هل تعلم أن Telegram IM أصبح أكثر وأكثر شعبية كأداة لجعل بعض الأشياء غير قانونية؟
هناك الكثير من القنوات والبوتات المخفية ذات المحتوى غير القانوني ومحتوى القرصنة. يمكنني أن أقترح عليك
مقالًا يتم فيه وصف بعض هذه النقاط بعمق.
لكن نقطة اهتمامي هي استخدام Telegram كأداة
الوصول عن بعد (RAT) .
أرى مجالًا كبيرًا محتمل للمهاجمين في هذا لسببين على الأقل:
- يعد Telegram منتجًا قانونيًا تمامًا ولا يبدو أنه عامل مريب بالنسبة لبرامج مكافحة الفيروسات
- هناك الكثير من المعلومات حول "كيفية استخدام Telegram كـ RAT" مع إرشادات مفصلة حول Youtube وموارد الإنترنت الأخرى
لذلك ، يمكن لأي شخص تنزيله من Github أو في أي مكان آخر ومحاولة استخدام المراسلة الفورية كـ RAT
وإليك بعض أدلة الفيديو:
حسنًا ، الآن ترى - ليس من الصعب تنزيل RAT المستند إلى Telegram وفهم كيفية استخدامه. وعلاوة على ذلك - تقريبا كل هذه المشاريع استخدام رمز بيثون. لذلك ، يمكن لأي شخص تجميع رمز python إلى
.exe باستخدام أدوات مثل pyinstaller أو نوع من هذا.
في النهاية ستحصل -
BOOM! - أداة RAT قابلة للتنفيذ ، والتي لا يمكن اكتشافها لمضادات الفيروسات!
بارد هه؟
فيما يلي بعض إمكانيات
mvrozanti / RAT-via-Telegram على سبيل المثال:
arp - display arp table capture_pc - screenshot PC cmd_exec - execute shell command cp - copy files cd - change current directory delete - delete a file/folder download - download file from target decode_all - decode ALL encoded local files dns - display DNS Cache encode_all - encode ALL local files freeze_keyboard - enable keyboard freeze unfreeze_keyboard - disable keyboard freeze get_chrome - Get Google Chrome's login/passwords hear - record microphone ip_info - via ipinfo.io keylogs - get keylogs ls - list contents of current or specified directory msg_box - display message box with text mv - move files pc_info - PC information ping - makes sure target is up play - plays a youtube video proxy - opens a proxy server pwd - show current directory python_exec - interpret python reboot - reboot computer run - run a file schedule - schedule a command to run at specific time self_destruct - destroy all traces shutdown - shutdown computer tasklist - display services and processes running to - select targets by it's name update - update executable wallpaper - change wallpaper
يمكن للمهاجم
تخصيص RAT (تغيير الرمز ، إضافة شهادة ، إلخ) ، ثم تجميعها وإرسالها كمرفق بريد إلكتروني تصيّد. ما التالي؟ أي شيء!
البحث عن الملفات (حتى على محركات أقراص الشبكة) ، وتنفيذ التطبيقات والبرامج النصية ، وتحميل المستندات وتنزيلها ، وتلقي keylogs ، بلاه بلاه -
أي شيء!بالطبع - يحتاج المهاجم إلى محطة العمل المصابة لديه إمكانية الوصول إلى الإنترنت. لكنني أعتقد أنها ليست مشكلة كبيرة لبعض الأسباب.
حسنًا ، السؤال الرئيسي هو كيف يتم اكتشاف Telegram RAT قد تم استخدامه أم أنه يستخدم الآن في محطة العمل؟
1. البرامج الضارة الحديثة التي أنشئت في الغالب لاستغلال طويل الأجل للبنية التحتية لتكنولوجيا المعلومات. لذا ، حاول إيجاد نقاط مقاومة. الطريقة الشائعة هي التحقق من مفاتيح التشغيل التلقائي:
في لقطة الشاشة هذه ، ترى تطبيقًا يحتوي على رمز Adobe ولكن له اسمًا وموقعًا غير
قياسيين - تحقق من ذلك على خدمة
Virustotal أو الخدمات ذات الصلة إذا وجدت نوعًا من هذا
التطبيق .
بالمناسبة - هذه هي نتائج فحص الملف التنفيذي RAT المستندة إلى Telegram. كما ترى ، اكتشف جزء بسيط فقط من المحركات أنه مشبوه.
2. نظرًا لوجود شيء غريب في التشغيل التلقائي ، فإن الخطوة الواضحة التالية هي التحقق من قائمة العمليات. حسنًا ، لقد وجدنا هنا هذه العملية المشابهة لـ Adobe مع جلسة شبكة نشطة:
حسنًا ، دعنا نتحقق من عنوان IP هذا ...
و- BOOM! - إنه عنوان
IP Telegram
3. كيفية معرفة سلوك هذه العملية؟ حاول استخدام
Process Monitor !
للحصول على عرض أكثر راحة ، لا تنس استخدام المرشح حسب عمليات التشغيل ونظام الملفات:
يمكنك رؤية الكثير من العمليات المختلفة على الملفات والمجلدات وبعض أسماء الملفات تعطينا معلومات مهمة حول وظائف العملية (win32clipboard.pyd).
علاوة على ذلك ، لاحظنا أن العملية النشطة تخلق عددًا من ملفات الثعبان المؤقتة - يمكننا استخدام هذه المعرفة بشكل أكبر ، أثناء عملية التحقيق.
4. على سبيل المثال ، طريقتان لفهم تاريخ بدء RAT لأول مرة:
حسنًا ، لديك الآن التاريخ المحدد ، وقد تستمر في التحقيق لفهم من أين جاء هذا الملف: تحقق من سجل المتصفحات ، وتأكد من فتح مرفقات البريد الإلكتروني وتنفيذها في هذه الفترة وما إلى ذلك.
شكرا لك مرة أخرى على الاهتمام! سأعود قريباً مع أشياء جيدة جديدة!