التصنيف: غير مصنف

تحليل ماكرو خبيث في ملفات الورد شرح تفصيلي

السلام عليكم

واهلا بكم في هذه التدوينه سوف اشرح عملية تحليل لملف ورد يحتوي على ماكرو لتنفيذ اوامر على الجهاز والتواصل مع سيرفر c2 للحصول على التعليمات والاوامر لتنقيذها

في البدايه بعد تنزيل الملف استخدمت اداه olevba لاستخراج كود الماكرو

بعد ذلك قمت بنسخ الكود لتحليله

في البداية

تم انشاء متغير اسمه pattern

بعد ذلك استخدام دالة document_open والتي تنفذ الكود بداخلها عند فتح الملف

في داخل الداله document_open تم استدعاء الدالة main و الدالة DialogUserInfo

في داخل الدالة main تم اسناد عدد من العناصر للمتغير pattern وهي تستخدم لعملية deobfuscation كما سنشاهد

ثم تم انشاء متغيرين من نوع string وهما pathSave و myRoutin

تم اسناد الداله Environ للمتغير pathSave حيث ان الدالة Environ تتيح الوصول للمتغيرات في بيئة الوندوز

مثال عندما نريد معرفة المسار الكامل لمجلد appdata نقوم باستخدام الداله Environ(“AppData”)

نجد انه تم استخدام دالة clearText(“Ap6pp6pDa1at0ta1a”)

بداخل دالة environ حيث يتضح ان الدالة clearText تقوم بتنظيف الكود deobfiscate من الشوائب

للتوضح اكثر عن عمل الدالة clearText

كما تلاحظون عملها بسيط تقوم بتجزئة المتغير pattern باستخدام الفاصلة كجزء فاصل بين الاجزاء بعد ذلك تبحث عن هذه الاجزاء في النص المدخل وتقوم بازالته عن طريق تبديله بـ “” ثم تعيد النص بعد التعديل

الان نقدر نفك التشويش من الكود لفهمه اكثر

هنا نلاحظ قبل فك التشويش وبعد فك التشويش

بعد كذا نشوف اللي بعده اللي هو المتغير myRoutin

كما نشاهد تم اسناد دالة modifyText الى المتغير myRoutin حيث ان الداله من نوع string

بعد ذلك تم اجراء عملية ابدال لفك تشويش وترتيب النص واعادته للمتغير myRoutin

في البداية تم استبدال ** بـ vbCrLf والتي تعني نهاية سطر “Visual Basic Carriage Return Line Feed” اي تنهي السطر وتبدا من سطر جديد

ثم يتم استبدال ‘ بـ Chr(34) والتي تعني ” اي استبدل علامه تنصيص واحده بعلامتي تنصيص

واخيرا استبدال “”# بـ ‘

الدالة modifyText تحتوي نص مشوش ويتم فك تشويشه بطريقة الداله clearText و الاستبدال لترتيب النص

لنرى محتوي modifyText قبل عملية الاستبدال وبعد الاستبدال

before
after

حيث يقوم بكتابة النص بعد فك التشويش الى ملفين text و vba

الان تم كتابة ملف جديد يحتاج لتحليل

الان نبدا في فك التشويش عن بعض المتغيرات ولتسهيل المهمه سوف نستخددم الدوال المستخدمه مع داله MsgBox لطباعة القيمة بعد فك التشويش

هنا تم استخراج عناوين c2

هنا تم استخراج user-agent

نقوم بعد ذلك باستبدال الكود وتعديل بعض اسماء المتغيرات والدوال لتصبح اكثر وضوح

وهنا النتيجه النهائية

فكره عمل الكود يقوم فالبدايه بتنفيذ الامر whoami ويتم اخذ نتيجة الامر وارسالها في طلب Get الى c2

http://107%5B.%5D174.68%5B.%5D60/getCommand?guid=KK-ak-pcname-ak

طبعا يتم استخدام user-agent خاص في الطلب

ومحتوى الصفحة للرد يكون عبارة عن امر اخر لتنفيذه او empty اي لاتنفذ اي امر

ويشيك السكربت كل فتره على الصفحه للحصول على امر جديد لتنفذه

اذا حصل امر جديد يقوم بتنفيذه وارسال النتيجه في طلب POST

وهنا مؤشرات الاختراق

File_hash: 8e99c479e41e0121e3dc57e2c6156b9b

C2 IPs

192.227.147.152

107.174.68.60

ويمكن البحث في proxy logs عن user-agent

Mozilla/4.0 (compatible; ms-office; MSOffice 16)

واتمنى يكون الشرح واضح ولاي استفسار او سؤال يمكنكم التواصل معي

@AKMalware

رسالة انتحالية لطلب سداد رسوم توصيل للبريد السعودي

صورة الصفحة المزيفة

وصلني بريد منتحل صفة البريد السعودي فشل في توصيل احد الشحنات بسبب عدم اكتمال البيانات و يطلب سداد رسوم للتوصيل.

وقد انتشر هذا البريد في الاونه الاخيره فقررت محاوله كشف ومعرفه معلومات اكثر عن الاسلوب وطريقه عمل الصفحة.

كما هو معروف اغلب المواقع التي يتم رفع مثل هذه الصفحات عليها اما أن تكون مخترقة او مجانية. فحاولت البحث في الموقع عن ويب شل مرفوع وفعلا وجدت ويب شل جاهز ومرفوع من شهر يناير تقريبا

هنا صار الموضوع اسهل لانه نقدر ننزل السورس كود ونشوف الاسلوب.

عند دخول الزائر للصفحة يتم اولا فحص عنوان الاي بي والتاكد من انه ليس بوت من محركات البحث بعد ذلك يتم انشاء مجلد برقم اي بي الزائر مع هاش عشوائي خاص بكل زائر

ويتم التوجيه للصفحه الخاصه به للدفع

كما هو ملاحظ في السورس كود عند اكمال البيانات يتم استخدام تلقرام api لارسال البيانات لصاحب الصفحة حيث لاتخزن عالموقع او ترسل على بريد إلكتروني

قمت بالاتصال بالرابط وارسال حرف a للتجربة

بعد العثور على القناة الخاصة بالتبليغ عن الضحايا عثرت على عدد من الرسائل تحتوي على بيانات الضحايا

كما تلاحظون الحرف a الذي ارسلناه مسبقا

عند مراجعة ال access logs للموقع عثرت على عنوان الاي بي لصاحب السكربت

تم ابلاغ صاحب الموقع ورفع بلاغ للتلقرام بخصوص البوت

وتقبلو اجمل التحايا

معلومات عن موقع ينتحل صفحة وزارة الداخلية السعودية لتخويف الزائر وطلب مبلغ مالي

صفحة الموقع الرئيسية

اهلا بكم

نبدأ تحليل للموقع الذي ينتحل صفحة وزارة الداخلية ويقوم بتهديد الزائر بمخالفته للقوانين ويطلب دفع مبلغ مالي.

في البداية كيف يصل الزائر الى هذا الموقع. هذه المواقع عادة تستخدم محركات البحث للوصول الى الزوار وحيث تركز على الكلمات الطويلة في البحث فتكون هي في الصفحة الاولى.

مثال للبحث

فعند دخول الزائر للموقع وعند ضغط زر الفاره في الصفحة تفتح نافذه جديدة وبحسب نوع جهاز (user-agent) الزائر يتم توجيهة

صفحة الموقع
الكود المسؤول عن فتح نافذه وتوجية الزائر

فمثلا لو كان الجهاز وندوز يتم التوجية الى الصفحة المزورة لوزارة الداخلية

عند الدخول للصفحة يتم تكبير وملء الشاشة بالصفحة والتي تم تصميمها كسطح مكتب وندوز ١٠ مع متصفح كروم. وفيها التهديد ونموذج ادخال بيانات بطاقة الفيزا للدفع

بعد ادخال بيانات الفيزا يتم طلب كود التوثيق

الكود الخاص بعرض المحتوىوامعالجة عملية الدفع تم عمل تشفير(Obfuscation) له عن طريق base64 وذلك ربما لتجاوز حماية بعض الانظمة.

حيث يمكن فك التشفير عن طريق داله base64 في اغلب لغات البرمجة او عن طريق موقع https://gchq.github.io/

عند التجربة بتغيير user-agent الى Android يتم التحويل الى صفحات تقوم بتنزيل apk file سوف يتم تحليله لاحقا.

وعند تغيير user-agent الى IOS يتم تحويل الزائر الى صفحة تطلب الوصول الى التقويم

وتقبلو اجمل التحايا