكرة لعبة واظهار واجهة رسومية باستخدام Visual C++, الحقت ملفات خطوط TTF ك Resources, كان هناك 7 مضادات فيروسات تبلغ على ان المكتبة فيروس من بينهم مضاد مايكروسوفت, بعد ازالتي لملفات الخطوط, أصبح  4 مضادات, بعد ضغطي للمكتبة باستخدام UPX أصبح 3.

مرة نزلت نسخة IDA Pro لا تحتاج الى تثبيت (بدون installer) وجاهزة للاستخدام المباشر, رافع تلك النسخة قام  بارفاق رابط تقرير  VirusTotal لكل ملف يحويه الأشريف, جميع التقارير كانت سليمة 100%(أمر غير مألوف)  وبعد فتح ida.exe أصبح يظهر لي في ادارة المهام استخدام وحدة المعالجة 90% rundll.exe فبدا وكانه ملغم.

الأمر الغير مألوف والذي لا أفهمه في مضادات الفيروسات هو فحصها للملف, البعض يقوم بكتابة قفزات واستدعائات  واضافة حمايات لتصعيب توقع سلوك البرنامج (يصبح برنامج غير مألوف) ثم مضادات الفيروسات لا تبلغ عنه.
لكن مرات عندما يكون ملف امن وبدون اي حماية(مثل المكتبة فوق) ومن مصدر غير معروف تصبح بعض المضادات تخطر منه.
لطالما رقصت على جثث الأسود كلاب!
أعضاء أعجبوا بهذه المشاركة : rce3033
#4
(27-05-2023, 03:12 AM)M!X0R كتب : خاصة إذا تم حمايتها و المبرمج عادة يقوم باضافة الحماية 
لمنع التطفل و معرفة كيفية عمل برنامجه حتى لا يبرمج شيء مشابه له

  أعلم هذا الشيئ لكن النسخة الملغومة من برنامح SharpOD x64 محمية أيضاً ببرنامج الحماية vmprotect و لكنها أكبر حجماً و يمكن مقارنتها مع الملف من هذا الرابط:
 
https://github.com/A-new/x64dbg_plugin/blob/master/x32/SharpOD%20x64.dp32

و هذا هو تقرير virustotal الخاص بهذه النسخة
 
https://www.virustotal.com/gui/url/ccdbac2856ee3aedcea0b446b8cfa2c1bf5762fdef748c4dcfc857a2dfcbb4f7/detection

و كما ترى الملف نضيف تماماً،

أنا ما أقصده هو التحذير من وجود نسخة ملغومة من SharpOD x64.dp32 يستخدمها البعض دون علمه بهذا الأمر.

و بالنسبة لي أستخدم عدة أجهزة وهمية للتنقيح و لكن هذا لا يمنع أن تكون البرامج التي عملت عليها مصابة بالـفيروس دون علمك

(27-05-2023, 05:28 AM)SeGNMeNT كتب : مرة نزلت نسخة IDA Pro لا تحتاج الى تثبيت (بدون installer) وجاهزة للاستخدام المباشر, رافع تلك النسخة قام  بارفاق رابط تقرير  VirusTotal لكل ملف يحويه الأشريف, جميع التقارير كانت سليمة 100%(أمر غير مألوف)  وبعد فتح ida.exe أصبح يظهر لي في ادارة المهام استخدام وحدة المعالجة 90% rundll.exe فبدا وكانه ملغم.

نعم هي هذه النسخة التي قصدتها أنا، جربتها و واجهت نفس الأشكال
 
(27-05-2023, 05:28 AM)SeGNMeNT كتب : لا يمكن الاعتماد على هذا الموقع في تحديد احتمالية كون ملف تنفيذي ملغم, يظهر العديد من التقارير الخاطئة, مثلا مرة برمجت مكتبة d3d8 proxy تقوم بتغييرات طفيفة في ذاكرة لعبة واظهار واجهة رسومية باستخدام Visual C++, الحقت ملفات خطوط TTF ك Resources, كان هناك 7 مضادات فيروسات تبلغ على ان المكتبة فيروس من بينهم مضاد مايكروسوفت, بعد ازالتي لملفات الخطوط, أصبح  4 مضادات, بعد ضغطي للمكتبة باستخدام UPX أصبح 3.

كلنا نعاني من هذا الأمر و بالنسبة لي عالجت هذه المشكلة جزئياً عن طريق أستخدام certificate و ساعدني في تجاوز الكثير من العقبات
أعضاء أعجبوا بهذه المشاركة : samoray


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم