728x90 شفرة ادسنس

  • اخر الاخبار

    25‏/8‏/2015

    تعرف على فيروس Zeus أشهر و أخطر الـ Banking trojan



    Zeus Botnet أصبح واحدا من أشهر و أخطر الـBotnets في الوقت الحاضر خطورة على مستخدمين الأنترنت بشكل عام حيث يقوم بجعل كل ما تفعله على الشبكة العنكبويتة من معلومات و خصوصيات تحت سيطرة الـBot Master نكاد نراه بشكل مبالغ فيه هذة الأيام بمواقع Malware Honeynets مثل malwaredomainlist.com, malwareurl.com و غيرها و اعتقد الكثير من من يقراء هذة التدوينة لم يسمع عنه من قبل او لم يعرف مدى خطورة هذا البوت اولا دعوني اوضح بعض المعلومات عن الـZeus Bot و فكرة عمله و technique المستخدم به الـZeus Bot هو ببساطة عبارة عن Http Botnet بمعنى ان الـ Command & Control Center يتم التحكم به عن طريق المتصفح او الـWeb Browser فكرة البوت تختلف كثيرا عن اغلب البوتـز الأخرى التى سوف نتطرق إلي تحليلها ان شاء اللًه في مجتمع الحماية بأذن اللًه تعالى فأغلب الbots تكون مهمتها هي جلب عدد اكبر من الضحايا عن طريق استخدام طرق كثيرة لعمليات الـSpreading & Infection و سوف نقوم بشرح مفصل لهذا الكلام في تحليل واحد من اشهر هذه البوتات Butterfly Bot

    لكن دعونا نعود إلى الـZeus Botnet و فكرة عمله و لماذا هو يصنف كـ High Risk Malware و هو في رائي هو عبارة عن صاروخ اطلقوه الروس و هم مشهورين جدا تخصص الـMawlares و يتم ابأستخدام فكر جديد في هذا البوت نت قريبا من فكرة الـkeyloggers لكن بشكل مختلف تماما فكما نعرف ان الـkeyloggers تقوم بعمل تسجيل لكل keystroke يقوم المستخدم بكتابته كذلك الـZeus Botnet قريبا من نفس هذة الفكرة فهو يستخدم الـForm Grabbing Technique و لمن لا يعرف ما هو Form Grabbing سوف اقوم بشرح فكرته بشكل مختصر جدا و سريع .


    Form Grabbing هي عملية grab او التقاط اي شئ يتم اداخله في Forms بصفحات HTML نفترض مثلا انك قمت بتصفح لموقع بريدك الألكتروني و تريد الدخول إلى بريدك الألكتروني حيث تجد خانة username و خانة Password و تقوم بكتابة بريدك الألكتروني و الكلمة السرية الخاصة بك يتم وقتها الـform grabber بألتقاط ما قمت بعمل عملية POST له و تسجيل الـfiled Name و filed value مثلا username=admin و password=123456 شئ شبيها بعملية http sniffing ..
    و هذة هي الفكرة الرئيسية للـzeus bot فهو يعتمد عليها بشكل اساسي فتمكن خطورته في جلب كل ما تقوم بكتابته في اي خانة في اي موقع الكتروني و يتم ارسال هذة المعلومات إلى http webserver و يتم استقبلها ملف يسمى gate.php الذي يقوم بأستقبال عملية الـpost و تخذينها في قاعدة البيانات .. وبعد فترة من جلب عدد أكبر من الضحايا يجد المتحكم بالبوت logs بشكل أكبر.
    فاستخدام البوت غالبا يتم استخدامه استخدامات خطيرة لسرقة حسابات البنوك والحسابات المهمة لدى المستخدمين ولكن بالطبع ليس كل هذا هو خطورة الـzeus حيث لديه من اسلحه و ادوات ما تجعل الجهاز الذي اصيب بهذا البوت يصبح جميع معلوماته و حسابته على الشبكة العنكبوتية متاحه للمتحكم في البوت حيث قام الـBot Author بتطوير هذا البوت نت بشكل كبير في اخر اصدارته بأضافات ترعب مثلا قام بتطوير  vnc module & proxy module و غيرها من الأضافات الخطيرة ..


    proxy module : تجعل من الجهاز المصاب بالبوت proxy server عن طريقه يتمكن المخترق من استخدام الأي بي الخاص بك و التصفح عن طريقة بشكل مباشر و يتم فيه ايضا Bypassing NAT عن طريق الـreverse connection او directly للأجهزة المتصلة مباشر بالأنترنت without nat
    vnc module : و هو ما يمكن المخترق و المتحكم في البوت من دخول الجهاز المخترق  و التحكم فيه تحكم كامل بدون ظهور اي شئ  و يقوم بمشاهده جميع ملفات الجهاز المخترق و العمل فيه و استخدام نفس البرامج التى تعمل على الجهاز دون ان يظهر اي اثر على جهاز الضحية بالضبط كـremote desktop connection لكن invisible بشكل تام ..
    وقد ووصلت اسعار الـ modules الواحده فقط إلى أكثر من $5000 من الـ Zeus Bot Author
    وبالطبع يساوي الكثير لكن الـ
    Blackhat Hackers & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات.
    ايضا يوجد بعد الخواص او الأوامر المضافة الـى الـMAIN CORE الخاص بالزيوس  و هي خطيرة ايضا مثل Dns spoofing يجعل من المستخدم عند دخولو لموقع معين يقوم بتحديده الـAttacker إلى فتح موقع اخر تماما من غير اي عمليات redirect ظاهره ..
    ايضا توجد خاصية kill system وهي لتدمير ومسح ملفات جهاز الشخص المصاب بالـ malware كما يوجد الكثير من الـcommands و الأضافات الكثيرة في الـzeus bot لن يستطيع المجال ان نتطرق إليها كلها و لكني سوف اكتفي بوضع بعض من الـScreenShots الخاصة ExE Builder و الـWEB PANEL

    و للحماية من مثل الـzeus bot ينصح بأستخدام احدى برامج مكافحة malware و أنصح بـmalware bytes لأنه الـmanual removal للبوت لن يكون سهلا على المستخدم العادي لأنه يقوم بعمل
    Injection في winlogon.exe processes و برنامج malwarebytes ممتاز جدا لفحص البرامج الخبيثة على windows و بالطبع مستخدمين الينوكس في safe side  : )
    • تعليقات بلوجر
    • تعليقات الفيس بوك

    2 التعليقات :

    Item Reviewed: تعرف على فيروس Zeus أشهر و أخطر الـ Banking trojan Rating: 5 Reviewed By: محمد أيوب
    Scroll to Top