Опасное приглашение, или Как работает боевая нагрузка к фишинговому письму

[Mur81]

Всё это конечно интересно, но если мы говорим о корпоративном секторе, то там этого не должно было случится как минимум потому что:

при открытии документа появляется окно с размытым документом-заглушкой и просьбой включить скрипт Microsoft Publisher.

Исполнение скриптов в MS Office должно быть отключено через GPO. И должна быть заблокирована возможность включить это.

Результатом работы скрипта будет раскодирование двух файлов, PDF и EXE, из Base64. Оба файла будут записаны по адресу C:\Users\{Username}\AppData\Roaming\DBFUpdate. Соответственно, оба файла исполнятся

Исполнение файлов непонятно откуда (тем более из профиля) должно быть заблокировано с помощью SRP или AppLocker.

[ianzag]

Далеко не все корпорации следуют указанным правилам. А в некоторых случаях это слабо применимо. Например если жертва это девелупер. Обрежь ему права по самые помидоры — он потом как без рук. А и на старуху бывает проруха.

[Mur81]

Понятно, что это общие рекомендации и всегда есть исключения (которые тоже надо стремиться решать в индивидуальном порядке).
Но дело в том, что даже там где это очень легко применимо всё равно практически нигде не реализовано. Вот что плохо.

[teecat]

Угу. Постоянно когда рассказываю почему антивирус будет пропускать — это просто разрыв шаблонов. А если еще и спрашиваешь — а есть ли у вас защита от неизвестных вредоносных программ…
Всегда поражает, что с одной стороны — «ну да, обновления же запаздывают», а с другой «антивирус должен ловить 100% на входе, он же в тестах победитель». Оба эти знания уживаются одновременно в голове, но пересекаются очень редко

[dimaaan]

Например если жертва это девелупер

Если этот девелупер выполняет скрипты неизвестного происхождения, полученные из письма непонятно от кого, чтобы изображение на мониторе не расплывалось, будет хороший повод его уволить

[roscomtheend]

Сначала нанимают «девелуперов», а потом удивляются что те открывают всё подряд. Права, наверное, «обменистратор» назначает.

[namikiri]

Прошу прощения, но код текстом это теперь не модно?

[sbh]

Можете пояснить, для чего вам необходим код текстом?

[namikiri]

Хотя-бы для эстетического удовлетворения, чтобы весь код выглядел однородно. Если бы у меня и впрямь был злой умысел, я бы в любом случае либо написал что-то своё, либо не поленился бы перепечатать со скриншотов.

[namikiri]

Интересная версия, спасибо

[DemonSinusa]

Вахахаха! Браво!
Только яб к сбору инфы о машине добавил dlload правильного кернела, далее поиск функций без лишнего импортирования их- по адресам попрет(ни один анвирь не просечет такой активности) далее через импортированые кернелфункшонс грузим длл винсоцка, и через простую обертку на PHP удаленном сервере(грузим методом html get|post иликактам чтоб лишних либ не таскать) тащим риал троян, который ранится сервисом от имени пользователя и тем же журбеллом работает(неявно) с сетью, которого уже ждет полезный сервер на хорошей машине, для полного доступа к удаленному ПК_или_еще_чего_там.
Но всеравно БраавО за «Если вы видите плохо, нажмие- будет хорошо!»

[lostpassword]

Но всеравно БраавО за «Если вы видите плохо, нажмие- будет хорошо!»

Да, кажется смешным… Но я как-то раз видел документ, который настолько качественно был сделан, с настолько безупречным призывом нажать на кнопочку, что я даже не сразу подумал, что это вредонос. Прямо глазам не поверил, когда зашёл в макросы. Просто шедевральное исполнение (значительно лучше, чем в скриншоте из статьи).
Хотя так сильно, конечно, мало кто заморачивается. Зачем стараться, когда можно просто кинуть ста пользователям что-то более простое — ведь кто-то всё равно кликнет.

[g0rd1as]

Вирь что ли был некриптованный, что так его подробно чуть ли не по мелким косточкам разобрали?! Я, конечно, вижу скрины из Иды с переменными, которые явно автоматически выставлены, но все же…