رتبها

مالك الدوسري/Malek Aldossary

9 تغريدة 212 قراءة Oct 11, 2019

من زمان ما كتبت عن مجموعات الهجوم.
سأقوم هنا بكتابة مجموعة الهجوم المتقدم بحملة تسمى"xhunt" وهي مسمية على مسمى الأنيمي الشهير "Hunter x Hunter"
لنبدأ:
مجموعة الهجوم تم ملاحظتها في شهر ٥ اي دولة الكويت وتستهدف قطاع النقل خصوصاً.
٩/١

المجموعة تستخدم برمجية تسمى "Hisoka" وهي اداة تم تصميمها مخصصة لعملية الاختراق، كما ان هناك أدوات أخرى سنتحدث عنها تم تصميمها من قبل نفس المطور.
ومن الأدوات التي قام بتطويرها "Sakabota, Hisoka, Netero و Killua." ويعود تاريخها الى بداية ٢٠١٩ وسنقوم بشرح كل اداة على حدة
٩/٢

الأدوات السابقة لا تستخدم فقط بروتوكول HTTP فقط بل تستخدم DNS والبريد الإلكتروني لنقل البيانات والتحكم والسيطرة.
أما بنسبة لعملية استخدام البريد الإلكتروني عن طريق سرقة المعلومات واستخدام EWS مع بريد الإلكتروني ورقم سري واستخدام المسودات "drafts” لنقل البيانات
٩/٣

بشكل مشفر. مما يعني ان لا يوجد اي بريد الإلكتروني يتم إرساله او استقباله.وهذا ما يمكن الأدوات اعلاة من نقل البيانات من غير اكتشافها.
سنتحدث الان عن الأدوات كل اداة بتغريدة مستقلة:
٩/٤

١- اداة Hisoka:وهي اداة مخصصة لعملية نقل البيانات من خلال HTTP,DNS بطريقة مشفرة.مع user agent مخصص.
كما تقوم الأداة بنقل البيانات من خلال البريد الإلكتروني كما ذكرت أعلاه.
٩/٥

٢- اداة EYE: تقوم بمسح وتغطيه تحركات المهاجم داخل الشبكة وهي مخصصة لمسح RDP بشكل مخصص.
٩/٦

٣- اداة Gon:مخصصة لعملية فحص المنافذ وأخذ صورة لسطح المكتب ورفع وتنزيل الملفات. والتحكم والسيطرة بشكل كامل.
٩/٧

٤- اداة Killua: من اكثر الأدوات تعقيد وهي تقوم بعملية نقل البيانات عن طريق DNS. بالطريقة التالية ف الصورة.
أ. تحويل من NUMBER الى ASCII
ب. تحويل من ASCII الى based64
ج. فك من based64 الى XOR مع مفتاح 0x53
ومن ثم تجد الأمر الذي قام المهاجم بإرساله.
٩/٨