Опасное PNG-вложение в почту

Написал буквально на днях друг, говорит:

– …прислали письмо подозрительное, во вложении 7z архив с паролем. Пароль в том же письме)

Ну быстро смекнув, что к чему, говорю – открой архив, всё нормально, можно смело запускать любые вложения из-под админа и с отключеным антивирусом. 😈 Посмеялись, но через пару минут он пишет – а внутри действительно только PNG-изображение.

– 🤨 Чё?

Не, я конечно писал уже про RARJPEG и возможность упаковать в медиафайлы что-то, помимо самого медиа. Но тут PNG.

А точно ничего больше нет? – мысленно уже напрягся, думал, может какой зиродей в просмотрщике штатном проморгали….

– ну ещё ярлык.

Фуффф…. В нём дело. – Скинь свойства:

Понятно) Вообще можно не привязываться было к (якобы) безобидности формата PNG – он тут совсем не при чём. Просто тушка скрипта исполняется встроенным интерпретатором серверных сценариев CScript. Не так, чтобы часто встречалось. Запросил копию письма, смотрю сам, что в архиве:

Открываем редактором PNG-шку:

Мда. Типичный скрипт. А внизу целая простыня из закодированного (не base64, а кастомный алгоритм) содержимого. Лень разбираться в блокноте, загнал все функции и пейлод в консоль браузера Chrome, там выполнил в JS.VM и вывел раскодированный пейлод в консоль:

Тут уже VBScript, который паковался бы в созданную книгу Excel на одном из предыдущих этапов.

В VBS-е тоже кодированый EXE-шник, импорт функций для аллокейта памяти и создания процессов, куда передаётся этот пейлод. Кароче уже не так интересно, но всё-таки любопытно:

Можно чуть дальше шагнуть, перевести десятичные значения в хекс и в бинарный формат, получить тело вредоноса. Может быть в свободное время займусь. Но там не просто тупо EXE, так как не увидел характерную сигнатуру MZ… в начале. Хотя может там есть какой-нибудь шаффл или сдвиг, или ксор, да мало ли что ещё)

Выводы:

  1. Большинство вторжений в организации начинается именно с пробития периметра через электронную почту. Это нужно помнить.
  2. Даже, если в письме нет EXE-файла, там всё ещё может быть вредоносный скрипт, который соберёт сам себя, используя встроенные средства.
  3. В случае, подобном этому, в качестве хранилища скрипта мог быть использоваться и совсем безобидный файл – хоть TXT (хотя палево, легко открыть), расширение роли не играет – он выступает только в качестве контейнера.
  4. Возможно имеет смысл ограничить работу CScript/WScript у себя, кто-то вообще легитимно использует их возможности?
  5. Самое опасное – ярлык) Вообще там могло быть что угодно, поэтому запускать ярлык даже с безобидной иконкой (paint) не стоит.

Что думаете?

 

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply