برامج الفدية

تعرف على برامج الفدية التي تستهدف تطبيقات الويب

تعرف على برامج الفدية التي تستهدف تطبيقات الويب

 

تطرقنا سابقا لموضوع شيق حول أحد برامج الفدية الخبيثة التي تصيب المستخدمين للإنترنت و الكمبيوتر وهي ال Ransomware او ما تسمى برامج الفدية و تكلمنا عن انواعها و مخاطر كل نوع وطرق الحماية منها . في موضوع آخر تطرقنا لكيفية التخلص منها فيما لو تم اصابة جهازك الشخصي بأي نوع من انواع هذه البرامج الخبيثة.

اليوم سنتطرق الى موضوع مشابه و لكنه جديد و هو برامج الفدية التي تستهدف مواقع الويب لطلب فدية من صاحب الموقع. فما هي هذه البرامج, وكيف تعمل, و ما الذي تقوم به؟؟ هذا ما سنتعرف عليه في هذا المقال…

بإسم الله نبدأ,

في شهر كانون الأول من العام الماضي 2014, اي قبل ما يقارب شهرين من الآن تعرض موقع لشركة من الشركات المالية لخطأ اثناء تصفحه يظهر فشل في الإتصال بقواعد بيانات الموقع, كما استلم المسؤول عن الموقع الإلكتروني رسالة من شخص تفيد بضرورة دفع مبلغ مالي ليتم فك تشفير قواعد البيانات الخاصة بالموقع. الموقع الإلكتروني للشركة كان بسيط جدا ولكن طبيعة عمل الشركة لا تتحمل ايقاف الموقع عن العمل ولو لفترة بسيطة او حتى الإعلان عن حصول عملية اختراق.

بعد اجراء عمليات الفحص من قبل إحدى الشركات الأمنية المختصة تم الكشف عن الأمور التالية :

– الموقع الإلكتروني للشركة المالية اخترق قبل اكثر من ستة اشهر, و تم التعديل على مجموعة من السكريتات على خادم الويب لتقوم بتشفير اي بيانات قبل ان يتم اضافتها الى قاعدة البيانات, و فك تشفيرها قبل ان يتم عرضها على الموقع. الامر الذي لم يكتشف من قبل متصفحي او مسؤولي الموقع لأن هذه العملية تتم بشكل خفي و غير مرئي.

– تم تشفير الحقول الهامة فقط داخل الجداول في قاعدة البيانات وليس جميع الحقول و الذي يعتقد بأن سببه يعود حتى لا يتم التأثير على اداء الموقع.

– تم تشفير جميع البيانات السابقة الموجودة داخل قاعدة البيانات اثناء عملية الإختراق.

– المفتاح الخاص بفك التشفير تم تخزينه على خادم للمخترق و يتم فقط الإتصال به عن طريق بروتوكول HTTPS وذلك تفاديا لأن يتم اعتراض الطلبات و تحليلها للحصول عليه.

– خلال الستة أشهر كان المخترقين يعملون بشكل خفي وذلك حتى يتم اخذ نسخ احتياطية من قاعدة البيانات المشفرة و حتى يتم الكتابة فوق النسخ السابقة من قواعد البيانات.

– قام المخترقون في النهاية بحذف المفتاح الخاص بالتشفير و فك التشفير من خادمهم الخاص مما أدى الى ان قاعدة البيانات اصبحت غير فعالة و اصبح الموقع خارج الخدمة, و قام المخترقون بعدها بإرسال رسالة بريد الكتروني للمسؤولين عن الموقع لكي يقوموا بدفع فدية لفك تشفير قواعد البيانات.

ذكر الباحثون في تقريرهم بأن هذه الحالة التي تم دراستها هي حالة استهداف فردية متطورة لشركة بعينها و لكنهم في الأسبوع الماضي وجدوا حالة مشابهة, هذه المرة في نظام منتديات phpBB يعمل لدى احد عملائهم. حيث تعرض النظام للتوقف واستقبل مسؤول الموقع بريد الكتروني يبتزهم بمبلغ مالي.

وجد حينها بأن المنتدى لا يعمل الا لمدراء المنتدى و المشرفين عليه فقط, اما باقي زبائن الشركة المستهدفة قد توقف المنتدى عن العمل لديهم, ويعتبر هذا المنتدى هو الوسيلة الاساسية للتواصل و الدعم الفني التي تقدمه الشركة المستهدفة لزبائنها.

عندما قامت الشركة الأمنية بتحليل الحالة وجدت في البداية بأن اصدار المنتدى كان اصدار phpBB 3.1.2 وهو آخر اصدار صدر بتاريخ 25 تشرين ثاني من عام 2014. حيث كان المنتدى يعمل بشكل طبيعي الا ان عمليات التحقق من المستخدمين لتسجيل الدخول للمنتدى لم تكن تعمل لزبائن الشركة. وجد حينها بأنه قد تم التعديل على الشيفرة المصدرية الخاصة بالمنتدى لتشفير وفك تشفير البريد الإلكتروني و كلمة المرور للمستخدمين بين تطبيق الويب و قاعدة البيانات الخاصة بالمنتدى.

حيث قام المخترق بالتعديل على الدوال والملفات التالية :

– ملف factory.php : حيث يحتوي هذا الملف على دالة تدعى sql_fetchrow() , فقد تم التعديل على هذه الدالة بحيث ان نتيجة تنفيذ جملة ال sql الخاصة بإرجاع بيانات المستخدم يتم التعديل عليها بحيث يتم فك تشفير كل من بريد المستخدم و كلمة المرور وذلك كما يلي :

الدالة قبل التعديل :

ransomweb1

الدالة بعد التعديل :

ransomweb2

– ملف functions_user.php : حيث تم التعديل على الدالة الخاصة بإضافة مستخدم جديد للنظام والتي تدعى user_add وذلك لكي تقوم بإضافة بيانات الدخول (البريد الإلكتروني و الكلمة السرية للمستخدمين) بشكل مشفر. بحيث ان التعديل تم على المصفوفة التي تسمى $sql_ary و ذلك كالآتي :

قبل التعديل :

ransomweb3

بعد التعديل :

ransomweb4

– ملف ucp_activate.php : حيث تم التعديل على المصفوفة $sql_ary الموجودة في الدالة main() بحيث تقوم بتشفير كلمة المرور للمستخدم و ذلك كما يلي :

قبل التعديل :

ransomweb5

بعد التعديل :

ransomweb6

– الملف ucp_profile.php : حيث تم التعديل على الكود البرمجي الذي يقوم بتعديل بيانات المستخدم بحيث يقوم بتشفير كل من البريد الإلكتروني و كلمة المرور في الدالة main() وذلك كما يلي :

قبل التعديل :

ransomweb7

بعد التعديل :

ransomweb8

– ملف config.php : تم اضافة class بإسم Cipher على الملف و التي تقوم بتشفير و فك تشفير البيانات (البريد الإلكتروني و كلمة المرور), بحيث يقوم بالحصول على مفتاح التشفير و فك التشفير من خادم خاص بالمخترق عنوان الإنترنت الخاص به هو 103.13.120.108 وذلك عن طريق طلب الملف الذي يحتوي على المفتاح بإستخدام بروتوكول https.

الكود الذي تم اضافته :

ransomweb9

بالإضافة الى التعديلات التي تم العثور عليها على الشفرة المصدرية لنظام ادارة المنتديات phpBB لهذه الشركة, فقد تم العثور أيضا على ملفي php عبارة عن برامج backdoor, و التي تسمح للمهاجم ان يقوم بزيارة واحدة لكم من هذين الملفين وذلك للتعديل على اي منتدى من نوع phpBB تم اختراق خادم الويب الخاص به.

الملف الاول يعتبر ملف خاص لإضافة ال class التي تدعى Cipher وهي المسؤولة عن عمليات التشفير و فك التشفير لبيانات المستخدمين (البريد الإلكتروني و كلمة المرور), اما الملف الثاني فيقوم بعمل تحديث على بيانات المستخدمين (البريد الإلكتروني و كلمة المرور) الموجودين أصلا قبل عملية الإختراق بحيث يتم تشفيرها و تخزينها مشفرة داخل قاعدة البيانات, و من ثم يقوم بإستبدال ملفات ال php التي تم ذكرها سابقا بالملفات المعدله.

محتويات الملفين كالآتي :

الملف الأول

ransomweb10

الملف الثاني

ransomweb11

تبين لاحقا بعد عمليات الفحص و التحقيق لهذه الحالة بأن عملية الإختراق و رفع البرامج الخبيثة تمت بواسطة بيانات دخول مسروقة لخدمة FTP.

من ناحية أخرى عندما تم فحص الملفين الخبيثين بواسطة برامج فحص الفيروسات فلم يتم التعرف عليها بأنها فايروسات او ملفات خبيثة من أي مكافح فايروسات و الروابط التالية تبين نتيجة الفحص لها :

رابط فحص الملف الأول

رابط فحص الملف الثاني

يذكر بأن المخترقين انتظروا حوالي الشهرين لكي يقوموا بحذف المفتاح المخصص للتشفير و فك التشفير من الخادم الخاص و عندها لم يتمكن اي شخص من الدخول الى النظام.

هذه البرامج الخبيثة مثلها مثل اي نوع آخر من البرامج الخبيثة, لها نقاط قوة و نقاط ضعف و هي كالآتي :

ransomweb13

بشكل مختصر, تعتبر هذه البرامج الخبيثة و التي تم اطلاق اسم Ransomweb او برامج الفدية لتطبيقات الويب عبارة عن برامج خبيثة تقوم بالعمل بين تطبيق الويب و قاعدة البيانات بحيث تقوم بتشفير البيانات و تخزينها في قاعدة البيانات و من ثم عند الإستعلام من قاعدة البيانات تقوم بفكها و اظهارها للمستخدمين بشكل طبيعي بحيث تعمل عن طريق مفتاح تشفير يتم التحكم به على خادم خاص بالمخترق. و يتم استغلالها بعد فترة من قبل المخترق عن طريق حذف المفتاح الخاص بفك التشفير عن خادمه بحيث يصبح الموقع غير قادر التعامل مع قاعدة البيانات, و بالتالي طلب فدية او ابتزاز ملاك المواقع.

الصورة التالية توضح كيف تعمل هذه البرامج الخبيثة
website-backdoor-database-crypt

باعتقادي ستكون هذه الانواع من البرامج الخبيثة هي النوع الجديد في المرحلة المقبلة و التي ستؤثر و تؤدي الى تخريب عدد كبير من المواقع الإلكترونية, لذا كونوا على حذر منها اذا كنتم من اصحاب المواقع الإلكترونية.

اتمنى ان يكون هذا الموضوع الجديد قد لاقى اعجابكم و اتمنى ان تأخذوا الحيطة و الحذر و جميع الإحتياطات اللازمة للحماية من مثل هذه الأنواع من البرامج الخبيثة.

لا تنسوا اذا اعجبكم المقال ان تشاركوه للأصدقاء المهتمين بتطوير مواقع الويب و بإدارة الخوادم..

المراجع : مدونة شركة High-Tech Bridge المتخصصة في اختبار الإختراق و امن المعلومات.

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

3 تعليقات

  1. شكرا لك على هذا الموضوع الرائع والتطور الدائم انشاء الله

  2. شكرا اخي محمد عن المقال الرائع و االمليئ باكواد ال php

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

16 + 16 =