Comments 14
Всё это конечно интересно, но если мы говорим о корпоративном секторе, то там этого не должно было случится как минимум потому что:
Исполнение скриптов в MS Office должно быть отключено через GPO. И должна быть заблокирована возможность включить это.
Исполнение файлов непонятно откуда (тем более из профиля) должно быть заблокировано с помощью SRP или AppLocker.
при открытии документа появляется окно с размытым документом-заглушкой и просьбой включить скрипт Microsoft Publisher.
Исполнение скриптов в MS Office должно быть отключено через GPO. И должна быть заблокирована возможность включить это.
Результатом работы скрипта будет раскодирование двух файлов, PDF и EXE, из Base64. Оба файла будут записаны по адресу C:\Users\{Username}\AppData\Roaming\DBFUpdate. Соответственно, оба файла исполнятся
Исполнение файлов непонятно откуда (тем более из профиля) должно быть заблокировано с помощью SRP или AppLocker.
0
Далеко не все корпорации следуют указанным правилам. А в некоторых случаях это слабо применимо. Например если жертва это девелупер. Обрежь ему права по самые помидоры — он потом как без рук. А и на старуху бывает проруха.
0
Понятно, что это общие рекомендации и всегда есть исключения (которые тоже надо стремиться решать в индивидуальном порядке).
Но дело в том, что даже там где это очень легко применимо всё равно практически нигде не реализовано. Вот что плохо.
Но дело в том, что даже там где это очень легко применимо всё равно практически нигде не реализовано. Вот что плохо.
0
Угу. Постоянно когда рассказываю почему антивирус будет пропускать — это просто разрыв шаблонов. А если еще и спрашиваешь — а есть ли у вас защита от неизвестных вредоносных программ…
Всегда поражает, что с одной стороны — «ну да, обновления же запаздывают», а с другой «антивирус должен ловить 100% на входе, он же в тестах победитель». Оба эти знания уживаются одновременно в голове, но пересекаются очень редко
Всегда поражает, что с одной стороны — «ну да, обновления же запаздывают», а с другой «антивирус должен ловить 100% на входе, он же в тестах победитель». Оба эти знания уживаются одновременно в голове, но пересекаются очень редко
+1
Например если жертва это девелупер
Если этот девелупер выполняет скрипты неизвестного происхождения, полученные из письма непонятно от кого, чтобы изображение на мониторе не расплывалось, будет хороший повод его уволить
+1
Прошу прощения, но код текстом это теперь не модно?
+2
Можете пояснить, для чего вам необходим код текстом?
0
UFO just landed and posted this here
Вахахаха! Браво!
Только яб к сбору инфы о машине добавил dlload правильного кернела, далее поиск функций без лишнего импортирования их- по адресам попрет(ни один анвирь не просечет такой активности) далее через импортированые кернелфункшонс грузим длл винсоцка, и через простую обертку на PHP удаленном сервере(грузим методом html get|post иликактам чтоб лишних либ не таскать) тащим риал троян, который ранится сервисом от имени пользователя и тем же журбеллом работает(неявно) с сетью, которого уже ждет полезный сервер на хорошей машине, для полного доступа к удаленному ПК_или_еще_чего_там.
Но всеравно БраавО за «Если вы видите плохо, нажмие- будет хорошо!»
Только яб к сбору инфы о машине добавил dlload правильного кернела, далее поиск функций без лишнего импортирования их- по адресам попрет(ни один анвирь не просечет такой активности) далее через импортированые кернелфункшонс грузим длл винсоцка, и через простую обертку на PHP удаленном сервере(грузим методом html get|post иликактам чтоб лишних либ не таскать) тащим риал троян, который ранится сервисом от имени пользователя и тем же журбеллом работает(неявно) с сетью, которого уже ждет полезный сервер на хорошей машине, для полного доступа к удаленному ПК_или_еще_чего_там.
Но всеравно БраавО за «Если вы видите плохо, нажмие- будет хорошо!»
+1
Но всеравно БраавО за «Если вы видите плохо, нажмие- будет хорошо!»Да, кажется смешным… Но я как-то раз видел документ, который настолько качественно был сделан, с настолько безупречным призывом нажать на кнопочку, что я даже не сразу подумал, что это вредонос. Прямо глазам не поверил, когда зашёл в макросы. Просто шедевральное исполнение (значительно лучше, чем в скриншоте из статьи).
Хотя так сильно, конечно, мало кто заморачивается. Зачем стараться, когда можно просто кинуть ста пользователям что-то более простое — ведь кто-то всё равно кликнет.
+1
Вирь что ли был некриптованный, что так его подробно чуть ли не по мелким косточкам разобрали?! Я, конечно, вижу скрины из Иды с переменными, которые явно автоматически выставлены, но все же…
0
Sign up to leave a comment.
Опасное приглашение, или Как работает боевая нагрузка к фишинговому письму