[ شرح ] كشف تلغيمة Pastebin بسرفر NJRAT خاص دون فتحها

تم تحميل الصفحة في 0,8011905 ثانية
كشف تلغيمة Pastebin بسرفر NJRAT خاص دون فتحها
إنضم
5 أغسطس 2011
المشاركات
440
الإعجابات
365
النقاط
63
الإقامة
0x400000
السلام عليكم
امتنى ان تكونوا بخير
هذا اول موضوع لي في منتدى كشف التلغيم
اليوم معي شرح لكشف تلغيمة مبتكرة بفكرة جديدة
نبدأ بالشرح
اولا ساشرح لكم الوضعية
التلغيمة هذه وجدتها من موقع Pastebin بعدما كنت اتجول هناك
توجد مجموعة من التلغيمات الآخرى اكثرها مشفر
هذا ما سيظهر عند الذهاب للتلغيمة بـ raw



اخفيت الرابط تجنبا للمشاكل
الظاهر انه تشفير Base64
الاكثر من ذلك انه ملف تنفيذي
عرفت ذلك من الباتيرن TV فهو سيفك تشفير الى القيمة المعروفة MZ
نفك التشفير
طبعا الملف تنفيذي كما يظهر



الآن نفتحه بـ PEiD



الملف مكتوب بالدوت نت
ساحاول تمريره الى ILSpy
نشاهد الكلاسات



هنا يظهر شيء مريب



يظهر كانه نص Base64 ايضا
نعم هو نص مشفر بخوارزمية Base64
الباتيرن في الآخير يظهر ذلك



نكمل في استكشافنا للكلاسات



هنا ساشرح بعض الاشياء في الكود
استعمال Class1 هنا ما هو الا اخفاء للنوع string
عوض استعمال string مباشرة استعمل Class1
الرمز @ في بداية اسم المتغير يدل عن ذلك
تم ادراجه حتى لا يتم الاخذ بعين الاعتبار الـ Escape Chars
يبدو ان المبرمج يعرف ماذا يفعل
هنا ايضا يتم استدعاء ملف ما ( سنكتشفه لاحقا )
و ذلك بعد فك تشفيره بـ Base64 ثم فك ضغطه بـ Unzip
هنا وصلنا الى استخراج الملف
يمكن عمل ذلك بعدة طرق
يمكن نسخ الاكواد الى Visual Studio و فك التشفير عبر اضافة دالة WriteAllBytes
يمكن كذلك وضع BreakPoint في dnspy مباشرة قبل دالة الاستدعاء
لكن ساختار الطريقة الاسهل
تابعوا معي
قبل اي شيء لن اهتم هنا بعملية لمدة 2 ثواني و نصف
هذا فقط سيؤخر اشتغال السرفر من الـ Main
هنا دوال التحميل و الشغيل من الذاكرة



ساشرح كيفية عملها بسرعة
لدينا "xad"
يتم عمل Reaplace لـ x بـ Lo لتصبح Load
نفس الشيء بالنسبة لـ EntryPoint و Invoke
الآن امامنا دالة Unzip



كما قلت لكم سابقا سافك تشفيرها بالطريقة الابسط
يمكن هنا ايضا عمل BP في dnspy و استخراج البايتات
نقطة التوقف يتم وضعها مباشرة في return
الابسط هنا هو فك تشفير Base64
و اضافة الناتج الى ملف zip جديد
هذا ما ساقوم به
هنا لن يظهر اي باتيرن معروف لكنه ملف zip سليم



نفك الضغط عليه
تم فك الضغط بنجاح اي نحن في الطريق الصحيح



نفتح الناتج بالـ Hex



بوووم
ظهرت القيمة MZ ثانية
نحمل الملف الى PEiD مرة آخرى



وجدنا بيانات السرفر في ILSpy



يبدو انها نسخة NJ خاصة
تظهر القيمة 0.11G
الغريب هنا ان الملف حجمه 32 KB فقط



الملف مكشوف من 48 حماية اكثرها بقيم Heuristic
الى هنا نكون قد وصلنا لنهاية الشرح
شكرا على المتابعة
و نلتقي في شرح جديد
 
إنضم
8 سبتمبر 2013
المشاركات
7,473
الإعجابات
11,140
النقاط
168
الإقامة
JORDAN
سوف اعلق بشكل احترافي على الموضوع اخي اذا تسمحلي
التلغيمة ليست عظيمة ولا مبتكرة بكل امانة اخي @MSF
اولاً مما هو واضح ان الملف المشفر الاول هو مرتبط بداونلودر بتشفيرة سطحية (اول تلغيمة لي كان بهذه الطريقة حتى احافظ على الضحايا عند انكشاف السيرفر مستقبلاً)
ثانياً لن تحتاج الى نسخ الملف الى موقع base64decode.org و انما تحتاج الى اي برنامج يحول الـقيم الى bytesArray ثم يكتب الملف ملف .exe بكل بساطة
ثالثاً و هو نقطة الادخال المستخدمة كما ترى هو استخدم callByName و هذه متوفرة فقط في لغة Vb.net مما يعني انك لو صعدت الى المكاتب المستدعاة تجد microsoft.visualbasic
رابعاً و هو الاخير .. بمجرد انك عرفت مكان نقطة الادخال سوف تعرف ان هنالك bytesArray سوف يتم عمل load لها و في الصورة يتضح انها مخزونة في المتغير لا اظنه ظاهراً في الصورة

مجرد استبدل نقطة الادخال بـFIle.WriteAllBytes("server.exe" , bytesArrayVar)


الخلاصة : التلغيمة هي vb.net عادية لكن المبتكر الوحيد هو شرحك لها

من افضل الشروحات التي رأيتها بخصوص تحليل ملف ..
بكل امانة اذا كنت سأنصح احد بموضوع يبين بعض طرق التحليل سوف انصحه بهذا الموضوع بالتأكيد .. كلامي مجرد اضافات لن اعرف ان انقص من قيمة الموضوع حتى لو حاولت
جازاك الله خير فعلاً على ذلك ... اسمح لي ان انقله الى منتدى خارجي لتعم الفائدة إن شاء الله .. مع ذكر اسم صاحبه اكيد


بالنسبة الى Nj 0.11 هي نسخة معدلة طرحت منذ فترة من طرف احد الاخوة على يوتيوب اظن .. يقال انها نسخة جيدة و فيها خصائص كثيرة اضافية .. الله اعلم
 
الإعجابات: MSF
إنضم
5 أغسطس 2011
المشاركات
440
الإعجابات
365
النقاط
63
الإقامة
0x400000
مشكور على الرد اخي @๖ۣۜA M E E R
صحيح ما قلته فقد اغفلت التفصيل الذي ذكرته
قلت كل شيء تقريبا و لم تترك لي شيء اضيفه
بالنسبة لقولي على انها مبتكرة قلت ذلك فقط لانها تستعمل خوارزمية GZip
 
إنضم
8 سبتمبر 2013
المشاركات
7,473
الإعجابات
11,140
النقاط
168
الإقامة
JORDAN
مشكور على الرد اخي @๖ۣۜA M E E R
صحيح ما قلته فقد اغفلت التفصيل الذي ذكرته
قلت كل شيء تقريبا و لم تترك لي شيء اضيفه
بالنسبة لقولي على انها مبتكرة قلت ذلك فقط لانها تستعمل خوارزمية GZip
نعم اخي .. و انا كتبت الرد فقط اضافة الى كلامك .. لان الشرح هو تحليل و ليس تلغيم
و انت شرحت التحليل بشكل لن اكون بهذا الصبر على كل هذا التفصيل بكل امانة .. ابدعت
الله يجزيك كل خير
 
الإعجابات: MSF

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 1 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل