نسخة خبيثة من برنامج سايفون

2

قام “سيتزن لاب” بتطوير النسخة الأساسية من برنامج “سايفون” (Psiphon)، أداة تجاوز الرقابة التي خرجت من “ستزن لاب” إلى شركة خاصة كندية تحمل اسم (Psiphon inc) في العام 2008.

استطعنا في الساعات الأربع وعشرون الأخيرة تحديد هوية نسخة خبيثة تم إعادة وضعها في رزمة من برنامج تجاوز الرقابة (Psiphon three). الملف الخبيث يحتوي على نسخة تعمل من برنامج “سايفون”، إضافة إلى برمجية خبيثة – حصان طروادة (trojan) من نوع njRAT.

هذه المذكرة الموجزة توضح شكل الملف الخبيث الذي تم زرعه وطريقة عمله، ثم تشرح كيفية الحصول على النسخ الأصلية من برنامج “سايفون” ومن ثم التحقق منها.

يقوم فريق “سايفون” بمراقبة الهجمة، وكارل كاثوريا (نائب رئيس شركة “سايفون”) يشجع جميع المستخدمين “سايفون” الجدد على التأكد والتحقق من العميل (برنامج “سايفون”). وإذا شكوا بأي أمر، عليهم زيارة psiphon.ca للحصول على النسخة الجديدة من البرنامج.

تفاصيل البرمجية الخبيثة ومظهرها

اسم الملف وأيقونته يجب أن يكونا مطابقين للنسخة الأصلية من “سايفونthree″. ويعتقد أن البرمجية الخبيثة جزء من حملة نشطة.

01-comparison_icons

خصائص الملف

Filename: psiphon.exe

MD5: 28bf01f67db4a5e8e6174b066775eae0

تم رصد البرمجية الخبيثة للمرة الأولى في ليلة 11 آذار/مارس 2014 (بتوقيت المحيط الهادئ): موقعvirustotal لديه الملف (binary) وتم الكشف عن وجود الملف الخبيث باستخدام 3 مكافحات فيروس من أصل 50 حتى وقت كتابة المقال.

بتحليل خصائص ملف البرنامج الخبيث وملف البرنامج الأصلي من “سايفون”، يظهر أول الأدلّة على أن البرنامج قد لا يكون كما يظهر، حيث أن الملف الخبيث غير موقّع بينما “سايفون 3″دائماً يتم توقيعه.

الملف الخبيث على اليسار والأصلي على اليمين. لاحظوا الاسم الأصلي للملف windows.exe واختفاء تبويب “التوقيع الرقمي” في النسخة الخبيثة.

02-comparison_properties

الملف الخبيث (على اليسار) وسايفونthree الأصلي على اليمين. لاحظوا الاسم الأصلي للملف “home windows.exe” واختفاء تبويب “التوقيع الرقمي” في النسخة المزوّرة.

كما يبدو أن البرنامج تمت كتابته باستخدام لغة البرمجة VisualStudio وصيغته التنفيذية المحمولة (portable Executable) تعتمد على لغة البرمجة “دوت نيت”.

تحليل المتواليات في الرمز الثنائي يشير إلى أمن عملاني محدود (أو معلومات خاطئة متعمدة) من قبل المهاجمين.

على سبيل المثال:

c:customersallosh hackerpaperworkvisible studio 2012initiativesalloshalloshobjDebugwindows.pdb

الإصابة والمثابرة على الأذية

فور النتفيذ، يظهر لدى المستخدم الواجهة الرسومية لبرنامج “سايفون three″، وهو في الواقع البرمجية الخبيثة، وقد قامت بخلق نسخة تعمل من برنامج “سايفون three″ وتنفيذها إلى جانب الملف الخبيث الذي تم زرعه.

03-Psi_splash

الواجهة الرسومية لـ”سايفونthree″ تظهر للضحية أثناء خلق الملف الخبيث المزروع

الملف الخبيث الذي تم خلقه من قبل psiphon.exe في مجلد المستخدم AppDatalocal

C:users[USER]AppDatanativeTempserver.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

و”سايفون three″ تم إنشاؤه ليعمل من المجلد نفسه

C:users[USER]AppDatalocalTemppsiphon3.exe

MD5: 81287134d7aa541beae4b000d4ab3f19

الرمز الثنائي لبرنامج “سايفون 3″ يعمل وتم توقيعه رقمياً. وعلى ما يبدو أن المهاجم استخدم النسخة الأحدث من برنامج “سايفون three″

04-psi_3_tmp_sig

في غضون ذلك، tempserver.exe يجعل الإصابة دائمة وذلك بنسخ نفسه باسم chrome.exe في مجلد home windows startup ليعمل تلقائياً عند الإقلاع

C:users[User]AppDataRoamingMicrosoftwindowsbegin MenuprogramsStartupchrome.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

يقوم tempserver.exe أيضاً بنسخ نفسه باسم الملف explorer.exe ويقوم بتشغيل النسخة الجديدة منه

C:customers[User]AppDataRoamingExplorer.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

05-explorer_properties

خصائص ملف explorer.exe (njRAT).

الملف هذا في الواقع هو تروجان njRAT

بعض السلوكيات الأخرى

الملف المزروع explorer.exe يبدأ بجمع نقرات مفاتيح لوحة المفاتيح ويكتبها في ملف موجود في المسار الذي تم زرعه فيه

C:customers[USER]AppDataRoamingExplorer.exe.tmp

هنا نرى كيف يقوم مسجل نقرات المفاتيح بالتقاط معلومات الدخول حالما يقوم المستخدم بكتابتها في موقع gmail.com عبر برنامج internet Explorer ويقوم بكتابة هذه البيانات في ملف explorer.exe.tmp

14/03/12 iexplore Gmail – home windows web Explorer

dummy.login[TAP]

dummy.password

المثير للاهتمام هنا أن مسجل ضربات المفاتيح يقوم بكتابة faucet عند الضغط على زر TAB، هذا السلوك قد يساعد في تحديد الهوية.

من بين السلوكيات الأخرى، الملف الخبيث المزروع يقوم بتعديل إعدادات الجدار الناري ليسمح لنفسه بالوصول إلى الشبكة عبر إصدار الأمر التنفيذي التالي إلى netsh.exe

netsh firewall add allowedprogram “C:users[User]AppDataRoamingExplorer.exe” “Explorer.exe” let

الأوامر والتحكم

الملف المزروع يقوم بفتح اتصال TCP مع رقم “الآيبي” 31.9.48.141 عبر المنفذ 49189 إلى مركز الأوامر والتحكم باستخدام المنفذ 1960.

سجلات الكشف عن الهوية لرقم “الآيبي” تشير إلى أنه في سوريا

inetnum: 31.9.0.zero – 31.9.127.255

netname: SY-ISP-TARASSUL

descr: Tarassul inetnet carrier provider

united states of america: SY

التحليل

“سايفون 3″ برنامج يتم استخدامه بشكل واسع ومنتج موثوق لتجاوز الرقابة، ومن غير المستغرب – إلى جانب أدوات الأمان والاتصالات الأخرى المستخدمة  – أن تتم إعادة توجيه الغرض منها على نحو خبيث.

لا نعتقد أن هذا يشير إلى هجوم واسع ضد مستخدمي أداة “three Psiphon” في جميع أنحاء العالم، بدلاً من ذلك نشك بأنه تم تطويرها لهجمة أخرى .  تم استخدام البرمجية الخبيثة njRAT بشكل واسع من قبل المهاجمين   وبشكل مستمر تم وضعها ضمن رزمة مع برامج أخرى لا وظيفة لها أو مع برامج تعمل. الاستمرار في استهداف الاتصالات والأمن مؤذٍ ويعكس اطلاعاً واسعاً

الهجمات الشبيهة بهذه يتم استكمالها عبر آخرين باستخدام محتوى سياسي أو ديني مثير للفضول، وعبر أشكال أخرى للهندسة الاجتماعية.

تم تحليل مثل هذه الهجمات على نطاق واسع من قبل زميلي في “سيتزن لاب” مورغان ماركيز بور والإبلاغ عنه إلى منظمة “الحدود الإلكترونية” وكذلك إلى العديد من الباحثين.

يمكنكم الحصول على التقرير المشترك الأخير بين مختبر المواطنة ومنظمة الجبهة الإلكترونية (كانون الأول/ديسمبر 2013) من هنا.

إجراءات يجب اتخاذها

مطورو “سايفون” الذين تم إبلاغهم عن البرمجية الخبيثة ينصحون المستخدمين القلقين باتخاذ الخطوات التالية (المحتوى مقتبس من موقعهم على الإنترنت)

1- تأكدوا من نسخة “سايفون” الخاصة بكم على نظام التشغيل “ويندوز” عبر اتباع الخطوات البسيطة التالية التي تم نشرها على موقع “سايفون”.

2- انقروا بالزر الأيمن للفأرة على أيقونة Psiphon ثم اختاروا properties

3- يجب أن تروا تبويب “Digital Signatures”، قوموا بالنقر عليها. (إذا لم يظهر هذا التبويب فذلك يعني أنكم ربما تشاهدون خصائص الملف الخبيث وليس النسخة الأصلية)

four- قوموا بدراسة تبويب التوقيع الرقمي. هل يبدو كالصورة أدناه؟ (اضغطوا على الصورة لرؤيتها بحجم أكبر).

06-faq-authentic-windows

5- موقع سايفون” ينص على:

“يتم عرض بصمة SHA1 للمفتاح العام لشهادة البرنامج في مربع الشهادة تحت تبويب تفاصيل.”

بالنسبة لـ”الشهادة صالحة للفترة: sixteen حزيران 2011 إلى 21 حزيران 2012” فإن بصمة SHA1 هي:

8f:b7:ef:bd:20:a9:20:3a:38:37:08:a2:1e:0a:1d:2e:advert:7b:ee:6d

وبالنسبة لـ”الشهادة صالحة للفترة: 21 أيار 2011 إلى 30 تموز 2014” فإن بصمة SHA1 هي:

84:c5:13:5b:13:d1:fifty three:96:7e:88:c9:thirteen:86:0e:eighty three:ee:ef:48:8e:ninety one

نسخة ويندوز من برنامج سايفون تقوم بتحديث نفسها تلقائياً، وهذه العملية تقوم تلقائياً بالتحقق من أن كل تحديث أصلي.”

6- ملاحظة: عندما تقوم البرمجية الخبيث بخلق نسخة تعمل من برنامج three Psiphon (مع توقيع رقمي) ستكون النسخة في مجلد يختلف عن المجلد الذي تقوم بتشغيل “سايفون” منه (C:customers[USER]AppDatalocalTemppsiphon3.exe)

7- يشجع مطورو “سايفون” أي شخص مهتم بـ “سايفون 3″ على إجراء الخطوات المذكورة للتأخد من أن نسخة “سايفون” لديهم أصلية، في حال الشك، بإمكانكم إرسال رسالة إلكترونية فارغة إلى get@psiphon3.com للحصول على نسخة جديدة. ولأي استفسارات موجهة إلى فريق مطوري “سايفون” يمكنكم إرسال بريد إلكتروني إلى info@psiphon.ca

إضافة إلى ذلك، في حين تتسبب الرزمة التي تتضمن البرمجية الخبيثة في الحصول على نسخة تعمل من “سايفون”، ولا يمكن تمييز الأيقونة بصرياً، فإن البرمجية الخبيثة تترك عدداً من الملفات، وجود أيّ منها يعتبر دليلاً قوياً على الإصابة. هنا عدة ملفات لأخذ الحذر منها:

C:customers[Your Username]AppDatanativeTempserver.exe

C:customers[Your Username]AppDataRoamingMicrosofthome windowsstart MenuprogramsStartupchrome.exe

C:users[Your Username]AppDataRoamingExplorer.exe

C:users[Your Username]AppDataRoamingExplorer.exe.tmp

إذا تم العثور على هذه الملفات، يجب فصل الجهاز من الإنترنت وإعادة تهيئته (layout). بالإضافة إلى ذلك، على المستخدمين اتخاذ خطوات فورية لتأمين حساباتهم، وكذلك التواصل مع الآخرين ممن قد يكونوا تعرضوا لكشف معلومات حساسة عنهم.

 

قد يعجبك ايضا اقرأ لنفس الكاتب

تعليق

  1. فيـصل يقول

    السلام عليكم

    إخواني أحتاج منكم مساعدة .. بعد ما نزلت البرنامج ما أقدر أستخدم الإنترنت إلا بتشغيل البرنامج .. يعني لو ما أشغله ما عندي وصول للإنترنت .. علما بإني أستخدم ويندوز 8.1، أحتاج مساعدتكم في حل هالمشكلة

    0
    وشكرا مسبقا

    1. Bakry Kitua يقول

      حاول تدخل على اعدادات الشبكة او مايسمى اعدادات الانترنت
      ادخل على Proxy وقم بازالة البروكسي بشكل كامل
      لكي يعود انترنت للعمل بشكل طبيعي

اترك تعليق

يرجي التسجيل لترك تعليقك

شكرا للتعليق