По статистике значительная часть заражений малварью происходит из‑за того, что пользователь сам запустил на своей машине вредоносный файл. Именно в этом и заключается основная задача злоумышленников, использующих социальную инженерию. Давай посмотрим, какие технические уловки и хитрости они применяют.
Статья предназначена для «белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Мы рассмотрим атаки с файлами не с точки зрения того, как их доставляют во время пентеста и что в них пишут, чтобы пользователь повелся. Об этом мы поговорим в другой раз. Сегодня мы коснемся нескольких технических аспектов, включая маскировку файлов и расширений, и обсудим некоторые лайфхаки.
Доставку HTML-файлов с объектом JavaScript Blob, закодированным с помощью Base64, в статье мы умышленно не рассматриваем, поскольку сейчас обсуждается обман людей, а не обход систем защиты.
В целом доставляемые по каналам связи файлы можно отнести к следующим категориям:
Рассмотрим, какие уловки используют злодеи с каждым из этих видов файлов.
Когда сотрудник скачивает файл из интернета или из вложения в почтовое сообщение, его предупреждают, что содержимое файла небезопасно.
Предупреждение о небезопасном содержимом файла
Хочешь попросить его выключить защиту необычным способом? Представься в письме начальником и скажи, что этот документ (бланк, таблицу) нужно распечатать и подписать, ведь сегодня в течение дня его заберет сотрудник отдела кадров.
Сотрудник открывает окно с печатью и видит, что она недоступна.
Предупреждение о недоступности печати
Впрочем, он привык, что его просят отключить защищенный просмотр в самом документе, а это уже немного другой сценарий. Сам Word просит отключить защиту, ломая шаблоны осведомленного пользователя.
На рисунке ниже изображен твит (или как там теперь это правильно называется) с упоминанием вредоносной атаки. Если что, не серчай на перевод от Google Translate.
Описание атаки через PDF-файл
Ну а на сайте Fortinet ты можешь почитать о подробностях атаки. Быть может, тебе пригодится подобный способ доставки нагрузки.
Когда мы делали свои первые социотехнические пентесты в 2017 году, то для трекинга разрешений таких вот загрузок пользовались сервисом Canarytokens.
Нам и заказчику было достаточно того, что пользователь нажал Allow («Разрешить») во всплывающем предупреждении в PDF-файле. Это уже считалось инцидентом и показателем того, что пользователь скомпрометирован.
Интерфейс сервиса Canarytokens
Во вложении в сообщения электронной почты часто встречаются такие HTML-файлы:
А вот еще пример фишингового HTML-файла.
Имитация Excel-файла на веб‑странице
Рассматривая технические трюки, давай коснемся и маскировки расширения .html в почтовом клиенте.
От невнимательного пользователя HTML-вложение можно замаскировать так: между docx и html вставить побольше неразрывных пробелов (U+00A0, см. рисунок ниже).
Имитация DOCX-документа в имени HTML-файла с неразрывными пробелами
Да, иконка получается не вордовская, но многие не обращают на это внимания. А можешь ничего не маскировать и отправлять как есть.
Имитация DOCX-документа в имени HTML-файла
Для полноты картины нельзя обойти стороной классическое скрытие вредоноса в запароленном архиве. Хоть некоторые системы защиты блокируют такие архивы от греха подальше, этот способ все еще достаточно действенный.
Письмо с подобным архивом выглядит примерно так:
Зная, что пользователь может быть обучен определять такие письма как подозрительные, пароль можно не упоминать. Пусть человек сам спросит его, а ты вышлешь пароль отдельным письмом. Так, по заголовкам его письма, можно убедиться, что отвечает на письмо именно пользователь, а не служба ИБ, которая хочет изучить твою нагрузку в архиве.
Вот так мы прятали настоящее расширение файла в архиве.
Отображение EXE-файла в архиве, где в имени используется много пробелов
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
warning
Статья предназначена для «белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Вложения и файлы
Мы рассмотрим атаки с файлами не с точки зрения того, как их доставляют во время пентеста и что в них пишут, чтобы пользователь повелся. Об этом мы поговорим в другой раз. Сегодня мы коснемся нескольких технических аспектов, включая маскировку файлов и расширений, и обсудим некоторые лайфхаки.
Доставку HTML-файлов с объектом JavaScript Blob, закодированным с помощью Base64, в статье мы умышленно не рассматриваем, поскольку сейчас обсуждается обман людей, а не обход систем защиты.
В целом доставляемые по каналам связи файлы можно отнести к следующим категориям:
- файлы Microsoft Office;
- HTML (HTM, SHTML);
- PDF;
- архивы (с паролем и без) с нагрузкой внутри;
- ICS-файлы календаря.
Рассмотрим, какие уловки используют злодеи с каждым из этих видов файлов.
Рушим шаблоны поведения через печать
Когда сотрудник скачивает файл из интернета или из вложения в почтовое сообщение, его предупреждают, что содержимое файла небезопасно.
Предупреждение о небезопасном содержимом файла
Хочешь попросить его выключить защиту необычным способом? Представься в письме начальником и скажи, что этот документ (бланк, таблицу) нужно распечатать и подписать, ведь сегодня в течение дня его заберет сотрудник отдела кадров.
Сотрудник открывает окно с печатью и видит, что она недоступна.
Предупреждение о недоступности печати
Впрочем, он привык, что его просят отключить защищенный просмотр в самом документе, а это уже немного другой сценарий. Сам Word просит отключить защиту, ломая шаблоны осведомленного пользователя.
PDF-файлы
На рисунке ниже изображен твит (или как там теперь это правильно называется) с упоминанием вредоносной атаки. Если что, не серчай на перевод от Google Translate.
Описание атаки через PDF-файл
Ну а на сайте Fortinet ты можешь почитать о подробностях атаки. Быть может, тебе пригодится подобный способ доставки нагрузки.
Когда мы делали свои первые социотехнические пентесты в 2017 году, то для трекинга разрешений таких вот загрузок пользовались сервисом Canarytokens.
Нам и заказчику было достаточно того, что пользователь нажал Allow («Разрешить») во всплывающем предупреждении в PDF-файле. Это уже считалось инцидентом и показателем того, что пользователь скомпрометирован.
Интерфейс сервиса Canarytokens
HTML-файлы
Во вложении в сообщения электронной почты часто встречаются такие HTML-файлы:
- с редиректом на какую‑то твою страницу, например с помощью кода <meta http-equiv=»refresh» content=»0;URL=https://evil.com»/>;
- содержащий вредоносный iframe, который подтягивает твою страницу из интернета. Система защиты может не видеть iframe, а пользователь увидит;
- с фишинговым содержимым. Пример подобного фишинга показан в отчете Sophos.
А вот еще пример фишингового HTML-файла.
Имитация Excel-файла на веб‑странице
Рассматривая технические трюки, давай коснемся и маскировки расширения .html в почтовом клиенте.
От невнимательного пользователя HTML-вложение можно замаскировать так: между docx и html вставить побольше неразрывных пробелов (U+00A0, см. рисунок ниже).
Имитация DOCX-документа в имени HTML-файла с неразрывными пробелами
Да, иконка получается не вордовская, но многие не обращают на это внимания. А можешь ничего не маскировать и отправлять как есть.
Имитация DOCX-документа в имени HTML-файла
Архивы с паролем
Для полноты картины нельзя обойти стороной классическое скрытие вредоноса в запароленном архиве. Хоть некоторые системы защиты блокируют такие архивы от греха подальше, этот способ все еще достаточно действенный.
Письмо с подобным архивом выглядит примерно так:
Зная, что пользователь может быть обучен определять такие письма как подозрительные, пароль можно не упоминать. Пусть человек сам спросит его, а ты вышлешь пароль отдельным письмом. Так, по заголовкам его письма, можно убедиться, что отвечает на письмо именно пользователь, а не служба ИБ, которая хочет изучить твою нагрузку в архиве.
Архивы без пароля
Вот так мы прятали настоящее расширение файла в архиве.
Отображение EXE-файла в архиве, где в имени используется много пробелов
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 year
9990 рублей 4000 р.
[TD]
1 month_r
920 р.
[/TD]
Я уже участник «Xakep.ru»
