26-05-2023, 06:28 PM
الأخوة الأعزاء جميعاً
قبل حوالي سنتين قمت بتحديث الإضافة (Plugin) لبرنامج SharpOD x64 و الخاص بـ برنامج X64dbg و ذلك عن طريق رابط نشره أحد أعضاء المنتدى في ذلك الحين، حيث كانت النسخة المستخدمة من قبلي قديمة فقمت بعملية التحديث عن طيب خاطر، و استمريت في استخدام النسخة المحدثة طوال الفترة الماضية قبل أن أكتشف بالصدفة أنها ملغومة
حيث نبهني مكافح الفيروسات الشهير Norton أن الملف SharpOD x64.dp32 ملغم و ذلك أثناء نسخ البرنامج X64dbg و ملحقاته لجهاز جديد، و عند فحص الملف عن طريق برنامج Detect It Easy وجدت أن الملف محمي بواسطة برنامج الحماية vmprotect
و هذا هو الرابط الخاص بموقع VirusTotal و الذي يبين أن الأضافة عبارة عن فيروس من نوع Trojan
و أكاد أجزم أن الأخ الذي قام بنشر رابط التنزيل لهذه الإضافة الهامة لم يكن على دراية أنها ملغومة، مع العلم أني لا أتذكر متى قمت بتنزيل الـ Plugin و لا أتذكر من نشر رابط التنزيل الخاص به في حينه.
لكن النقطة المهمة و التي أرغب في التحذير منها هي أنه يجب على كل شخص أن يقوم بفحص كل الإضافات التي لديه لعله يجد أشياء لا تسره و و رغم استخدام الكثير لنسخ ويندوز وهمية في عملهم الا أن احتمال وجود برنامج كهذا في نسخة الويندوز الأساسية وارد بالإضافة إلى أن الكثير يقوم بفك و هندسة البرامج و من ثم يقوم بنقلها و استخدامها على أجهزة عادية و من المحتمل أن تكون تلك البرامج التي عمل عليها المهندس العكسي مصابة بالـ Trojan دون أن يدري!
حيث أصبح من الشائع في السنوات الأخيرة وجود الكثير من البرامج والإضافات الملغومة و التي يستخدمها المهندس العكسي، و كنا واجهنا في الفترات الماضية برامح ملغومه كمثال IDA Pro نشرها البعض دون أن يدري الكثير أنها تحوي فايروس من نوع Trojan، كما واجهنا بعض البرامج المصدرية على برنامج Visual Studio الشهير تحوي على Macros خبيثة تعمل عند عمل Build للتطبيقات تعمل على تنزيل برمجيات خبيثة مختلفة. وهذا يذكرنا بالطريقة التي جرى فيها استغلال MS Office Excel Macros قديماً لذات الغرض!
بل و كذلك يوجد الكثير من البرامج و الأدوات التي يستخدمها المبرمجون العاديون و هم لا يدرون أنها ملغومة. و يمكن أن نأخذ NPM كمثال و الرابط التالي يوضح جزء من هذه الأشكال:
و ذات الأمر تكرر مع لغات اخرى مثل Python كما هو واضح في هذه المقالة:
و الحالات المشابه كثيرة و لعل الكثير لاحظ التحذيرات التي صدرت موخراً بخصوص Visual Studio Code extensions :
حيث أصبح الكثير من الـ Attackers يلجئ لهذا الأسلوب للتغلب على كشف برامج مكافحة الفيروسات و كذلك للأحتيال على المستخدمين.
في الختام أنصح الجميع بـأخذ الحذر و الحيطة و فحص الأدوات التي يستخدمونها مع ملحقاتها جيداً و عدم الثقة في الروابط التي تنشر هنا و هناك
قبل حوالي سنتين قمت بتحديث الإضافة (Plugin) لبرنامج SharpOD x64 و الخاص بـ برنامج X64dbg و ذلك عن طريق رابط نشره أحد أعضاء المنتدى في ذلك الحين، حيث كانت النسخة المستخدمة من قبلي قديمة فقمت بعملية التحديث عن طيب خاطر، و استمريت في استخدام النسخة المحدثة طوال الفترة الماضية قبل أن أكتشف بالصدفة أنها ملغومة
حيث نبهني مكافح الفيروسات الشهير Norton أن الملف SharpOD x64.dp32 ملغم و ذلك أثناء نسخ البرنامج X64dbg و ملحقاته لجهاز جديد، و عند فحص الملف عن طريق برنامج Detect It Easy وجدت أن الملف محمي بواسطة برنامج الحماية vmprotect
و هذا هو الرابط الخاص بموقع VirusTotal و الذي يبين أن الأضافة عبارة عن فيروس من نوع Trojan
https://www.virustotal.com/gui/file/8a509c01b561f3234d61c93a803ff99c273f5141caea09dd5d5818eb2b601060/detection
و أكاد أجزم أن الأخ الذي قام بنشر رابط التنزيل لهذه الإضافة الهامة لم يكن على دراية أنها ملغومة، مع العلم أني لا أتذكر متى قمت بتنزيل الـ Plugin و لا أتذكر من نشر رابط التنزيل الخاص به في حينه.
لكن النقطة المهمة و التي أرغب في التحذير منها هي أنه يجب على كل شخص أن يقوم بفحص كل الإضافات التي لديه لعله يجد أشياء لا تسره و و رغم استخدام الكثير لنسخ ويندوز وهمية في عملهم الا أن احتمال وجود برنامج كهذا في نسخة الويندوز الأساسية وارد بالإضافة إلى أن الكثير يقوم بفك و هندسة البرامج و من ثم يقوم بنقلها و استخدامها على أجهزة عادية و من المحتمل أن تكون تلك البرامج التي عمل عليها المهندس العكسي مصابة بالـ Trojan دون أن يدري!
حيث أصبح من الشائع في السنوات الأخيرة وجود الكثير من البرامج والإضافات الملغومة و التي يستخدمها المهندس العكسي، و كنا واجهنا في الفترات الماضية برامح ملغومه كمثال IDA Pro نشرها البعض دون أن يدري الكثير أنها تحوي فايروس من نوع Trojan، كما واجهنا بعض البرامج المصدرية على برنامج Visual Studio الشهير تحوي على Macros خبيثة تعمل عند عمل Build للتطبيقات تعمل على تنزيل برمجيات خبيثة مختلفة. وهذا يذكرنا بالطريقة التي جرى فيها استغلال MS Office Excel Macros قديماً لذات الغرض!
بل و كذلك يوجد الكثير من البرامج و الأدوات التي يستخدمها المبرمجون العاديون و هم لا يدرون أنها ملغومة. و يمكن أن نأخذ NPM كمثال و الرابط التالي يوضح جزء من هذه الأشكال:
https://www.theregister.com/2022/02/03/npm_malware_report/
و ذات الأمر تكرر مع لغات اخرى مثل Python كما هو واضح في هذه المقالة:
https://www.fortinet.com/blog/threat-research/more-supply-chain-attacks-via-new-malicious-python-packages-in-pypi
و الحالات المشابه كثيرة و لعل الكثير لاحظ التحذيرات التي صدرت موخراً بخصوص Visual Studio Code extensions :
https://www.infoworld.com/article/3685542/researchers-warn-of-malicious-visual-studio-code-extensions.html
https://blog.checkpoint.com/securing-the-cloud/malicious-vscode-extensions-with-more-than-45k-downloads-steal-pii-and-enable-backdoors/
حيث أصبح الكثير من الـ Attackers يلجئ لهذا الأسلوب للتغلب على كشف برامج مكافحة الفيروسات و كذلك للأحتيال على المستخدمين.
في الختام أنصح الجميع بـأخذ الحذر و الحيطة و فحص الأدوات التي يستخدمونها مع ملحقاتها جيداً و عدم الثقة في الروابط التي تنشر هنا و هناك
و دمتم بحفظ الرحمن