Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
Mohsen Tahmasebi Profile picture
@moh53n_fa
Mar 27 21 tweets 7 min read Read on X
(رشته توییت بسیار طولانی حاوی اطلاعات فنی و کم اهمیت؛ نمیدونم چرا نوشتم)
دیشب شخصی به من اطلاع داد که یک کانال حدودا یک میلیون نفری، احتمالا در حال پخش فیلترشکن و VPN آلوده به بدافزار هست.
تصمیم گرفتم همون موقع بررسی کنم. اسکن های اتوماتیک هیچ نشانی از آلودگی نداشتن.
1/21 Image
پس سمپلی که برام ارسال شده بود رو دیکامپایل کردم و هم زمان روی vm بالا آوردم. با دو تا پاپ آپ مواجه شدم که اولی داینامیک بود و لینکش رو پیدا کرده بودم.
توی پاپ آپ دوم نوشته بود "عضویت اجباری"، برام خنده دار بود تا زمانی که متوجه شدم چنین عبارتی در سورس اپ نیست.
2/21
و بعدتر، بدتر شد چون دیدم این عبارت با کلید AES انکریپت شده و حین اجرای اپ دیکریپت میشه. آخه چرا؟ چه ریگی به کفش این اپ بود؟
با کمی بررسی سورس، متوجه obfuscation شدید اپ شدم که داشت بهم سردرد می‌داد. اما اوضاع باز هم عجیب تر شد.
3/21 Image
این اپ به اصطلاح "مود شده"، یک library باینری در خودش داشت که در اپ اصلی وجود نداشت.
برام قابل درک نبود. آنتی ویروس ها و اسکنر ها هیچ چیز یا رفتار مشکوکی پیدا نکرده بودن و دسترسی های برنامه، زیادی محدود بود برای بدافزار بودن. این library حدود 700 کیلوبایت حجم داشت.
4/21 Image
آنالیز های بیشتر استاتیک و داینامیک، هیچ مورد خاصی نشون نداد. فقط سورس دیکامپایل شده، زیادی خالی به نظر می‌رسید. یادم افتاد که تقریبا هیچ جای سورس ندیدم که اون عملیات دیکریپت AES اتفاق بیفته. از طرفی برام سوال شد که نسخه مود شده، چه چیزی به این اپ اضافه کرده؟
5/21
خیلی مرسومه که modder ها، تغییرات اعمالی نسبت به نسخه اصلی رو مینویسن اما اینجا چیزی ذکر نشده بود.
تا اینجای کار ذهنم به این سمت رفت که با یک modder آماتور طرفیم که با ابزار و برنامه های آماده، اپ هارو پچ و ماد (مود؟) میکنه و لزوما چیزی به جز بنر کانالش، اضافه نمیشه.
6/21
با این حال چند تا مشکل وجود داشت که جوابی براشون نداشتم. نتیجتا library مذکور رو disassemble کردم و چند مورد جالب دیدم. اول اینکه کار های زیاد و مختلفی داشت اتفاق میفتاد که فهمش راحت نبود. دوم اینکه متوجه شدم خیلی از string های برنامه، داخل این library هست.
7/21 Image
سوم اینکه با بررسی دقیق تر سورس جاوا، متوجه شدم Crypto داره اونجا ستاپ میشه، اما با توجه به string های داخل این باینری، عملیات decryption داره اینجا اتفاق میفته.
کم کم داشتم به این نتیجه میرسیدم که ممکنه با یک "چیزِ بدِ پیشرفته و مبهم" طرف باشم.
8/21
خوشبختانه با نگاه دقیق تر به سورس جاوا، اولین سرنخ برای تایید حدس اولم درباره آماتور بودن modder کشف شد. در جایی که احتمال میدادم بنر دوم لود میشه، credit یک پسر زیر 18 سال خارجی رو دیدم (خیلی هم اصرار داره بنده خدا).
9/21 Image
حدس زدم بنر دوم با توجه به شکل خاصش، توسط یک ابزار (متعلق به این آقا پسر) ساخته شده. اما جستجو برای nickname این پسر فقط منو به کانال ماد ماینکرفتش می رسوند.
سرچ اسم library یا کردیت ها، هیچ سمپل مشابهی بهم نداد. چرا باید چنین بنری رو (اونم به این شکل) در یک باینری جا کنه؟
10/21
اون library باینری مشخصا مخصوص همین اپ generate شده بود چون string های داخلی اپ رو درون خودش داشت. پس نمیتونست فقط برای بنر باشه.
نهایتا بعد از کلی سرچ، یک ابزار مشکوک در یکی از چنل های این پسر دیدم.
بعد از تستش متوجه شدم برای ساخت همون پاپ آپ (Dialog) ها هست.
11/21
Image
Image
یک خروجی تستی ازش گرفتم و دیدم یک فایل زیپ حاوی پچ smali و فونت میده. خبری از باینری نبود اما کد smali نمونه با بخشی از کد سورس جاوا مطابقت داشت، ظاهر پاپ آپ مشابه بود و Encryption متن، اینجا هم بود.
تا اینجا فهمیدم "عضویت اجباری" مطابق حدس خودم، بلوف بوده.
12/21
Image
Image
اما چرا
1. متن پاپ آپ رو انکریپت میکرد؟
2. اون باینری وجود داره؟
3. کد جاوای دیکامپایل شده ناقصه؟
با توجه به اینکه احتمال حدسم درباره آماتور بودن modder رو زیاد میدونستم (که در مورد اول هم ثابت شد)، باید باز هم دنبال ابزار میگشتم. احتمالا فقط با ابزار های modding مواجه بودم
13/21
انکریپت متن پاپ آپ رو گذاشتم به حساب جوگیری اون پسر طراح ابزار، چون کد Generator رو بررسی کردم و تمام خروجی ها همینطوری بود، بدون هیچ پس و پیش یا چیز خاصی (اگر هم دلیل خاصی داشته، اینجا مهم نبود چون الان میدونستم این کار modder ایرانی ما نیست).
14/21
با کمی دقت بیشتر، دیدم compiled from که jadx از dex کشیده بیرون، عادی نیست.
سرچ کردنش طبق معمول هیچ مورد مشابهی برام نیاورد. اما
NP_Dex2C...
(اسم library)...
بله، DCC. کامپایلر لعنتی AoT که DEX رو تبدیل به C، و کامپایل میکنه. ازش متنفرم.
15/21 libnpdcc.so
Image
پس کد های نامفهوم توی اون باینری در واقع DEX تبدیل شده بوده، و به همین دلیل سورس جاوا خلوت بود و خیلی چیز ها داخل اون باینری بود. لعنت به من، باید زودتر می‌فهمیدم
مطمئن بودم که modder آماتور ما، خودش اینکارو نکرده. پس باید دنبال یک ابزار آماده میبودم که Dex2C هم داشته باشه.
16/21
با تکه تکه کردن اسم و سرچ، به یک اپ اندرویدی چینی رسیدم که کلی امکانات برای ماد APK داشت. از پچ smali تا obfuscation و البته Dex2C. معما حل شد.
در واقع modder آماتور ما، با این ابزار فقط یک سری کد از جاهای مختلف به این برنامه پچ کرده بود،
17/21 libnpdcc.so
Image
و احتمالا بعد هم هرچی دکمه بوده کلیک کرده تا اپ به این وضعیت بیفته.
نتایج:
1. استفاده کورکورانه از ابزار های آماده خطرناکه و ممکنه خروجی آلوده بده.
2. این modder عزیز احتمالا با ابزار های آماده و مختلف، فقط license و payment اپ هارو پچ میکرده، شاید چهار تا tweak آماده اضافه
18/21
میکرده و بنر خودش رو میذاشته اون داخل. در این مورد خاص چون برنامه رایگان بوده، عملا فقط بنر گذاشته.
3. خیلی از این ابزار ها و اطلاعات فقط در تلگرام وجود داشتن و هیچ جا ایندکس نشده بودن، که دهن منو سرویس کرد و جالب بود. از عواقب پلتفرم های ایزوله و ایندکس نشده...
19/21
4. همچنان نمیشه با قطعیت گفت که اون چنل امن بوده، چون تمام اپ های اون چنل بررسی نشدن و بررسی کامل اون باینری هم از توان و حوصله من خارجه. اما به احتمال بسیار زیاد، حداقل این اپ آلودگی نداشته.
5. دانلود برنامه اندرویدی از تلگرام، دیوانگیه. نکنید.
20/21
بعد از 6 ساعت آنالیز و یک ساعت نوشتن، در پایان نگاهی میندازیم به این خوشمزه بازی modder آماتور داستان ما که یک پیام داره برای کسایی که "اسکی میرن".
اصلا هم کاری نداریم که عملا خودش چکار میکنه.
(⚠️ تصویر حاوی الفاظ بی ادبانه)
پایان
21/21 Image

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Mohsen Tahmasebi

Mohsen Tahmasebi Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @moh53n_fa

Mohsen Tahmasebi Profile picture
Feb 9
اینترنت، فیلترینگ و IPv6

ظاهرا مدتی هست که "دوباره" IPv6 در اینترنت ایران داره به صورت گسترده فعال میشه و خیلی ها خوشحالن برای دور زدن فیلترینگ.
اما نمودار زیر که میزان استفاده و پیاده سازی IPv6 در ایران رو نشون میده، نکته بسیار جالبی داره
این نمودار به شدت غیرعادی هست. چرا؟
1/8 Image
روند عادی باید مشابه نمودار زیر (روند استفاده و پیاده سازی IPv6 در عربستان سعودی که بهترین روند در منطقه رو داره) باشه. یک روند نسبتا پیوسته رو به رشد.
اما در مورد ایران در چند مقطع، این روند متوقف و حتی برعکس شده.
2/8 Image
مهم ترین مقطع، اواخر مهر ماه 98 (حدود یک ماه قبل از قطعی سراسری اینترنت در آبان 98، اگرچه لزوما مرتبط نیستن) هست که ناگهان IPv6 در ایران با خاک یکسان میشه و تا حدود یک سال این وضعیت ادامه پیدا میکنه.
اما چرا؟
3/8 Image
Read 8 tweets
Mohsen Tahmasebi Profile picture
Nov 30, 2023
یک کمپین بزرگ بدافزار های بانکی علیه کاربران ایرانی کشف شده. متاسفانه نسبت به چند سال پیش که در پروژه تلسکم این موارد رو رصد میکردیم، گستردگی و پیچیدگی به شدت بیشتری دارن.
با توجه به مواردی که در گزارش Zimperium ذکر شده با اطمينان خوبی میتونم بگم هکر ها داخل ایرانن.
تلخه چون
1/5
جای تعجب نداره. وقتی تلسکمِ @s7az2mm (به عنوان یک پروژه مستقل) که هدفش رصد و مبارزه با چنین مواردی بود، فیلتر میشه و دامینش به دستور سیستم قضایی همین کشور مسدود میشه، وقتی رصد و مبارزه با چنین مواردی اولویتش پایین تر از بگیر و ببند درباره اینترنت هست، وقتی توان امنیتی مملکت
2/5
صرف برخورد و بازداشت امثال من و حسین درواری میشه (که هر دو در پروژه تلسکم فعال بودیم)، جای تعجب نداره که نه تنها چنین کمپین بدافزاری وسیعی ماه ها است که فعاله (اونم با ریشه احتمالی داخلی!)، بلکه اول یک شرکت امنیتی خارجی کشف و گزارشش میکنه.
3/5
Read 5 tweets
Mohsen Tahmasebi Profile picture
Sep 24, 2023
یکی از چیز هایی که تو این مدت بهش فکر کردم و دوست داشتم با شما به اشتراک بذارم، داستان ناهنجاری های روانیم هست، اینکه چطور مطمئن شدم نجات‌دهنده جهانم.
میخوام این داستان طویل رو در این رشته توییت خلاصه کنم چون معتقدم جامعه ما نیاز به آگاهی بیشتری درباره #سلامت_روان داره، خصوصا
1/
درباره کودکان و نوجوانان، و بیماری های پیشرفته.
تا حالا این آدم های عجیب و غریب، و "دیوونه" رو دیدید که مرتب به همه چیز مشکوکن و علاقه شدیدی به استاکر بازی دارن؟
من در اوایل نوجوانی یکی از این آدم ها بودم، از نوع پیشرفته اش (دلیل ورودم به دنیای هک و امنیت همین بود).
2/
به همه چیز شک داشتم و میل سیری ناپذیری به جمع آوری اطلاعات داشتم. خانواده من معتقد بودن دلیل شک داشتن من به همه چیز (پارانویا) در سن 12 سالگی، کنجکاوی کودکانه است. متاسفانه گوشه گیری و ضداجتماع بودن شدید من در سنین پایین تر هم دلیل نگرانی و مراجعه به روانشناس نشد.
3/
Read 17 tweets
Mohsen Tahmasebi Profile picture
Nov 7, 2022
سلام، و خداحافظ...
طی چند سالی که فعالیت تخصصی در توییتر داشتم (از ۲۰۱۷)، دغدغه ام آموزش و آگاهی بخشی بوده، به هر طریقی که میتونستم. از میکروبلاگینگ و بلاگینگ درباره نکات امنیت سایبری و مسائل مرتبط روز، تا حرف زدن درباره صیانت و بررسی سیستم تخصصی فیلترینگ و
1/7
بررسی و مهندسی معکوس اپ هایی مثل تلگرام طلایی و teledr و کافه بازار و...
طی این مدت هزاران بدافزار فارسی و تعداد قابل توجهی کمپین فیشینگ و کلاهبرداری رو بررسی و به رایگان گزارش کردم. تمام این کار ها از سر علایق فنی من و به عشق مخاطبينم و به عشق کشورم بود، اما
2/7
زندگی بعضی درس ها رو خیلی سخت به آدم میده. من یک احمق بودم/هستم. روزی که وارد این حوزه شدم خیلی ها بهم گفتن نمیتونی تو ایران تو حوزه هک و امنیت فعالیت کنی و به دردسر نیفتی، اما من احمق بودم و از حماقتم فکر کردم میشه هم‌زیستی کرد. من احمق بودم و مسئولیتش رو میپذیرم.
3/7
Read 7 tweets
Mohsen Tahmasebi Profile picture
Jul 20, 2022
بیاید یه نگاهی به این شیاد مثلا متخصص امنیت سایبری و تیمش بندازیم (آخر رشتو یک سورپرایز هم دارم).
ظاهرا، #بهزاد_قاسمی سال 88 (در حالی که 16 سالش بوده!) گروه علمی پژوهشی (زارت) "آورکلاک" رو تاسیس میکنه، اما تقریبا هیچ اطلاعاتی از سال 96 به قبل این گروه وجود نداره! 1/
یازده ماه پیش گروهش یک پست کوتاه در ویرگول منتشر میکنه. فارغ از تعریف خنده دار و بی سوادانه از overclock، جفنگیاتی درباره ماهیت گروه گفته شده. اما این گروه دو فرد کلیدی دیگه هم داره. شادی و آزاده منشی زاده که... خودتون ببینید و بخونید! 2/

Image
Image
Image
نکته جالب اینکه حتی گروه اینا هم سال 99 قصد #توکن هوا کردن و زدن جیب مردم رو با توکن OCCO داشتن که ظاهرا به دلایلی رها میشه. اما خیلی جالبه که بهزاد قاسمی و تیمش هرکاری کردن، رسانه های داخلی پوشش دادن! مشخصا برای کوچک‌ترین کارشون هم خبر خریدن. 3/


Image
Image
Image
Image
Read 13 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(