مضى على الشبكة و يوم من العطاء.
  • تحذير: يجب على كل روّاد الشبكة تشغيل برامج الاختراق داخل الأنظمة الوهمية وهي بهدف التعلم وحماية الأعضاء والتوعية بها

[ شرح ] الـ TOFSEE لـ شبكات الـ Botnets او SpamBots

инъекция

./عضو جديد

السمعة:

الـ TOFSEE لـ شبكات الـ Botnets او SpamBots

الـ Tofsee هو برنامج ضار يُستخدم في الحملات الجماعية ولا يرتبط بأي مجموعة أو جهة معينة. مر هذا البرنامج بمراحل مختلفة، ولكنه عادة ما يُستخدم لإنشاء شبكات بوت نت (Botnets) أو بوتات البريد العشوائي (SpamBots)، وكذلك في عمليات التعدين.

يبدأ Tofsee عادة ببرنامج تحميل أو بريد إلكتروني يستخدم تقنية SpearPhishing لتشغيل البرنامج الضار. تم تطوير Tofsee بشكل كبير في جميع مراحله، حيث يتضمن تقنيات إخفاء الشيفرة وعينات معبأة وتقنيات مضادة للتحليل، مما أدى إلى وجود باب خلفي يمكنه تنفيذ عمليات التعدين مستفيدًا من ميزات البوت نت أو تنفيذ البريد العشوائي.

التحليل التقني
بعد برنامج التحميل أو التصيد، سنرى Tofsee يعمل على الكمبيوتر. يمكن رؤية نظرة عامة على كيفية عمل النسخ الحالية من Tofsee في الرسم البياني التالي:

image


الطريقة الفعلية لعمل النسخ الحالية عادة ما تكون لها اختلافات، ولكن في الجوهر تعمل بشكل مشابه. بعد تنفيذ Tofsee، يتم إنشاء نسخة منه في مجلد SysWow64 (أو ما يعادله)، ثم ينتقل إلى المجلدات المؤقتة، وعادة ما لا يكون للعينات في المجلد المؤقت ومجلد SysWow نفس الاسم.

بعد ذلك، يقوم بإنشاء خدمة باستخدام sc.exe، عادة باسم ووصف مرتبطين بعناصر الشبكة. لاحقًا، يقوم بإجراء تعديلات في جدار الحماية لإضافة svchost إلى قاعدة مسموح بها بالكامل، وهذا svchost يكون الذي تم حقنه في العملية. بعد هذا التنفيذ، سيكون قادرًا على أداء مهامه داخل svchost الذي سيكون من الصعب التمييز بينه وبين العمليات الأخرى وأيضًا السماح له بإرسال واستقبال جميع أنواع حركة المرور عبر جدار الحماية وخدمة تتيح لنا إطلاق الباب الخلفي كما لو كانت خدمة نظام.


كود:
.[/B][/SIZE][/CENTER]
[SIZE=5][B][CENTER]├── (Parentprc) Tofsee.exe
|     ├─ (Childprc) (Moved | Dropped) <RandomName>.exe
|             ├─ (Childprc) Netsh/cmd/sc
|             ├─ (Childprc) (Injected) Svchost
|                     ├─ (Net) C&C


تمت مراجعة عدد كبير من العينات لتحديد النسخ الحالية من Tofsee قدر الإمكان، ومثال على ما سنراه عند عرض إحداها في PEstudio سيكون كما يلي:

image

في الخطوة الأولى، نرى كيف يطلق نسخة من نفسه إلى SysWow64، ثم ينتقل إلى مجلد مؤقت، والأوامر المستخدمة، التي تم إطلاقها بواسطة cmd.exe هي كما يلي:

كود:
"C:\Windows\System32\cmd.exe" /C mkdir C:\Windows\SysWOW64\<File Dropped (itself)>[/B][/SIZE][/CENTER]
[SIZE=5][B][CENTER]"C:\Windows\System32\cmd.exe" /C move /Y "C:\Users\user\AppData\Local\Temp\<random name>" C:\Windows\SysWOW64\<File Dropped (itself)>



image

بعد وجود ملفين في مواقع مختلفة، يستخدم أحدهما (موقع SysWow) لإجراء التعديلات في الدفاعات، وكذلك الحفاظ على الاستمرارية باستخدام خدمة. لإنشاء الخدمة، نرى أنه ينشئ خدمة "دعم Wi-Fi"، كما علقنا سابقًا، عادة ما يكون له علاقة بشيء من الشبكة، محاولًا تجنب اكتشافه.

الأمر المستخدم، الذي تم إطلاقه بواسطة sc.exe هو كما يلي:

كود:
"C:\Windows\System32\sc.exe" create <Name of file dropped> binPath= "C:\Windows\SysWOW64\<Path file moved>\<Random name> /d\"C:\Users\<username>\Desktop\<Random Name>"" type= own start= auto DisplayName= "wifi support"[/B][/SIZE][/CENTER]
[SIZE=5][B][CENTER]



image

بمجرد إنشاء الخدمة، يضمن أن الباب الخلفي سيظل على الكمبيوتر كخدمة أخرى دون أن يتم اكتشافه، لذلك يحتاج إلى تعديل قواعد جدار الحماية لمنع الاتصالات الخارجية من مواجهة أي مشاكل. لهذا الغرض، ينشئ من خلال netsh.exe قاعدة تسمح بجميع حركة المرور لعملية svchost (التي تم حقنها).

الأمر المستخدم هو:

كود:
"C:\Windows\System32\netsh.exe" advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="C:\Windows\SysWOW64\svchost.exe" enable=yes[/B][/SIZE][/CENTER]
[SIZE=5][B][CENTER]



image

image

بالإضافة إلى ذلك، يمكننا أن نرى أنه يدخل في الاستثناءات في مفتاح السجل، حيث يكون المسار باسم عشوائي هو المكان الذي تم إسقاطه بنفسه سابقًا


image

image

بينما يتم إطلاق جميع العمليات المذكورة أعلاه، لدينا الملف الثنائي الآخر في مسار مؤقت يقوم بإجراءات أخرى، مثل حقن svchost، وهو نفس الذي رأيناه الذي تم إدخاله في الاستثناءات وتم إنشاء قاعدة في جدار الحماية له. أثناء التنفيذ العادي، سنجد svchost بدون عملية رئيسية، وبعد النظر فيه بعمق، سنرى أنه ملف ثنائي آخر تم إطلاقه بواسطة Tofsee بتحديده بواسطة PID



image

هذا الملف الثنائي هو الآخر الذي عمل معه Tofsee وتم نقله سابقًا إلى %temp%.


image

بمجرد الوصول إلى هذه المرحلة، ستكون وظائف Tofsee داخل عملية شرعية، مع الحفاظ على الاستمرارية وإنشاء حركة مرور مفتوحة بالكامل على جدار الحماية التي سيستخدمها للاتصال بخادم C&C.

الوجهات الأكثر شيوعًا في الحملات المستخدمة في الأشهر الأخيرة هي التالية (تستخدم Tofsee عادة عناوين IP/نطاقات روسية أو صينية):


svartalfheim.top
lazystax.ru


image

_IOC

_C&C

svartalfheim.top
lazystax.ru

_SHA256
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_IP

31.41.244.126
31.41.244.127
31.41.244.128
43.231.4.7
46.173.223.212
98.136.96.76
111.121.193.242




الموضوع تم تعريبة من قبل إدارة شبكة شل
 
التعديل الأخير بواسطة المشرف:

آخر المشاركات

عودة
أعلى