Написал буквально на днях друг, говорит:
– …прислали письмо подозрительное, во вложении 7z архив с паролем. Пароль в том же письме)
Ну быстро смекнув, что к чему, говорю – открой архив, всё нормально, можно смело запускать любые вложения из-под админа и с отключеным антивирусом. 😈 Посмеялись, но через пару минут он пишет – а внутри действительно только PNG-изображение.
– 🤨 Чё?
Не, я конечно писал уже про RARJPEG и возможность упаковать в медиафайлы что-то, помимо самого медиа. Но тут PNG.
А точно ничего больше нет? – мысленно уже напрягся, думал, может какой зиродей в просмотрщике штатном проморгали….
– ну ещё ярлык.
Фуффф…. В нём дело. – Скинь свойства:
Понятно) Вообще можно не привязываться было к (якобы) безобидности формата PNG – он тут совсем не при чём. Просто тушка скрипта исполняется встроенным интерпретатором серверных сценариев CScript. Не так, чтобы часто встречалось. Запросил копию письма, смотрю сам, что в архиве:
Мда. Типичный скрипт. А внизу целая простыня из закодированного (не base64, а кастомный алгоритм) содержимого. Лень разбираться в блокноте, загнал все функции и пейлод в консоль браузера Chrome, там выполнил в JS.VM и вывел раскодированный пейлод в консоль:
Тут уже VBScript, который паковался бы в созданную книгу Excel на одном из предыдущих этапов.
В VBS-е тоже кодированый EXE-шник, импорт функций для аллокейта памяти и создания процессов, куда передаётся этот пейлод. Кароче уже не так интересно, но всё-таки любопытно:
Можно чуть дальше шагнуть, перевести десятичные значения в хекс и в бинарный формат, получить тело вредоноса. Может быть в свободное время займусь. Но там не просто тупо EXE, так как не увидел характерную сигнатуру MZ… в начале. Хотя может там есть какой-нибудь шаффл или сдвиг, или ксор, да мало ли что ещё)
Выводы:
- Большинство вторжений в организации начинается именно с пробития периметра через электронную почту. Это нужно помнить.
- Даже, если в письме нет EXE-файла, там всё ещё может быть вредоносный скрипт, который соберёт сам себя, используя встроенные средства.
- В случае, подобном этому, в качестве хранилища скрипта мог быть использоваться и совсем безобидный файл – хоть TXT (хотя палево, легко открыть), расширение роли не играет – он выступает только в качестве контейнера.
- Возможно имеет смысл ограничить работу CScript/WScript у себя, кто-то вообще легитимно использует их возможности?
- Самое опасное – ярлык) Вообще там могло быть что угодно, поэтому запускать ярлык даже с безобидной иконкой (paint) не стоит.
Что думаете?
Comments: