Browser Exploit Packs أخطر الطرق الجديدة للإختراق

BEP كاختصارآ او  Browser Exploit Pack أصبحت في الوقت الحالي من أخطر الطرق لتنفيذ Client Side Attacks من خلال ثغرات لمتصفحات الأنترنت مثل MSIE و Firefox و Opera و غيرها . و في هذه التدوينة نلقي الضوء و نفسح المجال لشرح و تفسير فكرة و مفهوم عمل الـBEP و مدى خطورتها و كيفية عملها بالتفصيل ..

من احد اسباب كتابتي لهذا الموضوع هو الانتشار الواسع هذه الأيام لإستخدامات الـBEP بشكل ملحوظ و الأعلان عن انواع و اصدارات جديدة بشكل دائم بالـ Underground Forums & Sites

اولا دعونا نعرف ما هو معنى Browser Exploit Pack و ما مدى الخطورة المترتبة على استخدامها .

Browser Exploit Pack : هو ببساطة كما يفهم من الأسم Pack اي مجموعة او pacakge من ثغرات المتصفحات “browser exploits ” فهو ببساطة عبارة عن نظام كامل او exploit system قريبا من فكرة frameworks لتنفيذ هجوم اوتمتيكي بتشغيل اكواد ضارة عن طريق ( Shellcode ) على الأجهزة المصابة لثغرات المتصفح

فكرة الـBEP هي عبارة عن تجميع شامل لجميع ثغرات المتصفحات التى قد اعلن عنها و ظهرت مؤخرا في متصفحات الأنترت و اشهرها MSIE الذي  قد عانى و مازال يعاني من ظهور ثغرات و اخطاء امنية كثيرة مقارنه بمتصفح Firefox الذي اثبت جدارته حتى الأن في ظهور ثغرات قليلة و في اصدارت محدودة جدا , و يتم ترتيب هذه الثغرات في شكل نظام هذا النظام يتم عاده برمجته بلغة الـPHP مع MYSQL و يهدف النظام لعمل Mass Exploit على الهدف بجميع الثغرات التى تصيب المتصفح او البرامج الخارجية التى لها اضافات Activex ( في حاله  Internet Explorer) او plugins في حاله متصفح الـFirefox ..

ديناميكا و اسلوب عمل الـBEP هو كالتالي :

1) تحديد نوع المتصفح الذي سوف يتم عمل عليه Mass Exploiting عن طريق تحليل HTTP Headers المرسلة من المتصفح و التى تظهر معلومات عن نوع المتصفح و اصدارة و نوع نظام التشغيل ..

مثال على ذلك جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Firefox 3.0.15 :

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.0.12) Gecko/2009070611 Firefox/3.0.15

او جهاز يعمل على نظام “Windows Xp” بأستخدام متصفح Internet Explorer 7 :

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

و يتم التعرف على الـUSER AGENT عند زيارة صفحة ويب و جلب المعلومات عن طريق إستخدام مثلا دالة  “ [‘SERVER[‘HTTP_USER_AGENT$ ” في لغة PHP و منها تبدء اول خطوة و هو تحديد الهدف نوع النظام و نوع المتصفح و اصدارة ..

2) تحديد البرامج التى تكون موجودة و مركبة على النظام مثلا وجودAdobe Reader او FOXIT او Adobe Shockwave او Realplayer , …. و يتم معرفة هذا عن طريق اختبار وجود Activex الخاص بهذة البرامج او CLSID الخاص بكل برنامج في متصفحات انترنت اكسبلولر او عن طريق plugins بمتصفح FF

و من الممكن ايضا تحديد الأصدار الخاص بكل برنامج بنفس الطريقة و معرفة رقم الأصدار بالتحديد و يتم بعدها الأنتقال لخطوة الـMass Explotiing بشكل سريع .

3) تنفيذ الهجوم على النظام عن طريق تجربة جميع الثغرات التى قد تصيب هذا النظام .. مثلا اذا كان الهدف او الضحية التى يتم التطبيق عليه كان من مستخدمين windows Xp و متصفح Internet Explorer 6 هنا سوف يكون عمل BEP اولا بمعرفة نوع النظام و الأصدار عن طريق User Agent المرسل في Http Headers المرسلة إلى الخادم و سوف يقوم النظام بتجربه جميع الثغرات التى قد تصيب اصدار هذا المتصفح مثلا كثغرات : MDAC , DirectShow (Mpeg-2), Aurora و اذا كان النظام غير مرقع لأحدى هذة الثغرات سوف يتم تنفيذ و تشغيل الـ shellcode بنجاح و يتم التسجيل في لوحة تحكم الـBrowser Exploit Pack بنجاح تشغيل الشيل كود على هذا النظام ..

قد يسألني احدكم و كيف يعلم انه تم اصابة هذا الهدف بنجاح و تطبيق عليه الثغرة و تشغيلها ؟ هل عندما يتم عمل run لـshellcode مثلا reverse backdoor او bind يتم بمعرفة اختراق هذا الجهاز ؟ ام ماذا ؟

هذة طريقة غير عملية بإلاختراق عن طريق shellcode بفتح منفذ او port في الجهاز المصاب بالثغرة ..  خصوصآ عند اختراق عدد كبير جدا يصل إلى الاف من الضحايا و من الصعب اختراقهم جميعا عن طريق bind او reverse backdoor .. لذلك يتم غالبا استخدام Download & Execute shellcode لتحميل و تشغيل ملف تنفيذي  (EXE) بشكل مباشر لملف تروجن خبيث لـBotnet او Rat او غيرها من البرامج الخبيثة ..

و يتم استخدام فكرة بسيطة جدا لمعرفة اذا قد تم اختراق الجهاز و تنفيذ الشيل كود عليه بشكل مباشر ام لا.  و هي جعل الشيل كود يقوم بعمل download لملف بأمتداد php  بدل من امتداد تنفيذي و مهمة هذا الملف ببدايته عند تشغيله  هو تحديد الأي بي الخاص بالزائر و تسجيله في قاعدة البينات الخاصة بالـBEP ان صاحب هذا الأي بي قد تم اصابته و تنفيذ الشيل كود بنجاح عليه و بعدها يتم تنفيذ كود PHP اخر بنفس الملف لعمل request او دونلود لملف الـTrojan الخبيث على النظام المصاب ..

فمثلا ببساطة نفترض اذا قام احدى الأشخاص بزياره موقع قد وضع  فيه Hidden Obfuscated Iframe Code  و الذي يقوم بتشغيل ملف التنفيذ الخاص بالـbep و بشكل لا يؤثر على ظهور الصفحة و يتم بعدها الـBEP بتحديد نوع المتصفح مثلا Internet exploer 6 و نوع النظام Windows Xp و يتم تجربة مثلا ثغرة Aurora التى ظهرت مؤخرا و كانت السبب في اخترقات حسابات جوجل الصينية لناشطين  في حقوق الأنسان و التى قد اثارت ضجة كبيرة في هذا الوقت .

و نفترض انه هذا النظام كان غير مرقع ضد هذة الثغرة و تم تشغيل الشيل كود بنجاح سوف يقوم الشيل كود بمحاولة عمل download مثلا لرابط http://localhost/bep/loader.php و ملف الـloader يقوم عند تشغيله بأخذ User_Agent و Remote_IP و تسجيلهم في قاعدة البينات بأنه صاحب هذا IP Address قد تم تنفيذ الشيل كود عليه بنجاح و يتم بعدها تنفيذ كود HEADER في لغة PHP الخاص بعمل دونلود لملف الـEXE الخبيث .

و يتم معرفة كل شئ و التحكم في هذا النظام عن طريق لوحة تحكم ايضا مبرمجة بلغة PHP و هي تظهر معلومات تفيد مستخدمها في معرفة الكثير من الأحصائيات و المعلومات .

مثلا في لوحة تحكم تظهر ما هو عدد الزوار او الضحايا الذين قامو بالدخول على الملف الرئيسي لتنفيذ الـBEP و ما هي انظمة التشغيل و كم عددها و ما هي انواع المتصفحات التى يستخدمونها و ما هو عدد الأصابات الناجحه من اجمالي الزوار أو الـunique hits التى وصلت إلى النظام ..

مثال على ذلك :

Unique Hits : 1000 – Unique Loads : 200  – Loads Percent 20%

و تعنى انه قام بالدخول 1000 زائر على الـExploit Pack و تم اصابة منهم 200 نظام  و نسبة الأصابة هي 20%  ..
و كما نرى انه استخدام الـBEP يقوم بعمل Massive Spread و بشكل سريع جدا في جلب الاف الاف من الضحايا في وقت قصير عن طريق وضع اكواد خبيثة في مواقع مخترقة و عند دخول الزوار على هذه المواقع من غير يتم تجربه الثغرات و اذا وجد ثغرة متاحة يتم تنفيذ الشيل كود و البرامج الضارة على النظام .

و من اشهر هذه الـBrowser Exploit Packs هذه الأيام و اغلبها من برمجة روسية او مبرمجين و مطورين من روسيا ..

• Fragus
• Yes Exploit System
• Elenora
• Liberty Exploit Kit
• CrimePack

و ما سبق هما أشهر الـBrowser Exploits Packs المعروفة و التى تباع بالـMalware Markets او BlackMarkets في Underground Forums بأسعار تتراوح ما بين 600$ إلى 1200$ ..

و بالطبع فرق الأسعار يختلف عن المميزات بكل واحده بلوحة التحكم و الأمكنيات التى توفرها و للتوضيح إليكم بعض الصور من اشهر هذه الـExploit Packs للتوضيح :

Fragus Exploit System :

http://www.img.malwareview.com/fragus/fragus.gif
http://www.img.malwareview.com/fragus/addfile.gif
http://www.img.malwareview.com/fragus/exploits.gif

Liberty Exploit KIT  :

http://img16.imageshack.us/img16/8213/74557697.png
http://img16.imageshack.us/img16/1177/83584668.png

Crime Pack Exploit System :

http://img163.imageshack.us/img163/4953/logind.jpg
http://img685.imageshack.us/img685/5287/mainqu.jpg
http://img87.imageshack.us/img87/9576/urlcheck.jpg

Yes Exploit System
http://img641.imageshack.us/i/auth.png
http://img171.imageshack.us/i/stats1i.png
http://img171.imageshack.us/i/stats2x.png
http://img171.imageshack.us/i/stats3.png
http://img171.imageshack.us/i/stats4.png
http://img171.imageshack.us/i/stats5.png
http://img171.imageshack.us/i/stats6.png
http://img641.imageshack.us/i/stats7.png
http://img641.imageshack.us/i/stats8.png
http://img641.imageshack.us/i/stats9.png
http://img12.imageshack.us/i/stats10t.png
http://img171.imageshack.us/i/outstats1.png
http://img171.imageshack.us/i/outstats2.png
http://img171.imageshack.us/i/outstats3.png
http://img171.imageshack.us/i/outstats4.png

كما نرى الأختلافات لكن الشكل العام او الـStructure غالبا بيكون واحد و يكون السعر أغلى حسب المميزات و الأمكانيات و نسبة و قوة الثغرات المضافة في كل BEP  و بالطبع جميع هذه الثغرات هي غير مكشوفة تماما من اي AVS لأنه كود الثغرة بيكون Fully Ofbuscated بشكل معقد صعب فهمه او تحليلة على برامج الحماية لذلك لا يتم الوثوق في برنامج الحماية فقط كوسيلة للحماية من هذه الهجمات لأنه يتصل غالبا  بجميع هذة الباكات إلى نسبة 100% Fully Undetected من برامج الحماية المشهورة ..

فينصح دائما بعمل التحديثات الدورية الازمة الخاصة بالوندوز و استخدام متصفح أكثر امانا  مثل Firefox مع استخدام NoScript Addon لمنع تشغيل اكواد الجافا الأسكربت الخبيثة و المشكوك فيها ..

ويجب  عمل التحديثات ايضا للبرامج التى يتم اضافة لها Activex او Addons في المتصفحات مثلا Adobe Reader و Foxit Reader وShockwave Flash Player

و دمتم سالمين 🙂

Reference :

• malwaredomainlist.com
• malwareurl.com
• symantec.com