WannaCry مجرد بداية تسريبات جديدة من حزمة vault7 عن وكالة الـ NSA لمشروع Athena/Hera v1.0
التسميات:
أخر الأخبار,
الحماية,
الهكر الأخلاقي
.png)
اليوم تسريبات جديدة من ويكيليكس عن مشروع Athena/Hera v1.0 المبني لصالح #CIA من مجموعة تسريبات vault7 عن وكالة الـ NSA
نظام او مشروع التجسس أثينا هو تطوير قوي يتعلق بمشروع Hera system للتجسس و اختراق انظمة التشغيل Windows تم تطوير المشروع بتعاون مع شركة Siege Technologies شركة مختصة بأمور الـ cyber security والحلول الامنية.
النظام بستهدف الانطمة الخاصة بـ Windows من XP لـ Win10 بلاصدارات التالية :
Windows XP Pro SP3 32-bit
Windows 7 32-bit/64-bit
Windows 8.1 32-bit/64-bit
Windows 2008 Enterprise Server
Windows 2012 Server
Windows 10.
تحليل اولي سريع عن مشروع Athena/Hera v1.0
يتكون نظام Athena من Builder و Tasker و Parser و Listening Post و Installer و RamOnly و OffLine
اول شيء بقوم الـ Builder الذي يشتغل على انطمة تشغيل Linux / Windows ومبرمج بلغة Python 3.4 على بناء حزم للاهداف المحددة حسب متطلبات الهدف الذي ينتج ملف بأسم Installer.dll لحتى يتم ارساله على جهاز الهدف لتنفيذ الاوامر علية وبعد تشغيل المثبت يقوم على تعديل سجل الهدف واسقاط ملف المضيف الافتراضي Iprcache.dll وملف ras.cache وبعدها تقوم اداة التنزيل على عمل Restart لـ Remote Access service "خدمة الوصول البعيد" وتقوم على تفعيل اربعة ملفات بامتداد AXE. الي هي "Host.dll" و "Engine.AXE" و"Command.AXE" و "Uninstall.AXE" وبعدها عملية الربط من خلال ارسال اشاره الى الـ LP الذي يعمل على معالجة الطلبات وارسال الاوامر من قبل المهاجم
ثاني شيء ألـ Tasker الذي يجهز الاوامر التي يتم ارسالها لـ الـ LP
ثالث شيء الـ Parser الذي يشتغل على نظام تشغيل Linux / Windows ومبرمج بلغة Python 3.4، يقوم على فك تشفير الـ responses التي ترجع من جهاز الهدف .
رابع شيء الـ Listening Post تم تصميم LP على خادم Apache (2.4) على نظام التشغيل Ubuntu v14.04. وايضا يستخدم لغة Python 3.4 ، مثل الواجهة التي تتعامل مع الهدف المخترق والذي يرسل الاوامر و يعالج الطلبات وهو عبارة عن واجهة موقع بسيطة ليسهل عمل المهاجم .
خامس شيء الـ Installer يشتغل على Windows x86/x64 مبرمج بلغة ++C وضيفته بعد وصوله لجهاز الهدف يقوم بتثبيت الاداة على النظام المستهدف وهو عبارة عن DLL file.
سادس شيء الـ RamOnly تعمل على Windows x86/x64 ومبرمج بلغة ++C
تنفيذ النسخة غير المزودة بالاقراص زرع ملف DLL على النظام المستهدف
سابع شيء الـ Offline مبرمج بلغة Bash و++C وبيئة العمل Windows x86/x64 و Linux يقوم على تثبيت الاداة على النظام المستهدف الوصول الفعلى باستخدام التمهيد Windows Recovery Console او linux boot
نظام او مشروع التجسس أثينا هو تطوير قوي يتعلق بمشروع Hera system للتجسس و اختراق انظمة التشغيل Windows تم تطوير المشروع بتعاون مع شركة Siege Technologies شركة مختصة بأمور الـ cyber security والحلول الامنية.
النظام بستهدف الانطمة الخاصة بـ Windows من XP لـ Win10 بلاصدارات التالية :
Windows XP Pro SP3 32-bit
Windows 7 32-bit/64-bit
Windows 8.1 32-bit/64-bit
Windows 2008 Enterprise Server
Windows 2012 Server
Windows 10.
تحليل اولي سريع عن مشروع Athena/Hera v1.0
يتكون نظام Athena من Builder و Tasker و Parser و Listening Post و Installer و RamOnly و OffLine
اول شيء بقوم الـ Builder الذي يشتغل على انطمة تشغيل Linux / Windows ومبرمج بلغة Python 3.4 على بناء حزم للاهداف المحددة حسب متطلبات الهدف الذي ينتج ملف بأسم Installer.dll لحتى يتم ارساله على جهاز الهدف لتنفيذ الاوامر علية وبعد تشغيل المثبت يقوم على تعديل سجل الهدف واسقاط ملف المضيف الافتراضي Iprcache.dll وملف ras.cache وبعدها تقوم اداة التنزيل على عمل Restart لـ Remote Access service "خدمة الوصول البعيد" وتقوم على تفعيل اربعة ملفات بامتداد AXE. الي هي "Host.dll" و "Engine.AXE" و"Command.AXE" و "Uninstall.AXE" وبعدها عملية الربط من خلال ارسال اشاره الى الـ LP الذي يعمل على معالجة الطلبات وارسال الاوامر من قبل المهاجم
ثاني شيء ألـ Tasker الذي يجهز الاوامر التي يتم ارسالها لـ الـ LP
ثالث شيء الـ Parser الذي يشتغل على نظام تشغيل Linux / Windows ومبرمج بلغة Python 3.4، يقوم على فك تشفير الـ responses التي ترجع من جهاز الهدف .
رابع شيء الـ Listening Post تم تصميم LP على خادم Apache (2.4) على نظام التشغيل Ubuntu v14.04. وايضا يستخدم لغة Python 3.4 ، مثل الواجهة التي تتعامل مع الهدف المخترق والذي يرسل الاوامر و يعالج الطلبات وهو عبارة عن واجهة موقع بسيطة ليسهل عمل المهاجم .
خامس شيء الـ Installer يشتغل على Windows x86/x64 مبرمج بلغة ++C وضيفته بعد وصوله لجهاز الهدف يقوم بتثبيت الاداة على النظام المستهدف وهو عبارة عن DLL file.
سادس شيء الـ RamOnly تعمل على Windows x86/x64 ومبرمج بلغة ++C
تنفيذ النسخة غير المزودة بالاقراص زرع ملف DLL على النظام المستهدف
سابع شيء الـ Offline مبرمج بلغة Bash و++C وبيئة العمل Windows x86/x64 و Linux يقوم على تثبيت الاداة على النظام المستهدف الوصول الفعلى باستخدام التمهيد Windows Recovery Console او linux boot
ليست هناك تعليقات:
إرسال تعليق