رصد نسخة خبيثة من برنامج سايفون


ملخّص

قام “سيتزن لاب” بتطوير النسخة الأساسية من برنامج “سايفون” (Psiphon)، أداة تجاوز الرقابة التي خرجت من “ستزن لاب” إلى شركة خاصة كندية تحمل اسم (Psiphon inc) في العام 2008.

استطعنا في الساعات الأربع وعشرون الأخيرة تحديد هوية نسخة خبيثة تم إعادة وضعها في رزمة من برنامج تجاوز الرقابة (Psiphon 3). الملف الخبيث يحتوي على نسخة تعمل من برنامج “سايفون”، إضافة إلى برمجية خبيثة – حصان طروادة (trojan) من نوع njRAT.

عند تشغيل البرنامج، يقوم الملف الخبيث الذي تم زرعه بالتواصل مع مخدّم سطر أوامر سوري. ومن المرجّح أن هذه العملية جزء من هجمة تستهدف المعارضين السوريين عبر أداة معروفة، ولا تستهدف كل مستخدمي “سايفون”.

المثير للاهتمام أن هذه ليست المرة الأولى التي يتم فيها تحديد نسخ خبيثة من برامج تجاوز الرقابة في سياق الصراع السوري. على سبيل المثال، في حزيران/ يونيو 2013 نشرنا تقريراً يشرح كيف استطاع المهاجمون تعديل نسخة من برنامج البروكسي “فري غيت”بشكل خبيث.

هذه المذكرة الموجزة توضح شكل الملف الخبيث الذي تم زرعه وطريقة عمله، ثم تشرح كيفية الحصول على النسخ الأصلية من برنامج “سايفون” ومن ثم التحقق منها.

يقوم فريق “سايفون” بمراقبة الهجمة، وكارل كاثوريا (نائب رئيس شركة “سايفون”) يشجع جميع المستخدمين “سايفون” الجدد على التأكد والتحقق من العميل (برنامج “سايفون”). وإذا شكوا بأي أمر، عليهم زيارة psiphon.ca للحصول على النسخة الجديدة من البرنامج.

تفاصيل البرمجية الخبيثة ومظهرها

اسم الملف وأيقونته يجب أن يكونا مطابقين للنسخة الأصلية من “سايفون3”. ويعتقد أن البرمجية الخبيثة جزء من حملة نشطة.

01-comparison_icons

خصائص الملف

Filename: psiphon.exe

MD5: 28bf01f67db4a5e8e6174b066775eae0

تم رصد البرمجية الخبيثة للمرة الأولى في ليلة 11 آذار/مارس 2014 (بتوقيت المحيط الهادئ): موقع virustotal لديه الملف (binary) وتم الكشف عن وجود الملف الخبيث باستخدام 3 مكافحات فيروس من أصل 50 حتى وقت كتابة المقال.

بتحليل خصائص ملف البرنامج الخبيث وملف البرنامج الأصلي من “سايفون”، يظهر أول الأدلّة على أن البرنامج قد لا يكون كما يظهر، حيث أن الملف الخبيث غير موقّع بينما “سايفون 3″دائماً يتم توقيعه.

الملف الخبيث على اليسار والأصلي على اليمين. لاحظوا الاسم الأصلي للملف Windows.exe واختفاء تبويب “التوقيع الرقمي” في النسخة الخبيثة.

02-comparison_properties
الملف الخبيث (على اليسار) وسايفون3 الأصلي على اليمين. لاحظوا الاسم الأصلي للملف “Windows.exe” واختفاء تبويب “التوقيع الرقمي” في النسخة المزوّرة.

كما يبدو أن البرنامج تمت كتابته باستخدام لغة البرمجة VisualStudio وصيغته التنفيذية المحمولة (Portable Executable) تعتمد على لغة البرمجة “دوت نيت”.

تحليل المتواليات في الرمز الثنائي يشير إلى أمن عملاني محدود (أو معلومات خاطئة متعمدة) من قبل المهاجمين.

على سبيل المثال:

c:\users\allosh hacker\documents\visual studio 2012\Projects\allosh\allosh\obj\Debug\Windows.pdb

الإصابة والمثابرة على الأذية

فور النتفيذ، يظهر لدى المستخدم الواجهة الرسومية لبرنامج “سايفون 3″، وهو في الواقع البرمجية الخبيثة، وقد قامت بخلق نسخة تعمل من برنامج “سايفون 3” وتنفيذها إلى جانب الملف الخبيث الذي تم زرعه.

03-Psi_splash
الواجهة الرسومية لـ”سايفون3″ تظهر للضحية أثناء خلق الملف الخبيث المزروع

الملف الخبيث الذي تم خلقه من قبل psiphon.exe في مجلد المستخدم AppData\Local

C:\Users\[USER]\AppData\Local\Tempserver.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

و”سايفون 3″ تم إنشاؤه ليعمل من المجلد نفسه

C:\Users\[USER]\AppData\Local\Temppsiphon3.exe

MD5: 81287134d7aa541beae4b000d4ab3f19

الرمز الثنائي لبرنامج “سايفون 3” يعمل وتم توقيعه رقمياً. وعلى ما يبدو أن المهاجم استخدم النسخة الأحدث من برنامج “سايفون 3”

04-psi_3_tmp_sig

في غضون ذلك، tempserver.exe يجعل الإصابة دائمة وذلك بنسخ نفسه باسم chrome.exe في مجلد Windows startup ليعمل تلقائياً عند الإقلاع

C:\Users\[User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chrome.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

يقوم tempserver.exe أيضاً بنسخ نفسه باسم الملف explorer.exe ويقوم بتشغيل النسخة الجديدة منه

C:\Users\[User]\AppData\Roaming\Explorer.exe

MD5: e1f2b15ec9f9a282065c931ec32a44b0

05-explorer_properties
خصائص ملف explorer.exe (njRAT).

الملف هذا في الواقع هو تروجان njRAT

بعض السلوكيات الأخرى

الملف المزروع explorer.exe يبدأ بجمع نقرات مفاتيح لوحة المفاتيح ويكتبها في ملف موجود في المسار الذي تم زرعه فيه

C:\Users\[USER]\AppData\Roaming\Explorer.exe.tmp

هنا نرى كيف يقوم مسجل نقرات المفاتيح بالتقاط معلومات الدخول حالما يقوم المستخدم بكتابتها في موقع gmail.com عبر برنامج Internet Explorer ويقوم بكتابة هذه البيانات في ملف explorer.exe.tmp

14/03/12 iexplore Gmail – Windows Internet Explorer

dummy.login[TAP]

dummy.password

المثير للاهتمام هنا أن مسجل ضربات المفاتيح يقوم بكتابة TAP عند الضغط على زر TAB، هذا السلوك قد يساعد في تحديد الهوية.

من بين السلوكيات الأخرى، الملف الخبيث المزروع يقوم بتعديل إعدادات الجدار الناري ليسمح لنفسه بالوصول إلى الشبكة عبر إصدار الأمر التنفيذي التالي إلى netsh.exe

netsh firewall add allowedprogram “C:\Users\[User]\AppData\Roaming\Explorer.exe” “Explorer.exe” ENABLE

الأوامر والتحكم

الملف المزروع يقوم بفتح اتصال TCP مع رقم “الآيبي” 31.9.48.141 عبر المنفذ 49189 إلى مركز الأوامر والتحكم باستخدام المنفذ 1960.

سجلات الكشف عن الهوية لرقم “الآيبي” تشير إلى أنه في سوريا

inetnum: 31.9.0.0 – 31.9.127.255

netname: SY-ISP-TARASSUL

descr: Tarassul inetnet Service Provider

country: SY

التحليل

“سايفون 3” برنامج يتم استخدامه بشكل واسع ومنتج موثوق لتجاوز الرقابة، ومن غير المستغرب – إلى جانب أدوات الأمان والاتصالات الأخرى المستخدمة من قبل مجموعات المعارضة السورية – أن تتم إعادة توجيه الغرض منها على نحو خبيث.

لا نعتقد أن هذا يشير إلى هجوم واسع ضد مستخدمي أداة “3 Psiphon” في جميع أنحاء العالم، بدلاً من ذلك نشك بأنه تم تطويرها لهجمة أخرى تستهدف المعارضة. وبشكل مماثل، تم استخدام البرمجية الخبيثة njRAT بشكل واسع من قبل المهاجمين في سوريا، وبشكل مستمر تم وضعها ضمن رزمة مع برامج أخرى لا وظيفة لها أو مع برامج تعمل. الاستمرار في استهداف الاتصالات والأمن مؤذٍ ويعكس اطلاعاً واسعاً وراء استهداف المعارضة السورية عبر الهندسة الاجتماعية.

الهجمات الشبيهة بهذه يتم استكمالها عبر آخرين باستخدام محتوى سياسي أو ديني مثير للفضول، وعبر أشكال أخرى للهندسة الاجتماعية.

تم تحليل مثل هذه الهجمات على نطاق واسع من قبل زميلي في “سيتزن لاب” مورغان ماركيز بور والإبلاغ عنه إلى منظمة “الحدود الإلكترونية” وكذلك إلى العديد من الباحثين.

يمكنكم الحصول على التقرير المشترك الأخير بين مختبر المواطنة ومنظمة الجبهة الإلكترونية (كانون الأول/ديسمبر 2013) من هنا.

إجراءات يجب اتخاذها

مطورو “سايفون” الذين تم إبلاغهم عن البرمجية الخبيثة ينصحون المستخدمين القلقين باتخاذ الخطوات التالية (المحتوى مقتبس من موقعهم على الإنترنت)

1- تأكدوا من نسخة “سايفون” الخاصة بكم على نظام التشغيل “ويندوز” عبر اتباع الخطوات البسيطة التالية التي تم نشرها على موقع “سايفون”.

2- انقروا بالزر الأيمن للفأرة على أيقونة Psiphon ثم اختاروا Properties

3- يجب أن تروا تبويب “Digital Signatures”، قوموا بالنقر عليها. (إذا لم يظهر هذا التبويب فذلك يعني أنكم ربما تشاهدون خصائص الملف الخبيث وليس النسخة الأصلية)

4- قوموا بدراسة تبويب التوقيع الرقمي. هل يبدو كالصورة أدناه؟ (اضغطوا على الصورة لرؤيتها بحجم أكبر).

06-faq-authentic-windows

5- موقع سايفون” ينص على:

“يتم عرض بصمة SHA1 للمفتاح العام لشهادة البرنامج في مربع الشهادة تحت تبويب تفاصيل.”

بالنسبة لـ”الشهادة صالحة للفترة: 16 حزيران 2011 إلى 21 حزيران 2012” فإن بصمة SHA1 هي:

8f:b7:ef:bd:20:a9:20:3a:38:37:08:a2:1e:0a:1d:2e:ad:7b:ee:6d

وبالنسبة لـ”الشهادة صالحة للفترة: 21 أيار 2011 إلى 30 تموز 2014” فإن بصمة SHA1 هي:

84:c5:13:5b:13:d1:53:96:7e:88:c9:13:86:0e:83:ee:ef:48:8e:91

نسخة ويندوز من برنامج سايفون تقوم بتحديث نفسها تلقائياً، وهذه العملية تقوم تلقائياً بالتحقق من أن كل تحديث أصلي.”

6- ملاحظة: عندما تقوم البرمجية الخبيث بخلق نسخة تعمل من برنامج 3 Psiphon (مع توقيع رقمي) ستكون النسخة في مجلد يختلف عن المجلد الذي تقوم بتشغيل “سايفون” منه (C:\Users\[USER]\AppData\Local\Temppsiphon3.exe)

7- يشجع مطورو “سايفون” أي شخص مهتم بـ “سايفون 3” على إجراء الخطوات المذكورة للتأخد من أن نسخة “سايفون” لديهم أصلية، في حال الشك، بإمكانكم إرسال رسالة إلكترونية فارغة إلى get@psiphon3.com للحصول على نسخة جديدة. ولأي استفسارات موجهة إلى فريق مطوري “سايفون” يمكنكم إرسال بريد إلكتروني إلى info@psiphon.ca

إضافة إلى ذلك، في حين تتسبب الرزمة التي تتضمن البرمجية الخبيثة في الحصول على نسخة تعمل من “سايفون”، ولا يمكن تمييز الأيقونة بصرياً، فإن البرمجية الخبيثة تترك عدداً من الملفات، وجود أيّ منها يعتبر دليلاً قوياً على الإصابة. هنا عدة ملفات لأخذ الحذر منها:

C:\Users\[Your Username]\AppData\Local\Tempserver.exe

C:\Users\[Your Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chrome.exe

C:\Users\[Your Username]\AppData\Roaming\Explorer.exe

C:\Users\[Your Username]\AppData\Roaming\Explorer.exe.tmp

إذا تم العثور على هذه الملفات، يجب فصل الجهاز من الإنترنت وإعادة تهيئته (Format). بالإضافة إلى ذلك، على المستخدمين اتخاذ خطوات فورية لتأمين حساباتهم، وكذلك التواصل مع الآخرين ممن قد يكونوا تعرضوا لكشف معلومات حساسة عنهم.

إضافة إلى تلك النصائح، ننصح أيضاً، في حال كان ذلك ممكناً، أن يقوم المستخدمون باعتماد التحقق بخطوتين:

لتعلم المزيد عن تفعيل التحقق بخطوتين، قوموا بقراءة روابط الأدلّة المدرجة أدناه لكيفية تفعيلها على “فيس بوك” وبريد “جيميل” و”تويتر”.

2 Factor Tutorial for Facebook  (أو بإمكانكم قراءة الدليل بالعربي عبر موقعنا من هنا)

Enable 2 Factor for Gmail (أو بإمكانكم قراءة الدليل بالعربي عبر موقعنا من هنا)

Enable 2 Factor for Twitter

نلاحظ مع ذلك أنه من الصعب على المستخدمين في سوريا تفعيل التحقق بخطوتين. “متجر غوغل” محجوب عن السوريين من قبل شركة “غوغل” بسبب العقوبات وقوانين التصدير الحالية، مما يجعل من الصعب الحصول على تطبيق التحقق بخطوتين. وخيار استخدام الرسائل النصية القصيرة SMS بديل قد يتسبب في مخاطر غير مقبولة تعرض المستخدم للكشف والتجسس. وهذه مشكلة لا زالت قائمة.

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

4 comments on “رصد نسخة خبيثة من برنامج سايفون

اريد اقوم بفتح الفيس بوك الغير متوفر من لحكومه العراقيه

Reply
Cyber-arabs

ننصحك باستخدام TOR يمكنك الحصول على النسخة الأخيرة من هنا: http://ge.tt/5wREIca
كما يمكنك استخدام VPN مثلاً:
– Psiphon هو متوفر لويندوز واندرويد.
https://www.surfeasy.com/
http://www.expatshield.com/
http://www.vpnbook.com/
https://www.privatetunnel.com/
https://www.cyberghostvpn.com/en_us
https://www.tunnelbear.com/
https://www.okayfreedom.com/
http://www.justfreevpn.com/

Reply

ارج
و الجواب كيف افتح فيسي والغي الحضر بسرعا بسرعا رجائا وشكراااا

Reply
Cyber-arabs

لا يوجد طريقة لفك الحظر عنه حتى تقوم إدارة فيس بوك بفك الحظر عنه بعد انقضاء المدة

Reply

للتعليقات

%d مدونون معجبون بهذه: