Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Важно Целевая атака с использованием сервисов электронной почты (пример)

5.00 star(s) 2 Votes

Сан Саныч

Знаток
Старожил
Joined
06.17.2014
Messages
39
Reaction score
155
Points
182
Дорогие друзья, после долговременной паузы вновь рад приветствовать Вас!
Ранее, с 2015-2017 год я уже писал о том, что наиболее простой и действенный способ получения конфиденциальной информации это заслать не грамотному пользователю грамотно сформированное письмо с вложением, после запуска которого злоумышленнику будет открыта "дверь" в информационную систему предприятия! О комплексе мер, по предупреждению и недопущению подобных, негативных для предприятия последствий, мы поговорим в следующий раз. Сегодня же я приведу Вам конкретный пример целевой атаки через сервисы электронной почты.

Вот такое письмо было направлено одному из ключевых людей предприятия:

Screenshot_5.jpg

Как видим письмо оформлено очень качественно, в нем указаны подлинные ФИО, предприятие, должность потенциальной "жертвы", все грамотно и без ошибок (именно из за этого я придал этой атаке статус "Целевая")

Во вложении письма - архив с паролем, якобы, для повышения безопасности персональных данных, хотя сам пароль указан в тексте =) Но пользователя это ничуть не смутит, безопасность превыше всего! )))

В архиве мы наблюдаем исполняемый файл *.exe , размером аж целых 6 Мб!
Screenshot_6.jpg

Что же там такое упрятали? Терпение, мой друг ;)

Скидываем файл на тестовый рабочий стол и видим, что иконка вложения выполнена в виде папки, т.е если забыть про его существование на ПК, то можно и опытному пользователю ткнуть по ошибке, тем более если отключен показ расширений зарегистрированных типов файлов:
Screenshot_7.jpg
Исходя из объема вложения мне сразу было ясно, что это не простой шифровальщик файлов, которых я повидал несметное количество.
После запуска файла, как и ожидалось, никаких деструктивных изменений в системе не последовало, чуть разобравшись я выяснил, что в файле было запаковано ПО для полноценного удаленного управления ПК жертвы, а именно remote utilities host.
Данная утилита обладает широкими возможностями, среди которых:
  • Возможность portable использования.
  • Доступ по (а не через собственный протокол программы) по Интернету, в том числе за маршрутизаторами и с динамическим IP.
  • Широкий набор режимов удаленного управления и подключения: управление и «только просмотр», терминал (командная строка), передача файлов и чат (текстовый, голосовой, видео), запись удаленного экрана, подключение удаленного реестра, управление питанием, удаленный запуск программ, печать на удаленной машине, удаленный доступ к камере, поддержка Wake On LAN.
Исходя из возможностей "засланной" программы, со 100% уверенностью можно констатировать факт, что целью злоумышленников была именно конфиденциальная информация, которую можно в дальнейшем монетизировать, и, вообще, попади она на АРМ с Клиент-банком и беда могла случиться на очень приличную сумму.

Установленный kaspersky endpoint security со свежими базами на угрозу никак не отреагировал- ни при извлечении из архива, ни при запуске. Это в очередной раз доказывает, что антивирусное ПО, на которые уповают пользователи НЕ спасает! Точнее спасает, но перед тем, как начнет спасать - определенный процент пользователей ,получивших эту заразу уже "вляпается". Так, что Антивирус это не универсальное "лекарство" от всех бед.

К сожалению вынужден констатировать, что информационная безопасность в России направление очень узконаправленное и вялоразвивающееся, даже на фоне вышеописанных событий "умные" ТОП-менеджеры в целях общей экономии сокращают подобных специалистов, тем самым создавая предпосылки возникновения инцидентов ИБ на стратегически важных предприятиях. Информация о сокращении получена от коллег по "цеху". Видимо тут имеет место стандартный подход - пока все хорошо (не вляпались) должность не нужна, как только грянет гром начинается суета и поиск крайних. Будем наблюдать за ситуацией.

На сегодня у меня всё, с предложениями и пожеланиями прошу в личку!
с Уважением, Сан Саныч.

Подготовлено специально для provisionsecurity.club
 
Last edited:

x-sis

Совет Клуба
Staff member
Администратор
Joined
02.26.2014
Messages
8,288
Reaction score
19,284
Points
996
Location
Россия
именно из за этого я придал этой атаке статус "Целевая"
Да, в такой ситуации куда сложнее чисто аналитически отличить спам письмо от подлинника, поскольку, что называется, и вещи своими именами называют, и ошибок минимум (тем не менее, "тся" и "ться" правильно писать они не умеют). Но есть же ещё масса способов отличить поддельное письмо от настоящего: идентификация адресанта, проверка приложенного содержимого на предмет опасного контента (даже если встроенный спам-фильтр не сработал, необходимо каждый раз прибегать к отдельной проверке содержимого иным защитным ПО как минимум на уровне уже самого предприятия) и другое (я рассказывал об этом здесь).

даже на фоне вышеописанных событий "умные" ТОП-менеджеры в целях общей экономии сокращают подобных специалистов, тем самым создавая предпосылки возникновения инцидентов ИБ на стратегически важных предприятиях. Информация о сокращении получена от коллег по "цеху".
Слегка веселит и удивляет тот факт, что даже на предприятии, на которое имеют место такие целевые атаки (то есть вполне конкретная рассылка специально для них, с действительными именами и уместная по контексту), что только подтверждает его известность и наличие чего-то вкусненького (что хочется украсть у них), все равно явно отсутствует надлежащий штат сотрудников по обеспечению безопасности и системному администрированию в целом. Неужели хотя бы почтовыми клиентами нельзя надоумить сотрудников пользоваться?
 

x-sis

Совет Клуба
Staff member
Администратор
Joined
02.26.2014
Messages
8,288
Reaction score
19,284
Points
996
Location
Россия
Очень полезная статья.
Полезная она в том плане, что демонстрирует вполне адекватное на вид, и даже серьезное, письмо, которое интуитивно сразу причислить к спаму не получится. Тем более, если читатель является сотрудником компании и упомянутые в письме имена ему известны.
 

Top Bottom