Lab Dookhtegan …

In their words: “We are exposing here more of vicious activities of Ministry Of Intelligence of Islamic Republic of iran that includes damn hacking of King of Fahad hospital National Guard during the hospitalization of Crown Prince Mohammad Ben Salman after an assassination attempt against him, and also hacking of computer systems of all government ministries in Saudi Arabia and Saudi Air Force for stealing satellite maps that Saudi Arabia has about Iran and Yemen, where the Islamic Republic wastes money of iranian people. We will proudly continue to do everything to uproot this nasty regime.”

ما بار دیگر یکی از فعالیتهای شوم وزارت اطلاعات بی شرم جمهوری اسلامی ایران را افشا میکنیم. این فعالیت در رابطه با هک وقیحانه بیمارستان گارد ملی شاه فهد بدنبال ترور محمد بن سلمان و بستری شدنش در این بیمارستان هک کامپیوتر های دفاتر دولتی و هک نیرپی هوایی عربستان به هدف سرقت نقشه های ماهوارهای مربوط به ایران و یمن میباشد. این در حالیست که جمهوری اسلامی منابع ملت را در جهت منافع ننگینش فنا میکند. ما با قامتی راسخ و استوار به ریشه کن کردن این علفهای هرز ادامه میدهیم.

به نام خدا

گزارش 3 سه ماهه اول 97

امور انجام شده در این 3 ماه

  • آنتی ویروس
  • تست (نرم افزار،Agent)
  • ساخت EXE برای نصب AGENT
  • ساخت VBS برای نصب AGENT
  • ساخت HTA برای نصب AGENT
  • ساخت trager
  • ساخت Fake Page OWA, Cpanel
  • پروژه Plink
  • Bypass Lazange & mimikatz
  • دانشگاه نقشه کشی و شهر سازی عربستان
  • شهر علم و فناوری عربستان
  • med.sa
  • Cmail,RPA,CPPA,CPC SAUDI ARABIA
  • سازمان گردش گری عربستان (SCTH)

Things done in this 3 months
• Antivirus
• Testing (Software, Agent)
• Build EXE to install AGENT
• Build VBS to install AGENT
• Build HTA for AGENT installation
• Build trager
• Making Fake Page OWA, Cpanel
• Plink Project
• Bypass Lazange & mimikatz
• Saudi Arabian University of Planning and Design
• City of Science and Technology of Saudi Arabia
• Ngha.med.sa
• Cmail, RPA, CPPA, CPC SAUDI ARABIA
• Saudi Tourism Organization (SCTH)

 

 آنتی ویروس

بدلیل وجود الکتریسته ساکن در رک مسقر در اتاق سرور و قرار داشتن سرور آنتی ویروس در درون آن، پاور سرور آنتی ویروس دچار نقص شده از مدار خارج شده به همین سبب سرور از اتاق سرور خارج شده و بعد از تعمیر شده و بعد از روشن  کردن سرور و مشاهده لایسنس آنتی ویروس ها اقدام بخرید لایسنس جدید آنتی ویروس گردید و و بطور کامل سیستم عامل،ماشین مجازی،آنتی ویروس ها،نرم افزار های مخصوص شکستن پسورد از ابتدا نصب گردید.

 تست (نرم افزار،Agent)

    با تولید هر نرم افزار مورد استفاده در هدف ، قبل استفاده آن را در سیستم عامل های مختلف تست کرده پس از صحت عمل کرد نرم افزار آن را  در آزمایشگاه آنتی ویروس با دقت تست کرده سپس آن در عملیات استفاده می کنیم.

با هر بار تست “Agent”  ایراد ها ، نیازها را به برنامه نویس گزارش داده تا ایرادها و نیاز های برطرف گردد، ممکن  است بیش از 10 برای یک بخش ساده از “Agent” مورد تست قرار گیرد تا آن مورد حل گردد و سپس به آزمایشگاه آنتی ویروس برده میشود تا از مورد اصابت قرار گردن “Agent” توسط آنتی ویروس جلوگیری شود.

 ساخت EXE  برای نصب AGENT

با توجه به نیاز نیرو های مهندسی اجتماعی  در عملیات اقدام به تولید “EXE” به زبان “C” گردید که در آن    برای پشت سر گذاشتن آنتی ویروس از  روشی استفاده که فایل “EXE” دارای پنجره است ولی نمایش پنچره در جای خارج از مانیتور است، در این حالت آنتی ویروس نمیتوانت تشخیص دهد که برنامه ما از نظر آنتی ویروس مخرب است یا خیر در این صورت فایل “EXE” از آنتی ویروس رد میشود.

در نتیجه تنها آنتی ویروس که موفق به کشف “EXE” گردید “Kaspersky”بود که به عنوان برنامه تبلیغاتی پیام میداد، که با نظر مدیر، پروژه کنار گذاشته شد.

 ساخت VBS  برای نصب AGENT

برای نصب “Agent” برروی هدف نیاز به فرمت و ساختاری دارای انعطاف هستیم که هم بتوان آن را براحتی برنامه نویسی کرد و هم بصورت سایلنت در سیستم هدف اجرا شود و “Agent” را نصب نماید. بهترین گزینه استفاده از “VBS” است هم براحتی قابل برنامه نویسی است و میتواند بصورت سایلنت و بدون نمایش هیچ پنچره ای میتواند نیاز ما را برطرف نماید. در نسخه های قبل از “VBS” هر “Agent” را بصورت جداگانه بصورت “Base64” در آورده با اضافه کردن “salt” به آن بازگشت آن را به حالت عادی کمی سخت کرده ولی در خود “VBS” با اضافه کردن تکه کدی خاص “salt” را حذف کرده و فایل “Agent” را در محل مورد نظر نصب میکند و با استفاده از “CMD” تمامی فایل ها را به صورت اجرایی درآورد وفایل های “tmp” را حذف میکنیم نکته قابل توجه این که این روش برای  آنتی ویروس ها قابل شناسایی است. در اخرین روش از خود “VBS” برای بازگرداندن “Base64” و نصب آن استفاده میشود نیازی به استفاده از “CMD” نیست و برای آنتی ویروس ها غیر قابل شناسایی است.

ساخت HTA  برای نصب AGENT

با توجه به نیاز نیرو های مهندسی نرم افزار برای نمایش پنجره به هدف و نصب “Agent” برروی سیستم آن بهترین انتخاب استفاده از “HTA”است. بدلیل این این که در آن میتوان از کد “HTML” و “CSS” و “Javascript” استفاده کرد میتوان پنچره های متعدد و بسیار زیبایی مورد نیاز را طراحی و به سرعت تحویل داد. “HTA” قابل اجرا در تمامی ویندوز های میباشد. در “HTA” از روشی که در “VBS” استفاده کردیم استفاده شده است.

ساخت trager

برای شناسایی اهداف که آیا به ایمیل خود لاگین کرده اند یا خیر از این متد استفاده میشود. کد نوشته شده با “PHP” بوده و در آن عکس مورد  نظر مهندسی اجتماعی بطور کامل لود میشود.

ساخت Fake Page OWA, Cpanel

نیرو های مهندسی اجتماعی برای بدست آوردن پسورد هدف نیاز به صفحاتی داشتند که هدف احساس نکند واقعی است یا خیر در همین راستا دو صفحه طراحی شد که با واقعی آن هیچ فرقی نداشت.

پروژه Plink

یک پروژه تحقیقاتی برای ایجاد دسترسی “Command Line” است که تمامی تحقیقات مربوط به آن انجام شده ونیاز به زمان برنامه نویسی است.

Bypass Lazange & mimikatz

دو ابزار بسیار کاربردی در عملیات هک و نفوذ “Mimikatz” و ” Lazange ” است که یکی برای بدست آوردن پسورد های سیستم و دیگری برای بدست آوردن پسورد های “Browser” بکار برده میشود.

در همین راستا آنتی ویروس توجه بسیار زیادی به کشف این دو ابزار دارند و نیاز است که هر چند ماه یکبار در کد آنها دستکاری کرد که آنتی ویروس ها نتوانند آنها کشف کنند. با توجه به این موضوع ابزار “Mimikatz”  با تغییر کد بطور کامل از دید آنتی ویروس ها دور مانده است و ابزار ” Lazange ”  در حال انجام است.

Saudi Arabian University of Planning and Design
According to the information obtained by the organization, satellite maps for the Saudi Air Force were taken, in which the name of Iran was visible. All photos and maps of Iran with a size of 98 GB were extracted from the organization and the map was being prepared. Construction is about to take place, but according to the software that started the imaging, there are no files needed to make the preparation easier, so we are trying to extract the map of Yemen with a size of 34 GB.

City of Science and Technology of Saudi Arabia
Information obtained from Saudi Arabian University of Mapping and Urbanization A “VPN” from the Saudi city of science and technology is underway.

دانشگاه نقشه کشی و شهر سازی عربستان

        با توجه به اطلاعات بدست امده این این سازمان نقشه های ماهواره ای برای نیرو هوایی عربستان گرفته شده است که در آن نام ایران به چشم میخورد تمامی عکس ها و نقشه های مربوط به  ایران با حجم 98 گیگابایت از این سازمان استخراج گردید  و نقشه درحال آماده سازی برای ارائه است ولی با توجه به نرم افزاری که اقدام به تصویربرداری کرده است فایل های لازم برای راحت تر کردن آماده سازی وجود ندارد به همین منظور اقدام به خارج کردن نقشه کشور یمن به حجم 34 گیابایت از این سازمان هستیم.

شهر علم و فناوری عربستان

اطلاعات بدست آمده از دانشگاه نقشه کشی و شهر سازی عربستان یک “VPN”  از شهر علم و فناوری عربستان  بدست آمد که حال اقدام بروی آن هستیم.

Ngha.med.sa

اطلاعات بدست آمده از محمد بن سلمان پس از اقدام به ترور وی متوجه شدیم که او در بیمارستان گارد ملی شاه فهد بستری است در همین راستا اقدام به بررسی وب سایت این بیمارستان و انجام عملیات “Brute Force” کردیم که این عملیات همچنان درحال انجام است

 Cmail,RPA,CPPA,CPC SAUDI ARABIA

       شرکت علم دارای “Cloud” است که تقریبا سازمان های مهم و اصلی این کشور بروی آن ایمیل دارند از جمله آنها دیوان پادشاهی،سازمان مالی،وزارت آموزش و پرورش ، ” CPC “که تمامی آنها بروی آدرس”mail.cmail.sa” است به همین منظور این دامنه مورد “Brute Force” مکرر و هدف مند قرار میگیرد.

RPA,CPPA این دوسازمان نیز برای ایجاد دسترسی مورد “Brute Force” مکرر و هدفمند قرار گرفته اند.

سازمان گردش گری عربستان (SCTH)

پس از تحقیقات انجام شده درباره سازمان علم اطلاعاتی بدست آمد که نشان میداد این سازمان در سازمان علم یک پرتال فعال دارد به دستور مدیر تصیمیم به ایجاد دسترسی از این پرتال گردید. ولی از آنجا که افراد خاص به این پرتال دسترسی دارند ایمیل های “Exchange” خوانده شد به فردی با نام ابراهیم المغربی رسیدیم درحال حاضر بروی یوز این فرد اسکریپ خاصی قرار داده ایم تا بتوان سیستم او را پیدا کرده و دسترسی از پرتال را انجام دهیم

Ngha.med.sa
Information obtained from Mohammed bin Salman after his assassination attempt revealed that he was hospitalized at the Shah Fahd National Guard Hospital, so we searched the hospital’s website and conducted a “Brute Force” operation that is still ongoing.

Cmail, RPA, CPPA, CPC SAUDI ARABIA
The Science Company has a “Cloud” that has emails from almost all major organizations in the country, including the Royal Court, the Financial Office, the Ministry of Education, and the CPC, all of which are located at “mail.cmail.sa” To this end, this domain is subject to frequent and targeted “Brute Force”.
RPA, CPPA These organizations have also been repeatedly targeted for “Brute Force” access.

Saudi Tourism Organization (SCTH)
After investigating the information science organization, it was revealed that the organization had an active portal in the science organization at the behest of the decision manager to gain access to the portal. But since certain people have access to this portal, “Exchange” emails were read. We reached a person by the name of Ibrahim al-Maghribi. We have now placed a special script on this person’s web to find and access the portal.

@Lab_dookhtegan

Mar 8, 2019 – Saudi Crown Prince Mohammed bin Salman has escaped an assassination attempt by his brother Bandar bin Salman, an Israeli newspaper reports. Bin Salman’s brother had promised an officer in charge of protecting the crown prince 10 million Saudi rials if he assassinated the powerful .”