هجوم فيروس الفدية في 2017 | ال WannaCry .

[ibadaibada is verified member.]

السلام عليكم و رحمة الله تعالى و بركاته.

في هذه المقالة سوف نغطي دراسة حالة فيروس الفدية الشهير ال WannaCry.


في عام 2017 ماي بالتحديد ظهر في العالم فيروس فدية سمي ب ال wannacry والذي يعني أريد البكاء وصفا لشعور الضحية و أيضا هو إختصار ل wannacrypt. سنختصر إسمه ب فيروس الوانا

فيروس الفدية هو نوع من البرمجيات الخبيثة التي تشفر ملفات شخصا ما أو شركة و تطلب مقابل فك التشفير مبلغ مالي عادة مايكون في العملات الرقمية البيتكوين أو المونيرو لأنها صعبة التتبع

ما ميز ال wannacry أنه لم يكن مجرد فيروس فدية عادي بل كان خليطا بين فيروس الفدية و فيروس الدودة

فيروس الدودة يسمى بهذا نظرا لقدرة إنتشاره بين الأجهزة التي تحتوي ثغرة ما .

كون ال wannacry فيروس فدية و دودة في نفس الوقت جعله برمجية خبيثة خطيرة جدا.


ماهو الدافع وراء فيروس الوانا : بما أن الفيروس عبارة عن فيروس فدية فإحتمالية كون المال هو الدافع الرئيسي وراء هذا الهجوم.

من الذي صنعه : ينسب فيروس الوانا إلى العصابة الإلكترونية الكورية الشمالية الازاروس

عصابة لازاروس هي مجموعة قرصنة إلكترونية يُعتقد أنها مدعومة من كوريا الشمالية، معروفة بتنفيذ هجمات سيبرانية متطورة لأهداف سياسية واقتصادية، مثل سرقة الأموال، اختراق الأنظمة، ونشر برمجيات خبيثة.
المزيد عنها




الخسائر المادية و البشرية :
بلغت الخسائر المادية حوالي 4 مليار دولار .

الخسائر البشرية لست متأكدا لكنها قريبة لصفر .
عانت بعض المنظمات مثل NHS المنظمة الوطنية للخدمة الصحية و التي توجد في بريطانيا من توقف بعض عملياتها بسبب كونها غير قادرة للولوج لحواسيبها نتيجة لأنها مشفرة .
تحديد الثغرات :
الثغرات التقنية : استغل فيروس WannaCry ثغرة EternalBlue في بروتوكول SMB (CVE-2017-0144)، مما سمح بتنفيذ تعليمات عن بُعد. أثرت هذه الثغرة على الأنظمة التي لم يتم تحديثها. للوقاية من هجمات مشابهة، يجب تحديث الأنظمة بانتظام، وتعطيل SMBv1، وتقسيم الشبكات.
الثغرات الغير التقنية : الأشخاص الغير المتمرسين و غير ملتزمين بتحديث أجهزتهم نظرا لضعف خلفيتهم التقنية هي أكبر الثغرات الغير تقنية.

مراحل الهجمة الأساسية :
قيام المهاجمين بمسح الأنترنات بحثا عن الحواسيب التي تحتوي على الثغرة.
l:
الثغرة تسمح بتنفيذ الأوامر عن بعد rce.

البرنامج سيحاول تصعيد الأمتيازات أي Privilege Escalation.
ثم سينشر نفسه في الشبكة المتصل بها و أي جهاز يحتوي على هذه الثغرة سيتضرر و ستتحقق الخطوات l مجددا.

بعد أن يقوم البرنامج بنشر نفسه في الشبكة سيحاول صنع البيئة الملائمة لتنفيذ البرنامج أساسي وهو برنامج التشفير .
بعد التشفير و مسح البيانات القديمة سيظهر رسالة التشفير و هي التي تخبر الضحية أن عليه الدفع مقابل فك تشفير حاسوبه و هذه هي :

القصة وراء فيروس الوانا :
تقول صحيفة نيو يورك تايمز :

"قبل أن يتم تسريبه، كانت ثغرة EternalBlue واحدة من أكثر الثغرات فاعلية في ترسانة القرصنة الإلكترونية لوكالة الأمن القومي الأمريكية (NSA)، حيث تم استخدامها في العديد من مهام جمع المعلومات الاستخباراتية ومكافحة الإرهاب.
— المقالة كاملة.


ثغرة eternalBlue هي نفسها الثغرة التي قام الازاروس بنشر فيروسهم مستغلين لها و طبعا فيروسهم يعتمد عليها .
لكن كيف وصلت إلى أيديهم ؟


المختصر المفيد :

وكالة الأمن القومي قامت بتطوير ثغرة ال eternalblue و إستغلالها ,عصابة ال shadow brokers قامو بإختراق وكالة الأمن القومي و نشروا كل وسائلهم التي يستعملونها في إختراق منها ثغرة ال eternal blue في حسابهم على تويتر ال الازاروس قامو بإستغلال هذه الثغرة و إنشاء فيروس الفدية .
لماذا لم تقم مايكروسوفت بإغلاق هذه الثغرة ؟ في الحقيقة قاموا بذلك و نشروا تحديثا لغلق الثغرة لذلك فيروس الوانا إشتغل على الأجهزة الغير محدثة.
الاعتبارات القانونية:
ماهي القوانين التي إخترقها فيروس الوانا ليعتبر غير قانوني ؟
في أمريكا (أكرمكم الله) : قانون ال cfaa يجرم أي ولوج غير مسموح إلى نظام و نشر فيروسات فيه , أي أنه يجرم فيروس الوانا
و مثلا في روسيا (أعزكم الله ) :قانون العقوبات ينص على أن أي ولوج غير مسموح إلى النظام يعتبر جريمة .

و توجد قوانين كثير إخترقها فيروس الوانا.
العقوبات القانونية :
لو تم إمساك الأشخاص المسؤولين عن فيروس الوانا فماهي عقوباتهم ؟ و على أي أساس ?
على أساس :
النية : بما أن الهجومات كانت متعمدة فإن العقوبات شديدة .
حجم الهجمة : بما أن فيروس الوانا تسبب في إصابة حوالي 200,000 جهاز فإن العقوبات ستكون جد شديدة.
ثأثير الهجومات على الضحايا : بما أن الهجومات أدت إلى خسائر مادية فادحة و إنتهاك البيانات فإن العقوبات ستكون جد شديدة.
العقوبة ستكون الإعدام بلغتي .
كيف مات فيروس الوانا :

قام الباحث البريطاني ماركوس هاتشينز بعد ساعات بعكس هندسة برنامج الوانا ليكتشف أن الفيروس قبل أن يحاول تشفير البيانات سيتصل بموقع إذا تلقى إجابة منه لن يشفر و سيحذف نفسه اما إذا لم يجب الموقع فسيشفر البيانات ,قام الباحث ب تسجيل الموقع مما أدى لتوقف إنتشار الفيروس في أنحاء العالم.
السلام عليكم و رحمة الله تعالى و بركاته.​

 

[أبو البراءأبو البراء is verified member.]

السلام عليكم و رحمة الله تعالى و بركاته.
في هذه المقالة سوف نغطي دراسة حالة فيروس الفدية الشهير ال WannaCry.


في عام 2017 ماي بالتحديد ظهر في العالم فيروس فدية سمي ب ال wannacry والذي يعني أريد البكاء وصفا لشعور الضحية و أيضا هو إختصار ل wannacrypt.
سنختصر إسمه ب فيروس الوانا
فيروس الفدية هو نوع من البرمجيات الخبيثة التي تشفر ملفات شخصا ما أو شركة و تطلب مقابل فك التشفير مبلغ مالي عادة مايكون في العملات الرقمية البيتكوين أو المونيرو لأنها صعبة التتبع
مشاهدة المرفق 15978

ما ميز ال wannacry أنه لم يكن مجرد فيروس فدية عادي بل كان خليطا بين فيروس الفدية و فيروس الدودة

فيروس الدودة يسمى بهذا نظرا لقدرة إنتشاره بين الأجهزة التي تحتوي ثغرة ما .
مشاهدة المرفق 15979
كون ال wannacry فيروس فدية و دودة في نفس الوقت جعله برمجية خبيثة خطيرة جدا.


ماهو الدافع وراء فيروس الوانا : بما أن الفيروس عبارة عن فيروس فدية فإحتمالية كون المال هو الدافع الرئيسي وراء هذا الهجوم.

من الذي صنعه : ينسب فيروس الوانا إلى العصابة الإلكترونية الكورية الشمالية الازاروس
مشاهدة المرفق 15980
عصابة لازاروس هي مجموعة قرصنة إلكترونية يُعتقد أنها مدعومة من كوريا الشمالية، معروفة بتنفيذ هجمات سيبرانية متطورة لأهداف سياسية واقتصادية، مثل سرقة الأموال، اختراق الأنظمة، ونشر برمجيات خبيثة.
المزيد عنها




الخسائر المادية و البشرية :
بلغت الخسائر المادية حوالي 4 مليار دولار .

الخسائر البشرية لست متأكدا لكنها قريبة لصفر .
عانت بعض المنظمات مثل NHS المنظمة الوطنية للخدمة الصحية و التي توجد في بريطانيا من توقف بعض عملياتها بسبب كونها غير قادرة للولوج لحواسيبها نتيجة لأنها مشفرة .
تحديد الثغرات :
الثغرات التقنية : استغل فيروس WannaCry ثغرة EternalBlue في بروتوكول SMB (CVE-2017-0144)، مما سمح بتنفيذ تعليمات عن بُعد. أثرت هذه الثغرة على الأنظمة التي لم يتم تحديثها. للوقاية من هجمات مشابهة، يجب تحديث الأنظمة بانتظام، وتعطيل SMBv1، وتقسيم الشبكات.
الثغرات الغير التقنية : الأشخاص الغير المتمرسين و غير ملتزمين بتحديث أجهزتهم نظرا لضعف خلفيتهم التقنية هي أكبر الثغرات الغير تقنية.

مراحل الهجمة الأساسية :
قيام المهاجمين بمسح الأنترنات بحثا عن الحواسيب التي تحتوي على الثغرة.
l:
الثغرة تسمح بتنفيذ الأوامر عن بعد rce.

البرنامج سيحاول تصعيد الأمتيازات أي Privilege Escalation.
ثم سينشر نفسه في الشبكة المتصل بها و أي جهاز يحتوي على هذه الثغرة سيتضرر و ستتحقق الخطوات l مجددا.

بعد أن يقوم البرنامج بنشر نفسه في الشبكة سيحاول صنع البيئة الملائمة لتنفيذ البرنامج أساسي وهو برنامج التشفير .
بعد التشفير و مسح البيانات القديمة سيظهر رسالة التشفير و هي التي تخبر الضحية أن عليه الدفع مقابل فك تشفير حاسوبه و هذه هي :
مشاهدة المرفق 15981
القصة وراء فيروس الوانا :
تقول صحيفة نيو يورك تايمز :

"قبل أن يتم تسريبه، كانت ثغرة EternalBlue واحدة من أكثر الثغرات فاعلية في ترسانة القرصنة الإلكترونية لوكالة الأمن القومي الأمريكية (NSA)، حيث تم استخدامها في العديد من مهام جمع المعلومات الاستخباراتية ومكافحة الإرهاب.
— المقالة كاملة.


ثغرة eternalBlue هي نفسها الثغرة التي قام الازاروس بنشر فيروسهم مستغلين لها و طبعا فيروسهم يعتمد عليها .
لكن كيف وصلت إلى أيديهم ؟


المختصر المفيد :
مشاهدة المرفق 15982


وكالة الأمن القومي قامت بتطوير ثغرة ال eternalblue و إستغلالها ,عصابة ال shadow brokers قامو بإختراق وكالة الأمن القومي و نشروا كل وسائلهم التي يستعملونها في إختراق منها ثغرة ال eternal blue في حسابهم على تويتر ال الازاروس قامو بإستغلال هذه الثغرة و إنشاء فيروس الفدية .
لماذا لم تقم مايكروسوفت بإغلاق هذه الثغرة ؟ في الحقيقة قاموا بذلك و نشروا تحديثا لغلق الثغرة لذلك فيروس الوانا إشتغل على الأجهزة الغير محدثة.
الاعتبارات القانونية:
ماهي القوانين التي إخترقها فيروس الوانا ليعتبر غير قانوني ؟
في أمريكا (أكرمكم الله) : قانون ال cfaa يجرم أي ولوج غير مسموح إلى نظام و نشر فيروسات فيه , أي أنه يجرم فيروس الوانا
و مثلا في روسيا (أعزكم الله ) :قانون العقوبات ينص على أن أي ولوج غير مسموح إلى النظام يعتبر جريمة .

و توجد قوانين كثير إخترقها فيروس الوانا.
العقوبات القانونية :
لو تم إمساك الأشخاص المسؤولين عن فيروس الوانا فماهي عقوباتهم ؟ و على أي أساس ?
على أساس :
النية : بما أن الهجومات كانت متعمدة فإن العقوبات شديدة .
حجم الهجمة : بما أن فيروس الوانا تسبب في إصابة حوالي 200,000 جهاز فإن العقوبات ستكون جد شديدة.
ثأثير الهجومات على الضحايا : بما أن الهجومات أدت إلى خسائر مادية فادحة و إنتهاك البيانات فإن العقوبات ستكون جد شديدة.
العقوبة ستكون الإعدام بلغتي .
كيف مات فيروس الوانا :

قام الباحث البريطاني ماركوس هاتشينز بعد ساعات بعكس هندسة برنامج الوانا ليكتشف أن الفيروس قبل أن يحاول تشفير البيانات سيتصل بموقع إذا تلقى إجابة منه لن يشفر و سيحذف نفسه اما إذا لم يجب الموقع فسيشفر البيانات ,قام الباحث ب تسجيل الموقع مما أدى لتوقف إنتشار الفيروس في أنحاء العالم.
السلام عليكم و رحمة الله تعالى و بركاته.

بارك الله فيك على هذا الشرح الرائع أخي الحبيب، وأتمنى لو تتكلم عن هجمات أخرى حصلت فأسلوبك ممتاز في سردها
ولي تعليق صغير على هذه النقطة

البرنامج سيحاول تصعيد الأمتيازات أي Privilege Escalation.

في الواقع المهاجم لا يحتاج إلى تصعيد الامتيازات والصلاحيات خلال هذه الهجوم لأن الثغرة هيا kernal level والأوامر الاعتباطية التي يتم تنفيذها تتم على مستوى الـ kernal وبالتالي بمجرد استغلال الثغرة ستحصل على أعلى صلاحية في النظام NT AUTHORITY\SYSTEM ولكن الأمر وما فيه أن برمجية wannacry تحاول عمل شكل من أشكال ال Persistence داخل النظام حتى تتمكن من الانتشار بعد ذلك بالإضافة إلى شكل من أشكال التمويه لتأخير اكتشاف الطريقة التي تم بها الهجوم ومن أشكالها هو عمل migrate للـجلسة مع Process أخرى أكثر ثباتا وأبعد عن الشبهات وبذات الوقت تمتلك نفس الصلاحية التي وصل إليها المهاجم بعد الولوج إلى النظام، فمثلا إن كانت الجلسة الخاصة بك على process مثل chrome.exe ستحتاج لأن تنقلها إلى process أخرى أكثر ثباتا ولذلك عادة يستهدف المهاجم processes مثل services.exe أو أي خدمة ثابتة تمتلك وصول قوي مثل NT AUTHORITY\SYSTEM
اللي عملوه مع eternalblue كان ذكاء بالغا، فكرة إنك تعمل weaponization ( تسليح ) لثغرة من الثغرات هي فكرة أكثر من رائعة ويوجد سوابق تاريخية كثيرة لها وبكون جدا سعيد لو تكلمت عن هذه الوقائع وفصلت فيها حتى يتنفع منها المسلمين ونستمتع بأسلوب سردك الطيب
الله يبارك فيك وبعلمك أخي

 

[ibadaibada is verified member.]

بارك الله فيك على هذا الشرح الرائع أخي الحبيب، وأتمنى لو تتكلم عن هجمات أخرى حصلت فأسلوبك ممتاز في سردها
ولي تعليق صغير على هذه النقطة

في الواقع المهاجم لا يحتاج إلى تصعيد الامتيازات والصلاحيات خلال هذه الهجوم لأن الثغرة هيا kernal level والأوامر الاعتباطية التي يتم تنفيذها تتم على مستوى الـ kernal وبالتالي بمجرد استغلال الثغرة ستحصل على أعلى صلاحية في النظام NT AUTHORITY\SYSTEM ولكن الأمر وما فيه أن برمجية wannacry تحاول عمل شكل من أشكال ال Persistence داخل النظام حتى تتمكن من الانتشار بعد ذلك بالإضافة إلى شكل من أشكال التمويه لتأخير اكتشاف الطريقة التي تم بها الهجوم ومن أشكالها هو عمل migrate للـجلسة مع Process أخرى أكثر ثباتا وأبعد عن الشبهات وبذات الوقت تمتلك نفس الصلاحية التي وصل إليها المهاجم بعد الولوج إلى النظام، فمثلا إن كانت الجلسة الخاصة بك على process مثل chrome.exe ستحتاج لأن تنقلها إلى process أخرى أكثر ثباتا ولذلك عادة يستهدف المهاجم processes مثل services.exe أو أي خدمة ثابتة تمتلك وصول قوي مثل NT AUTHORITY\SYSTEM
اللي عملوه مع eternalblue كان ذكاء بالغا، فكرة إنك تعمل weaponization ( تسليح ) لثغرة من الثغرات هي فكرة أكثر من رائعة ويوجد سوابق تاريخية كثيرة لها وبكون جدا سعيد لو تكلمت عن هذه الوقائع وفصلت فيها حتى يتنفع منها المسلمين ونستمتع بأسلوب سردك الطيب
الله يبارك فيك وبعلمك أخي

منطقي ,شكرا على تصحيح المعلومة و بارك الله فيك .

 

[أبو البراءأبو البراء is verified member.]

منطقي ,شكرا على تصحيح المعلومة و بارك الله فيك .

ننتظر من إبداعكم المزيد

 

[αв∂υℓℓαн]

شكرآ لك لاحظت في موقع GitHub هناك botnet قاموا اعادة تحديثها باستمرار انا فقط اخذت نظره سريعه اخر تطوير له عام 2023 ومستمرون
احببت اذكر هذا الموضوع ربما هنا من يهتم بهذي الامور

 

[أبو البراءأبو البراء is verified member.]

شكرآ لك لاحظت في موقع GitHub هناك botnet قاموا اعادة تحديثها باستمرار انا فقط اخذت نظره سريعه اخر تطوير له عام 2023 ومستمرون
احببت اذكر هذا الموضوع ربما هنا من يهتم بهذي الامور

جزاك الله خيرا على هذه المعلومة ويا ريت لو تزودنا بمصدر في موضوع منفصل

 

[αв∂υℓℓαн]

جزاك الله خيرا على هذه المعلومة ويا ريت لو تزودنا بمصدر في موضوع منفصل

هنا GitHub موقع الشباب RootSec فيه مواضيع ريما مفيده وأيضاً لديهم قروب تليجرام على العموم الحذر عند الاستخدام ..