• الرئيسة
    منظمة سام
    عودة للرئيسة
  • 23/01/2024
    •  https://dg.samrl.org/l?a5153
    سكربتات إعادة التوجيه الضارة تتسلل خفية للاختباء على المواقع المخترقة.
    الحقوق الرقمية |

    لاحظ الباحثون الأمنيون الذين نظروا في أكثر من 10000 نص يستخدمه نظام توجيه حركة مرور Parrot (TDS) تطورًا تميز بالتحسينات التي تجعل التعليمات البرمجية الضارة أكثر قدرة على التخفي ضد آليات الأمان.

    تم اكتشاف باروت تي دي أس Parrot TDS من قبل شركة الأمن السيبراني أفاست Avast في أبريل 2022، ويُعتقد أنها كانت نشطة منذ عام 2019، وهي جزء من حملة تستهدف مواقع وردبرس وجووملا WordPress وJoomla الضعيفة باستخدام كود جافا سكربت JavaScript الذي يعيد توجيه المستخدمين إلى موقع ضار.

    عندما قام باحثو أفاست Avast بتحليله، وجدوا أن باروت Parrot قد أصاب ما لا يقل عن 16500 موقع ويب، مما يشير إلى عملية واسعة النطاق.

    يقوم المشغلون الذين يقفون وراء Parrot ببيع حركة المرور إلى جهات التهديد، التي تستخدمها على المستخدمين الذين يزورون المواقع المصابة لتحديد ملفات تعريف الأهداف ذات الصلة وإعادة توجيهها إلى وجهات ضارة مثل صفحات التصيد الاحتيالي أو المواقع التي تقدم برامج ضارة.

    الحقن المتطورة
    يقدم تقرير حديث صادر عن فريق الوحدة 42 التابع لشركة بالو ألتو Palo Alto Networks نتائج تشير إلى أن Parrot TDS لا يزال نشطًا للغاية وأن مشغليه يواصلون العمل على جعل اكتشاف حقن جافا سكربت JavaScript الخاصة بهم وإزالتها أكثر صعوبة.

    قامت الوحدة 42 بتحليل 10000 نص هبوط للـ باروت التي تم جمعها بين أغسطس 2019 وأكتوبر 2023. ووجد الباحثون أربعة إصدارات متميزة تظهر تقدمًا في استخدام تقنيات التشويش.

    تساعد البرامج النصية الهبوطية الخاصة بـ Parrot في تحديد ملفات تعريف المستخدم وإجبار متصفح الضحية على جلب برنامج نصي للحمولة النافعة من خادم المهاجم، الذي ينفذ عملية إعادة التوجيه.

    وفقًا للباحثين، يتم تحديد النصوص البرمجية المستخدمة في حملات Parrot TDS من خلال كلمات رئيسية محددة في الكود، بما في ذلك " ndsj " و" ndsw " و" ndsx ".

    لاحظت الوحدة 42 أن معظم الإصابات في العينة التي تم فحصها انتقلت إلى الإصدار الأحدث من البرنامج النصي الهبوطي، وهو ما يمثل 75% من الإجمالي، مع 18% يستخدم الإصدار السابق، والباقي يستخدم البرامج النصية الأقدم.

    قدم الإصدار الرابع من البرنامج النصي التحسينات التالية مقارنة بالإصدارات الأقدم:

    - تشويش محسّن من خلال بنية التعليمات البرمجية المعقدة وآليات التشفير.
    - فهرسة المصفوفة المختلفة ومعالجتها التي تعطل التعرف على الأنماط والكشف القائم على التوقيع.
    - الاختلاف في التعامل مع السلاسل والأرقام، بما في ذلك تنسيقها وترميزها ومعالجتها.
    على الرغم من طبقات التشويش الإضافية والتغييرات في بنية التعليمات البرمجية، تظل الوظيفة الأساسية للنص البرمجي المتنقل V4 متسقة مع الإصدارات السابقة.

    ولا يزال يخدم غرضه الأساسي المتمثل في تحديد ملامح بيئة الضحية والبدء في استرداد البرنامج النصي للحمولة النافعة إذا تم استيفاء الشروط.

    فيما يتعلق بنصوص الحمولة النافعة، المسؤولة عن تنفيذ عمليات إعادة توجيه المستخدم، وجدت الوحدة 42 تسعة متغيرات. وهي متطابقة في الغالب، بصرف النظر عن التشويش البسيط وفحوصات نظام التشغيل المستهدف التي يقوم بها البعض.

    في 70% من الحالات التي تمت ملاحظتها، يستخدم ممثلو التهديد الإصدار 2 من البرنامج النصي للحمولة النافعة، والذي لا يحتوي على أي تشويش.

    تمت إضافة طبقات التشويش في الإصدارات 4-5 وأصبحت أكثر تعقيدًا في الإصدارات من 6 إلى 9. ومع ذلك، نادرًا ما يتم رؤية هذه الإصدارات في المواقع المخترقة.

    بشكل عام، يظل Parrot TDS يمثل تهديدًا نشطًا ومتطورًا ويصبح تدريجيًا أكثر مراوغة.

    يُنصح مالكو مواقع الويب بالبحث في خوادمهم عن ملفات php الخادعة، وفحص الكلمات الأساسية ndsj وndsw وndsx، واستخدام جدران الحماية لمنع حركة مرور webshell، وأدوات تصفية عناوين URL لحظر عناوين URL وعناوين IP الضارة المعروفة.

    المصدر: Bleeping ComputerPalo Alto Networks

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير