Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью

По ста­тис­тике зна­читель­ная часть зараже­ний мал­варью про­исхо­дит из‑за того, что поль­зователь сам запус­тил на сво­ей машине вре­донос­ный файл. Имен­но в этом и зак­люча­ется основная задача зло­умыш­ленни­ков, исполь­зующих соци­аль­ную инже­нерию. Давай пос­мотрим, какие тех­ничес­кие улов­ки и хит­рости они при­меня­ют.

WARNING

Статья пред­назна­чена для «белых хакеров», про­фес­сиональ­ных пен­тесте­ров и руково­дите­лей служ­бы информа­цион­ной безопас­ности (CISO). Ни автор, ни редак­ция не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный матери­ала­ми дан­ной статьи.

ВЛОЖЕНИЯ И ФАЙЛЫ

Мы рас­смот­рим ата­ки с фай­лами не с точ­ки зре­ния того, как их дос­тавля­ют во вре­мя пен­теста и что в них пишут, что­бы поль­зователь повел­ся. Об этом мы погово­рим в дру­гой раз. Сегод­ня мы кос­немся нес­коль­ких тех­ничес­ких аспектов, вклю­чая мас­киров­ку фай­лов и рас­ширений, и обсу­дим некото­рые лай­фха­ки.

Дос­тавку HTML-фай­лов с объ­ектом JavaScript Blob, закоди­рован­ным с помощью Base64, в статье мы умыш­ленно не рас­смат­рива­ем, пос­коль­ку сей­час обсужда­ется обман людей, а не обход сис­тем защиты.

В целом дос­тавля­емые по каналам свя­зи фай­лы мож­но отнести к сле­дующим катего­риям:

• фай­лы Microsoft Office;
• HTML (HTM, SHTML);
• PDF;
• ар­хивы (с паролем и без) с наг­рузкой внут­ри;
• ICS-фай­лы кален­даря.

Рас­смот­рим, какие улов­ки исполь­зуют зло­деи с каж­дым из этих видов фай­лов.

РУШИМ ШАБЛОНЫ ПОВЕДЕНИЯ ЧЕРЕЗ ПЕЧАТЬ

Ког­да сот­рудник ска­чива­ет файл из интерне­та или из вло­жения в поч­товое сооб­щение, его пре­дуп­режда­ют, что содер­жимое фай­ла небезо­пас­но.

Хо­чешь поп­росить его вык­лючить защиту необыч­ным спо­собом? Пред­ставь­ся в пись­ме началь­ником и ска­жи, что этот документ (бланк, таб­лицу) нуж­но рас­печатать и под­писать, ведь сегод­ня в течение дня его заберет сот­рудник отде­ла кад­ров.

Сот­рудник откры­вает окно с печатью и видит, что она недос­тупна.

Впро­чем, он при­вык, что его про­сят отклю­чить защищен­ный прос­мотр в самом докумен­те, а это уже нем­ного дру­гой сце­нарий. Сам Word про­сит отклю­чить защиту, ломая шаб­лоны осве­дом­ленно­го поль­зовате­ля.

PDF-ФАЙЛЫ

На рисун­ке ниже изоб­ражен твит (или как там теперь это пра­виль­но называ­ется) с упо­мина­нием вре­донос­ной ата­ки. Если что, не сер­чай на перевод от Google Translate.

Ну а на сай­те Fortinet ты можешь почитать о под­робнос­тях ата­ки. Быть может, тебе при­годит­ся подоб­ный спо­соб дос­тавки наг­рузки.

Ког­да мы делали свои пер­вые соци­отех­ничес­кие пен­тесты в 2017 году, то для тре­кин­га раз­решений таких вот заг­рузок поль­зовались сер­висом Canarytokens.

Нам и заказ­чику было дос­таточ­но того, что поль­зователь нажал Allow («Раз­решить») во всплы­вающем пре­дуп­режде­нии в PDF-фай­ле. Это уже счи­талось инци­ден­том и показа­телем того, что поль­зователь ском­про­мети­рован.

HTML-ФАЙЛЫ

Во вло­жении в сооб­щения элек­трон­ной поч­ты час­то встре­чают­ся такие HTML-фай­лы:

• с редирек­том на какую‑то твою стра­ницу, нап­ример с помощью кода <meta http-equiv="refresh" content="0;URL=https://evil.com"/>;
• со­дер­жащий вре­донос­ный iframe, который под­тягива­ет твою стра­ницу из интерне­та. Сис­тема защиты может не видеть iframe, а поль­зователь уви­дит;
• с фишин­говым содер­жимым. При­мер подоб­ного фишин­га показан в отче­те Sophos.

А вот еще при­мер фишин­гового HTML-фай­ла.

Рас­смат­ривая тех­ничес­кие трю­ки, давай кос­немся и мас­киров­ки рас­ширения .html в поч­товом кли­енте.

От нев­ниматель­ного поль­зовате­ля HTML-вло­жение мож­но замас­кировать так: меж­ду docx и html вста­вить поболь­ше нераз­рывных про­белов (U+00A0, см. рисунок ниже).

Да, икон­ка получа­ется не вор­дов­ская, но мно­гие не обра­щают на это вни­мания. А можешь ничего не мас­кировать и отправ­лять как есть.

АРХИВЫ С ПАРОЛЕМ

Для пол­ноты кар­тины нель­зя обой­ти сто­роной клас­сичес­кое скры­тие вре­доно­са в запаро­лен­ном архи­ве. Хоть некото­рые сис­темы защиты бло­киру­ют такие архи­вы от гре­ха подаль­ше, этот спо­соб все еще дос­таточ­но дей­ствен­ный.

Пись­мо с подоб­ным архи­вом выг­лядит при­мер­но так:

Доб­рый день.

Прик­ладываю архив с докумен­тами.

В целях безопас­ности архив защищен паролем.

Па­роль от архи­ва: 12345

С ува­жени­ем, Андрей Пет­ров

Зная, что поль­зователь может быть обу­чен опре­делять такие пись­ма как подоз­ритель­ные, пароль мож­но не упо­минать. Пусть человек сам спро­сит его, а ты выш­лешь пароль отдель­ным пись­мом. Так, по заголов­кам его пись­ма, мож­но убе­дить­ся, что отве­чает на пись­мо имен­но поль­зователь, а не служ­ба ИБ, которая хочет изу­чить твою наг­рузку в архи­ве.

АРХИВЫ БЕЗ ПАРОЛЯ

Вот так мы пря­тали нас­тоящее рас­ширение фай­ла в архи­ве.

Источник