Комментарии 8
Все эти dll и процессы конечно интересно, но хотелось подробнее про то, как все начинается.
Одно фишинговое письмо, по неосторожности открытое сотрудником компании, - и важная информация слита злоумышленнику. Всего лишь один клик мышью - и на компьютере сотрудника запущены процессы, «допускающие» злоумышленников к инфраструктуре организации.
Клик по письму вызывает запуск процесса, как это реализовано? Обычно такое работает по клику ссылки в письме или при открывании вложения. Хотелось бы подробностей.
Это зависит от почтового клиента или сработает в любом почтовом клиенте? А если почту получаем на веб морду, атака тоже пройдёт?
Как формируется такое письмо?
Какие операционки подвержены? Win 95? Win 10? Mac? Linux?
Какие антивирусы пропускают атаку? Какие тестировали?
Привет! Очень хорошие вопросы, но они тянут на курс лекций по кибербезопасности. Как это происходит в реальности - можно посмотреть например в этом отчете https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector . В целом, возможны все перечисленные вами вектора проникновения - как через прикрепленные к письму документы, так и по ссылкам на внешние сайты, даже через сообщения в месенджерах типа Discord или WhatsApp. Далее происходит или эксплуатация уязвимостей в браузере, или компонентах ОС. В случае получения почты на веб-морду, также возможен переход по ссылкам или загрузка прикрепленного файла. Также, начальное проникновение может происходить за счет эксплуатации уязвимостей сервисов, имеющих доступ к интернет, например, таких как уязвимости Exchange Server CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Подвержены большинство операционных систем, в том числе MacOS и Linux. Например, недавно мы расследовали инцидент, связанный с поражением программой-шифровальщиком, нацеленной на виртуальные облачные машины Linux. Многое вредоносное ПО, в особенности, написанное с использованием Python - кроссплатформенное. Если говорить о защите с помощью антивирусного ПО, то все зависит от давности его появления и качества разработки. Большинство APT атак, с которыми на приходилось иметь дело не выявлялись антивирусным ПО. С другой стороны, при наличии более развернутого мониторинга, например средствами EDR или внешнего SOC, нацеленного на выявление техник и тактик, используемых злоумышленниками, подобного рода активности не остаются незамеченными.
В вашем тексте написано -
Одно фишинговое письмо, по неосторожности открытое сотрудником компании, - и важная информация слита злоумышленнику.
Из чего вытекает, что просто нажатие по письму уже вызывает заражение. Что вызывает недоумение. Обычно. как я уже писал выше, заражение происходит во время нажатия на ссылку, или открывание вложения, в уже открытом письме.
Вы отвечаете
В целом, возможны все перечисленные вами вектора проникновения - как через прикрепленные к письму документы, так и по ссылкам на внешние сайты
Что вы подразумеваете под словом все - открытие письма, открытие ссылки в письме, открытие вложения или только открытие ссылки в письме и открытие вложения.
А в ссылке, которую вы привели, заражение происходит при открытии вложенного word файла.
Надо быть точнее. Открытие письма это одно, а открытие вложения это другое.
А если браузер с web-интерфейсом или почтовый клиент запускать в песочнице и пользователю не работать с правами администратора? Мне так кажется, как специалисту по ИБ, этот ваш сотрудник работал в ОС с правами Администратора. Для корректности, уточните пожалуйста набор привилегий учетной записи этого сотрудника, включая набор привилегий для его любимого почтового клиента через который произошло заражение.
Какой алгоритм шифрования применен в "Функции decrypt"?
Наверно это должно быть видно из кода, но я не осилил.
А скриншоты отладчика с подписанными системными вызовами - это ida?
Обзор обнаруженных техник и тактик группировки Winnti. Часть 1