• [قرار إداري] سيتم حذف جميع الأعضاء المسجلين الجدد الذين اختاروا تسمية عشوائية وليس لديهم صورة رمزية بعد 7 أيام.
  • [قرار إداري] يُمنع منعًا باتًا الرد بلغة غير العربية، أو بردود عشوائية، أو بالاكتفاء باقتباس الموضوع فقط. مخالفة ذلك قد تؤدي إلى حظر العضوية.
  • 👋 أهلاً وسهلاً بك أخي الزائر، يشرفنا انضمامك إلى مجتمعنا! التسجيل من هنا

[شــرح] تشفيرة خبيثة تستخدم توقيعًا رقميًا مزيفًا

Alotaibi

Alotaibi

المشرف العام
عضوية موثوقة
إنضم
9 أكتوبر 2024
المشاركات
5,935
مستوى التفاعل
35,627
النقاط
3,270
العمر
56
الإقامة
تكاوزن العربية
مجموع اﻻوسمة
3
الجنس
ذكر
المشاهدات: 21 | الردود: 4



تشفيرة خبيثة تستخدم توقيعًا رقميًا مزيفًا

prevent-phishing-attacks.jpg



من خلال تحليل النص الذي شاركته والبحث في المصادر المتاحة،
يمكن تقديم المعلومات التالية حول العينة المذكورة
وأهمية تجميد النظام في مثل هذه الحالات:​


🦠 1. طبيعة العينة الخبيثة وتوقيعها الرقمي المزيف

  • العينة المشار إليها (والمحتمل أن تكون مرتبطة بملف SignedConnection.zip من نتائج البحث) تستخدم توقيعًا رقميًا مزيفًا لخداع الضحايا وجعل الملف يبدو شرعيًا. هذه الملفات تحتوي غالبًا على برامج ضارة (مثل secur32.dll وQt5Core.dll) تستخدم تقنيات مثل DLL Side-Loading لتحميل شيفرات خبيثة[ citation:2].
  • التوقيع الرقمي المزيف يُستخدم للتلاعب بالثقة، حيث يظهر الملف كأنه صادر من مصدر موثوق (مثل Microsoft) بينما في الواقع يتم تنفيذ عمليات ضارة مثل إنشاء ملفات جديدة، تعديل التسجيل، والاتصال بخوادم C2[ citation:2][ citation:8].
  • في هجمات مشابهة، تم توثيق استخدام شهادات رقمية مقلدة (مثل تلك التي تحاكي شهادات Qi'anxin) لنشر برامج ضارة تستهدف عملاء البلوك تشين[ citation:8].

☁️ 2. كشف العينة بواسطة منصة Qianxin Threat Intelligence

  • منصة Qi'anxin Intelligence Sandbox (المتاحة عبر: https://sandbox.ti.qianxin.com) تُستخدم لاكتشاف وتحليل السلوك الخبيث للملفات المشبوهة. هذه الأداة قدمت تقريرًا مفصلاً عن عينة SignedConnection.zip، حيث حصلت على درجة恶意 10/10 مع اكتشاف سلوكيات مشبوهة مثل:
    • إنشاء ملفات في مسارات نظام مخفية (مثل %LocalAppData%\Microsoft\WindowsInsights\workstation).
    • تعديل تسجيل النظام لإنشاء نقطة ثبات (Persistence) عبر HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
    • الاتصال بخوادم C2 عبر نطاقات مشبوهة مثل xboxapicenter.com وcareers2find[.]com[ citation:2].
  • المنصة تعتمد على تحليل السلوك الديناميكي (التشغيل في بيئة معزولة) والكشف السحابي، مما يسمح بتحديد التهديدات حتى لو كانت موقعة رقميًا[ citation:2][ citation:8].

🛡️ 3. أهمية تجميد النظام في الحماية من مثل هذه العينات

  • تجميد النظام (مثل استخدام برامج Deep Freeze أو ToolWiz Time Freeze) يُعيد النظام إلى حالته الأصلية بعد كل إعادة تشغيل، مما يمحو أي تغييرات ضارة قد تحدث بسبب تشغيل العينات الخبيثة[ citation:5][ citation:7].
  • هذه التقنية مفيدة尤其 في الأ environments ذات الاستخدام العام (مقهى إنترنت، معامل المدارس) حيث يتم تشغيل ملفات غير موثوقة بشكل متكرر[ citation:5][ citation:10].
  • برامج التجميد مثل Deep Freeze و Reboot Restore Rx توفر حماية فورية عن طريق:
    • منع التغييرات الدائمة على قرص النظام (مثل ملفات النظام والتسجيل).
    • إزالة البرامج الضارة تلقائيًا بعد إعادة التشغيل[ citation:5][ citation:7].
  • ومع ذلك، تجميد النظام ليس حلًا كاملاً ضد البرامج الضارة المتقدمة التي قد تستهدف ذاكرة النظام أو البيئات غير المجمدة (مثل مساحات ThawSpace في Deep Freeze)[ citation:3][ citation:7].

⚠️ 4. تحذيرات مهمة للخبراء الذين يجربون هذه العينات

  • تحذير شديد: تجربة هذه العينات يجب أن تقتصر على خبراء الأمن السيبراني في بيئات معزولة تمامًا (مثل المختبرات الافتراضية Virtual Machines) مع إيقاف أي اتصال بالشبكة الداخلية أو الإنترنت[ citation:2].
  • العينات الموثقة في نتائج البحث (مثل SignedConnection.zip وtransfer screenshot 2025.5.31.zip) تُظهر سلوكيات خطيرة مثل:
    • سرقة البيانات والاتصال بخوادم C2.
    • استخدام تقنيات التخفّي (Obfuscation) وحقن الشيفرات في الذاكرة[ citation:2][ citation:8].
  • حتى مع تجميد النظام، قد تستطيع بعض البرامج الضارة المتقدمة البقاء في الذاكرة مؤقتًا أو استغلال ثغرات في برنامج التجميد نفسه[ citation:7].

💡 5. نصائح إضافية للحماية من التهديدات المماثلة

  • استخدام أدوات الكشف السحابي (مثل Qi'anxin Threat Intelligence Platform) للتحقق من الملفات المشبوهة قبل تشغيلها[ citation:2][ citation:8].
  • تعطيل التوقيعات الرقمية المزيفة عبر تكوين نظام Windows لرفض الشهادات غير الموثوقة أو الموقعة ذاتيًا[ citation:6].
  • تحديث برامج مكافحة الفيروسات لديها قدرات على كشف التوقيعات المزيفة وتقنيات الـ DLL Side-Loading.
  • في البيئات العامة، دمج تجميد النظام مع طبقات حماية إضافية (جدران نارية، مراقبة الشبكة)[ citation:5][ citation:10].

💎 خلاصة​

العينة المذكورة تمثل تهديدًا متقدمًا يستخدم التوقيع الرقمي للتخفي،
وكشفها يتطلب أدوات متخصصة مثل منصة Qi'anxin.
تجميد النظام يمكن أن يحد من الأضرار ولكنه ليس حلًا وحيدًا.
الخبراء فقط يجب أن يتعاملوا مع such العينات في بيئات آمنة ومعزولة.
للاستزادة، يمكن الرجوع إلى تقارير Qi'anxin Threat Intelligence Center[ citation:2][ citation:8].
لمزيد من التفاصيل التقنية، يمكنك الوصول إلى تقرير Qi'anxin Intelligence Sandbox
حول عينة SignedConnection.zip من هذا الرابط.
 
  • أعجبني
التفاعلات: Jamal و أبو الريحان
Alotaibi

Alotaibi

المشرف العام
عضوية موثوقة
إنضم
9 أكتوبر 2024
المشاركات
5,935
مستوى التفاعل
35,627
النقاط
3,270
العمر
56
الإقامة
تكاوزن العربية
مجموع اﻻوسمة
3
الجنس
ذكر
كيفية التعامل مع العينات الخبيثة وأهمية تجميد النظام، مع بعض التوصيات الإضافية:

📌 1. نصائح عامة للتعامل مع العينات الخبيثة

  • استخدام بيئات معزولة (Virtual Machines): يُنصح دائمًا بتشغيل العينات المشبوهة في بيئات افتراضية معزولة (مثل VMware أو VirtualBox) مع تعطيل الاتصال بالشبكة لتجنب أي ضرر محتمل للنظام الرئيسي.
  • أدوات التحليل الديناميكي: استخدام أدوات مثل Cuckoo Sandbox أو Joe Sandbox لتحليل سلوك الملفات الخبيثة تلقائيًا وتقديم تقارير مفصلة.
  • التوثق من التوقيعات الرقمية: يمكن استخدام أدوات مثل Sigcheck (من Sysinternals) للتحقق من صحة التوقيعات الرقمية للملفات. مثال:
    text
    sigcheck -a [مسار الملف]
  • مراقبة النظام في الوقت الحقيقي: استخدام أدوات مثل Process Monitor أو Wireshark لمراقبة سلوك الملف أثناء التشغيل (مثل اتصالات الشبكة أو تغييرات التسجيل).

📌 2. أهمية تجميد النظام في مثل هذه الحالات

  • كما ذكر سابقًا، يُعد تجميد النظام (مثل استخدام Deep Freeze أو ToolWiz Time Freeze) حلاً فعالاً لحماية النظام من التغييرات الدائمة التي قد تسببها العينات الخبيثة. ومع ذلك، يجب التأكد من:
    • تحديث برنامج التجميد regularly لتجنب الثغرات الأمنية.
    • عدم تخزين أي بيانات مهمة على القرص المجمد (استخدام أقراص منفصلة أو مساحات غير مجمدة).

📌 3. كيفية العثور على شروحات أو فيديوهات متعلقة

  • منصات متخصصة: يمكن البحث على منصات مثل YouTube أو Forum Zyzoom باستخدام كلمات مفتاحية مثل:
    • "تحليل البرامج الخبيثة في بيئة معزولة".
    • "كيفية استخدام Deep Freeze لحماية النظام".
    • "كشف التوقيعات الرقمية المزيفة".
  • المنتديات الأمنية: يُعد منتدى زيزووم للأمن والحماية مصدرًا جيدًا للمناقشات المتعلقة بالحماية من التهديدات الحديثة.
  • القنوات المتخصصة: بعض القنوات على YouTube تقدم شروحات عملية لتحليل البرامج الضارة (مثل قناة "Cyber Security" أو "Malware Analysis").

📌 4. تحذيرات مهمة

  • عدم تجربة العينات على النظام الرئيسي: حتى مع تجميد النظام، قد توجد برامج ضارة قادرة على استغلال ثغرات في البرنامج أو البقاء في الذاكرة.
  • الاعتماد على مصادر موثوقة: التأكد من أن أي شروحات أو أدوات مستخدمة مصدرها موثوق (مثل Qi'anxin أو منتديات أمنية معروفة).

💎 خلاصة​

للحصول على شروحات أو فيديوهات مفصلة، يمكنك البحث باستخدام الكلمات المفتاحية المذكورة أعلاه على المنصات المتخصصة. إذا كنت تبحث عن تحليل محدد لعينة معينة، يُفضل التواصل مع خبراء الأمن السيبراني أو المنصات المتخصصة مثل Qi'anxin Threat Intelligence .
 
  • أعجبني
  • Love
التفاعلات: mohammmeda, propre987@, cimaalarab و 8 آخرين
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
مواضيع مماثلة المنتدى التاريخ
النوميدي [شــرح] كيف تكتشف برمجيات "كيلوجر" الخبيثة وتزيلها من جهاز الكمبيوتر؟ منتدى المواضيع و الشروحات التقنية 6 298

مواضيع مماثلة


كلمة المدير

جميع المواضيع والمشاركات المكتوبة تعبّر عن وجهة نظر صاحبها ,, ولا تعبّر بأي شكل من الاشكال عن وجهة نظر إدارة المنتدى .

تواصل مع فريق العمل

  • Algeria, Palestine

  • t.me/techawzen

  • contact@techawzen.com

  • techawzen.com

عن منتديات تكاوزن العربية techawzen

تكاوزن، منتدى عربي يجمع محترفي التقنية، البرمجيات، الأمن السيبراني، أنظمة التشغيل، ومجتمع النخبة في المحتوى الحصري والدعم الفني.

روابط تهمك

روابط تهمك

تابعنا على المواقع الاجتماعية


إتصل بنا

 

أعلى

خيارات الاستايل

تلوين الاقسام
ONOFF
خلفية المنتدى
نوع الخط
جدول المنتديات
ONOFF
تمديد المنتدى
ONOFF
فصل الأقسام
ONOFF
إخفاء السايدبار
ONOFF
حجم الخط
الصورة الرمزية
بيانات العضو
إخفاء التواقيع
ONOFF

إرجاع خيارات الإستايل