Comments 88
Боже, какие убогие трояны пошли. Яваскрипт, обфусцированный батник с кучей одинаковых команд, VBS… Бррр!
Однако действенные
«Действенность» трояна — его вектор атаки, как обычно, через пресловутую СИ. Просто юзеров надо не «журить», а наказывать. Желательно рублем. И оповещать о наказании остальных, чтобы думали хоть немного, прежде чем качать, распаковывать и включать макросы. Так что косяк ИБ по сути административный.
А причем тут пользователи?
Виноваты ИТ/ИБ, которые отвечают за пользовательскую среду и оставили в ней возможность запуска такой гадости.
Виноваты ИТ/ИБ, которые отвечают за пользовательскую среду и оставили в ней возможность запуска такой гадости.
К сожалению реалии таковы, что те же самые макросы повсеместно используются в сферической офисной работе в вакууме. Косяк ИБ в том, что недостаточно проводилось разъяснение о фишинговых атаках как таковых, и похоже, что не было в наличии хоть каких-нибудь регулирующих документов о противодействии вредоносному коду.
При том опять же, даже если они были бы, на практике конечная ответственность за запуск вредоноса так и так ложится на пользователя. Потому что именно он принимал решение «скачать-распаковать-включить макросы». Не надо из пользователей делать «неповинных шаловливых детишек», им не 10 лет в конце концов.
Безопасность лежит не только в плоскости непосредственно ИТ, не стоит об этом забывать.
При том опять же, даже если они были бы, на практике конечная ответственность за запуск вредоноса так и так ложится на пользователя. Потому что именно он принимал решение «скачать-распаковать-включить макросы». Не надо из пользователей делать «неповинных шаловливых детишек», им не 10 лет в конце концов.
Безопасность лежит не только в плоскости непосредственно ИТ, не стоит об этом забывать.
Всё случилось на домашнем компьютере — я об этом в статье написал.
Ну тут тем более пользователь сам виноват, без вариантов.
Если не нужен запуск скриптов js и vbs, то вот отличное решение: geektimes.ru/company/icover/blog/273534/#comment_9143086
(кавычки, естественно, прямые должны быть). Существенная часть всякой нечисти отваливается.
(кавычки, естественно, прямые должны быть). Существенная часть всякой нечисти отваливается.
Это костыль для домашних версий Windows, а на Pro уже можно включить SRP с запретом выполнения cscript.exe и powershell.exe.
Не всё так просто…
— начиная с в Windows 10 — только на Enterprise. В Pro AppLocker (SRP остался в XP, если не изменяет память) больше не работает, хотя в интерфейсе его настройка есть, что подарило мне несколько увлекательных минут с возгласами «да какого растакого оно не заводится?!». Оказалось, что таки да, эта фича теперь лишь в Enterprise-редакциях
— в ноябрьском обновлении AppLocker сломали, на некоторых машинах включение соответствующей службы ведёт к BSOD при загрузке
— начиная с в Windows 10 — только на Enterprise. В Pro AppLocker (SRP остался в XP, если не изменяет память) больше не работает, хотя в интерфейсе его настройка есть, что подарило мне несколько увлекательных минут с возгласами «да какого растакого оно не заводится?!». Оказалось, что таки да, эта фича теперь лишь в Enterprise-редакциях
— в ноябрьском обновлении AppLocker сломали, на некоторых машинах включение соответствующей службы ведёт к BSOD при загрузке
Я, кстати, глупость написал про cscript.exe и никто не поправил: WSH обрабатываются самим SRP, а для «перестраховки» надо ещё и wscript.exe запрещать.
При том опять же, даже если они были бы, на практике конечная ответственность за запуск вредоноса так и так ложится на пользователя. Потому что именно он принимал решение «скачать-распаковать-включить макросы».
А кто понесёт ответственность за упущенный тендер из-за боязни опасных документов?
Сам пользователь, который не умеет сообщать в ИБ о подозрительных файлах. При нормально выстроенном взаимодействии ИБ с пользователями такие вопросы даже не возникнут.
Это не ИБ, а какие-то вахтёры и такой подход выглядит как попытка прикрыть свой зад вместо реализации технических мер (AppLocker, политики запуска макросов, обновления).
А почему не работают организационные меры — отлично написали тут.
Где там именно «отлично написали» укажите, пожалуйста? Еще раз повторюсь, при приеме на работу люди подписываются под такими документами о неразглашении, и в различных обязательствах о соблюдении тех же политик ИБ. Если подписавшись под подобными документами в здравом уме, они тем самым думают, что снимают с себя ответственность за инциденты, совершенные собственными руками, это исключительно их собственные проблемы.
Информационная безопасность, это не только регулярное применение технических средств и обновлений. Это и как раз те самые организационные меры. Не работают они только в том случае, если никто не заинтересован в их исполнении. Практика показывает, что «материальное стимулирование» отлично «заинтересовывает» пользователей. Особенно работающих с критически важной информацией.
Опять же про политики запуска макросов. Советую внимательно ознакомиться с рекомендациями самого Microsoft о безопасности этих самых макросов чтобы понять, от кого в итоге окончательно зависит запуск этих самых макросов. И на основании этого таки сделать вывод, что если сам пользователь собственными руками (по глупости или велению сердца) этот самый макрос запустил, не смотря на существующее предупреждение о возможных последствиях, чья вина — тут тоже очевидно.
Информационная безопасность, это не только регулярное применение технических средств и обновлений. Это и как раз те самые организационные меры. Не работают они только в том случае, если никто не заинтересован в их исполнении. Практика показывает, что «материальное стимулирование» отлично «заинтересовывает» пользователей. Особенно работающих с критически важной информацией.
Опять же про политики запуска макросов. Советую внимательно ознакомиться с рекомендациями самого Microsoft о безопасности этих самых макросов чтобы понять, от кого в итоге окончательно зависит запуск этих самых макросов. И на основании этого таки сделать вывод, что если сам пользователь собственными руками (по глупости или велению сердца) этот самый макрос запустил, не смотря на существующее предупреждение о возможных последствиях, чья вина — тут тоже очевидно.
Где там именно «отлично написали» укажите, пожалуйста?
В комментарии про замученного менеджера.
Советую внимательно ознакомиться с рекомендациями самого Microsoft о безопасности этих самых макросов
Ознакомился и не увидел криминала, кроме фразы про базы Access (им ещё кто-то пользуется?).
Если подписавшись под подобными документами в здравом уме, они тем самым думают, что снимают с себя ответственность за инциденты, совершенные собственными руками, это исключительно их собственные проблемы.
Я просто оставлю картинку:
Мне вот интересно, если пресловутый «замученный менеджер» захочет в туалет, у него хватит ума самому в туалет сходить и жопку вытереть, или за него это тоже должны администраторы или еще кто-нибудь делать?
Плохо, очень плохо читаете.
Плохо, очень плохо читаете.
Макросы VBA, которые не являются надежными, не разрешается запускать, пока пользователь не нажмет «Панель сообщений» и не включит макрос VBA.
если пресловутый «замученный менеджер» захочет в туалет, у него хватит ума самому в туалет сходить и жопку вытереть, или за него это тоже должны администраторы или еще кто-нибудь делать?
У HP в офисе даже висит напоминание пользоваться ёршиком и смывать за собой (слава 5S), но никому и в голову не придёт наказывать человека при отсутствии злого умысла. Люди постоянно ошибаются и забывают, так устроен наш мозг и на это расcчитывают мошенники.
Плохо, очень плохо читаете.
Это настройка по-умолчанию, которую надо менять на Disable all except digitally signed macros в «highly restrictive security environment» и тогда пользователь побежит к безопаснику с неоткрывающимся документом.
Практика показывает, что «материальное стимулирование» отлично «заинтересовывает» пользователей. Особенно работающих с критически важной информацией.
С «критически важной» информацией работает каждый второй менеджер. А вот так разок штрафануть человека на пол-зарплаты, и он пойдёт искать другую работу, где IT-отдел не перекладывает свои обязанности на юзера.
К тому же интересно, что конкретно, по вашему мнению, должно быть прописано в «политиках ИБ», которые подписывает работник? Не открывать аттачи от неизвестных адресов? Тогда это проблема IT, удалять эти аттачи из писем. Любое формальное правило можно применить технически, а несоблюдение правил типа «включать голову» не преследуются наказанием, юзер же подумал в меру своей компетенции.
Можно я немного Вас покритикую?
1) Непонятно зачем вы разбирали все это вручную, когда подобные трешевые задачи — забота автоматических анализаторов типа cuckoo sandbox. в данном случае мы видим аналогичный результат, который мог быть дать автоматический анализатор, причем без лишних телодвижений и траты времени.
2) Сложно назвать это поделие «современным троянским конем». «Легетимный» RMS софт, трешевая обфускация, примитивный лоадер на jscript — это больше похоже на поделие школьников, которые решили срубить немного баблеца на неопытных пользователях, но никак не на «современный троянский конь» :)
P.S: jscript лоадер будет палиться проактивками по типу PDM :)
1) Непонятно зачем вы разбирали все это вручную, когда подобные трешевые задачи — забота автоматических анализаторов типа cuckoo sandbox. в данном случае мы видим аналогичный результат, который мог быть дать автоматический анализатор, причем без лишних телодвижений и траты времени.
2) Сложно назвать это поделие «современным троянским конем». «Легетимный» RMS софт, трешевая обфускация, примитивный лоадер на jscript — это больше похоже на поделие школьников, которые решили срубить немного баблеца на неопытных пользователях, но никак не на «современный троянский конь» :)
P.S: jscript лоадер будет палиться проактивками по типу PDM :)
Конечно можно — критикуйте на здоровье :)
1) Потому что я не занимаюсь подобными делами каждый день. У меня другой основной вид деятельности. Вот и не в курсе был про подобные песочницы. Спасибо, что подсказали! Век живи — век учись.
2) Современный, я имел в виду, что не такой, что был во времена Трои :) Насчёт похожести на поделие школьников — меня тоже так и подмывало написать про это в статье. Но потом я решил не обижать школьников и не стал подобного писать :) Однако даже такая поделка, как это не грустно, достигла своей цели. И это несмотря на то, что у человека был установлен антивирус Касперского.
1) Потому что я не занимаюсь подобными делами каждый день. У меня другой основной вид деятельности. Вот и не в курсе был про подобные песочницы. Спасибо, что подсказали! Век живи — век учись.
2) Современный, я имел в виду, что не такой, что был во времена Трои :) Насчёт похожести на поделие школьников — меня тоже так и подмывало написать про это в статье. Но потом я решил не обижать школьников и не стал подобного писать :) Однако даже такая поделка, как это не грустно, достигла своей цели. И это несмотря на то, что у человека был установлен антивирус Касперского.
Забыл про самое главное: основной причиной того, что я вообще начал копаться в недрах вируса явилось желание узнать не сделал ли он что-либо ещё кроме установки бэкдора. Дело в том, что почти сразу после начала исследования стало понятно, что он запускал утилиту find из состава ОС. Это навело на мысль, что в недрах диска искалось нечто конкретное, что и было изъято недругом. Я же в тот момент не знал, что с помощью find он просто парсил ответ от пинга. Остальное Вы уже знаете из статьи и моего предыдущего комментария.
Довольно образованных школьников, я рад за подрастающее поколение(при условии что это оно))
В касперском же есть «типа» проактивная защита? Почему тогда она не сработала?
Кто ещё с помощью PDM может защитить от этого?
Кто ещё с помощью PDM может защитить от этого?
Почему это не сработала? Исходя из моего опыта в области вирусологии, мне даже на глаз был виден шаблон PDM. Если вы опираетесь на слова ТС, то я хз какой у него стоял авер от ЛК. Я вот не поленился и для наглядности потестал сей сэмпол на вм с KIS: http://i.imgur.com/f3gJlBT.png
Причем шаблон для PDM («ADODB.Stream»):
Open()
Write (oXMLHTTP.responseBody);
SaveToFile(FileDest, 2);
весьма старый. ЕМНИП этот шаблон с июля прошлого года внедрен в продукты ЛК.
Причем шаблон для PDM («ADODB.Stream»):
Open()
Write (oXMLHTTP.responseBody);
SaveToFile(FileDest, 2);
весьма старый. ЕМНИП этот шаблон с июля прошлого года внедрен в продукты ЛК.
Насчёт версии антивируса не могу никак прокомментировать — тогда не обратил на это внимания. Однако прямо сейчас взял тот самый аттач из письма и отправил на Virustotal. Вот результат.
Я не уверен что это проактивка сработала, а не уже добавленная сигнатура в KSN.
jok40 причем тут результат с Virustotal? Там обычно используется скантайм проверка(сигнатурный анализ, редко эмуляция->эвристика), а тут детект в динамике. PDM — это проактивка(рантайм детект). Из ваших последних постов становится очевидным, что вы не очень шарите в той теме, которую разбирали.
DjOnline там на скриншоте отчетливо видно, что сигнатура KSN добавлена на бинарь run.exe, а не на jscript лоадер. Имея достаточный опыт в разборе малвари(в том числе и скриптового треша), мне достаточно было посмотреть на код чтобы сказать какой там может быть детект. Я бы на вашем месте не стал спорить с мнением эксперта, который разбирает подобные сэмплы как семечки ;D
P.S: Этот лоадер нагло скомунижен с легитимного jscript фреймворка двух(/трех) летней давности (http://forum.script-coding.com/viewtopic.php?id=8865), об этом мне в telegram сообщил автор данного фреймворка. Впрочем сложно было ожидать от школоты чего то стоящего.
DjOnline там на скриншоте отчетливо видно, что сигнатура KSN добавлена на бинарь run.exe, а не на jscript лоадер. Имея достаточный опыт в разборе малвари(в том числе и скриптового треша), мне достаточно было посмотреть на код чтобы сказать какой там может быть детект. Я бы на вашем месте не стал спорить с мнением эксперта, который разбирает подобные сэмплы как семечки ;D
P.S: Этот лоадер нагло скомунижен с легитимного jscript фреймворка двух(/трех) летней давности (http://forum.script-coding.com/viewtopic.php?id=8865), об этом мне в telegram сообщил автор данного фреймворка. Впрочем сложно было ожидать от школоты чего то стоящего.
Из скриншота непонятно, что вызвало детект jsloader — он сам (с помощью эвристики), или то что этот лоадер грузил run.exe на который уже есть сигнатура, что привело и к детекту jsloader.
Поэтому задам вопрос автору топика — что за касперский стоял и почему эта хрень прошла, если egyp7 утверждает что не должна была пройти.
Поэтому задам вопрос автору топика — что за касперский стоял и почему эта хрень прошла, если egyp7 утверждает что не должна была пройти.
Созвонился сейчас с знакомым:
— Посмотри — какой у тебя антивирус?
— Антивирус Касперского 2013.
— Глянь-ка в настройки — мониторинг активности включен?
— Выключен.
— Ну и как это произошло?
— Да хрен его знает…
— А остальное то хоть включено?
— Включено.
Вот и весь разговор.
— Посмотри — какой у тебя антивирус?
— Антивирус Касперского 2013.
— Глянь-ка в настройки — мониторинг активности включен?
— Выключен.
— Ну и как это произошло?
— Да хрен его знает…
— А остальное то хоть включено?
— Включено.
Вот и весь разговор.
Жесть, то есть он работал с финансами при выключенном антивирусе. Я надеюсь он хоть сам его выключил, а не вирус?
В продуктах «Лаборатории Касперского» обнаружение программ для удалённого управления компьютером по умолчанию, к сожалению, отключено. Включается (по памяти пишу) в Настройках → Угрозы и исключения.
В Касперском часто глючат продвинутые функции мониторинга и, вообще, большие проблемы с QA, не удивительно что их выключают.
Недавно поставил на пробу Kaspersky Free и через пару недель столкнулся с жуткими тормозами Firefox при включенном антивирусе.
Недавно поставил на пробу Kaspersky Free и через пару недель столкнулся с жуткими тормозами Firefox при включенном антивирусе.
Не все контрацептивы одинаково полезны (с). Бывает не спасает когда весь трафик сканируется двумя антивирусными модулями, стоит песочница, у антивируса стоит защита от изменения конфигураций и прочие защиты.
От заразы во вложениях не спасает и навороченный почтовый антивирь. Сколько раз сталкивался. Бла-бла-ба компания «Джамшуттелеком» уведомляет о задолженности, бла-бла-бла счет во вложении.
От заразы во вложениях не спасает и навороченный почтовый антивирь. Сколько раз сталкивался. Бла-бла-ба компания «Джамшуттелеком» уведомляет о задолженности, бла-бла-бла счет во вложении.
И позор Admitad, если их сломали люди, которые написали этот троян.
Еще стиль именования в этом JS слишком разный. Что наводит на мысли о копипасте.
Очень интересно, когда-нибудь дойдет прогресс до того, что бы подобные расследования тянули за собой открытие «дела» в органах правопорядка, доследование, поиск и наказание виновных…
Дойдет, когда для заведения уголовного дела не нужно будет писать заявление, а достаточно будет сообщения в открытых источниках. Пока без заявлений никто не работает несмотря на тысячи случаев заражения.
Неплохо было бы еще и называть тех, кто дает этим троянам так просто запускаться на рабочей машине. А то дальше «журения» дело не доходит.
ping localhost -10
Обычо используется для создания задержки. Каждый пинг будет занимать около секунды, соответственно задержка на 10 секунд.
Люблю такие детективы.
Не было мысли засыпать хакеров миллионом фейковых писем об установке? Делать быстро это не обязательно — напротив, лучше методично слать по письму в минуту (со случайным интервалом времени) в течении месяца-двух. Чтобы новые случаи установки в потоке мусора не были видны.
Смысла особого нет. Во-первых, ящик можно сменить на другой. А может их и так не один, а много. Во-вторых, в одном из заголовков полученного письма светится ip, с которого приехал запрос к php — если адрес будет одним и тем-же, то такие письма легко отфильтровать.
Я тут немного поразмыслил и решил, что нужно поступить как раз наоборот: организовать массовый поток писем через эти ворота на самые разные адреса бесплатных почтовиков. Причём хорошо бы, если бы на сам сервер rmansys.ru этот поток приходил с разных адресов. Последствий подобной атаки мне видится два: либо господа из rmansys.ru изменят что-нибудь в своём скрипте так, чтобы им не могли пользоваться без авторизации, либо почтовики просто заблочат данный IP за распространение спама.
Получал такое много раз от разных партнерок но мне не разу в голову не приходило открывать а если уж и завернуто красиво и важно то уточняю у партнерки.
Сейчас нельзя доверять почтовым отправлениям.
Сейчас нельзя доверять почтовым отправлениям.
Можно. Просто проверяйте DKIM и адрес домена с которого пришло. И что подпись DKIM совпадает. Так можно очень много дряни отсеить.
Можно. Только вот в случае из статьи не прокатило — ведь письма отправлены с сервера компании, с действующим DKIM и правильным доменом. И так же может не прокатить и в другом случае :c
Не во всех рассылках партнерок он используется.
Но можно пытаться смотреть заголовки через них можно понять фишинг это или нет.
Но можно пытаться смотреть заголовки через них можно понять фишинг это или нет.
Пацанва, Process Monitor от Руссиновича штука клевая, но Process hacker умеет закрывать процессы с зажатым шифтом без всяких батников. Вобщем, я давно на него сам перешел. Так же бесплатен.
Почему вы думаете, что это было написано непрофессионалами? Троян простой, эффективный и, главное, использует только стандартные фичи ОС и белый софт. Т.е. лучше совместимость с разными версиями ОС и меньше шансов быть перехваченным проактивной защитой.
2 jok40 Тесен мир… Работаю в компании, имеющей косвенное отношение к технической стороне функционирования zalivalka.ru Отправил Вашу статью всем for who it may concern. Уверен, Ваше расследование поможет коллегам сделать «заливалку» чище. И спасибо Вам — необычное чувство читать о ситуации, с которой сталкиваешься каждый день, чтение перемежается воспоминаниями разного рода «а вот тогда… да, залили к ним снова нечто, пачка затем абуз пришла… ну и /21 потом долго из EDROP'а обратно доставали, да»
Непонятно какой цели добивался ботовод.
Что-ж тут непонятного? Судя по вот этому посту с форума Admitad, целью было, как это ни банально звучит, кража денег.
«что предполагалось сделать командой «ping localhost -10»»
Обычно делается в командном файле когда надо сделать некоторую задержку перед выполнением следующей.
Обычно делается в командном файле когда надо сделать некоторую задержку перед выполнением следующей.
Это Вам повезло что только romserver — чистил тут соседскую машину от бота, который ставил софт быстрее, чем я его сносил. Попытки пристрелить само тело заканчивались неработоспособным DNS и откатом на точку восстановления, которая уже была с установленным комплектом трояна (но работоспособным DNS). Заняло час в первый день и полтора во второй (22 часа, комп тормознутый, зоопарк его ещё больше нагружает — больше любовался на экран загрузки и песочные часы). В первый раз полечил, но «они вернулись». Пришлось добивать — прилетели из инструкции по разборке какого-то автомобильного узла (PDF открылся и даже нужный, но «довесок» поставился и был обнаружен по баннерам «увеличь» в браузерах, пару дней закрывали, а потом поняли что не отстанет).
Sign up to leave a comment.
Современный троянский конь: история одного расследования