Comments 21
Хорошая статья, понятные принципы действий, спасибо!
Автор молодец, пиши еще!
А многое даже не знаю, что документы могут быть вредоносами!
Не знал, что макросы в .doc могут спокойно писать в файловую систему и потом запускать что-то
А можно всё-таки найденные ошибки объяснить, а не намеренно скрывать? Главный принцип безопасности вроде как гласит, что алгоритмы, методы и идеи публичны, а секреты (ключи, токены, тд) секретны. Поделитесь знаниями с обществом, если знания есть, буду благодарен.
Ну принцип-то в целом правильный. Только в этом случае речь идёт про вредоносное ПО и помогать его разработчикам я не хочу.
Они и без Вас справятся. А порядочным людям с таким подходом неоткуда знания подчерпнуть. Или нету этих самых «найденных ошибок»?
Ну если хочется увидеть указания на ошибки в чужом коде — можно посмотреть Гитлаб какого-нибудь OpenSource проекта, issue с пометкой bug. Или на поискать на Хабре «PVS Studio», они периодически публикуют результаты поиска ошибок в коде с подробным разбором.
Публично доступной информации на эту тему очень много. Это ПО — не удачный пример для обучения и разбора ошибок.
Публично доступной информации на эту тему очень много. Это ПО — не удачный пример для обучения и разбора ошибок.
Быстро просмотрел github, ничего похожего не нашёл. Про какую его часть вы говорите?
Ну кусок кода отсюда там вставлен, видимо, вообще для «отвлечения глаз», и какого-либо смысла не несёт.
Вы сейчас про этот файл (про который я писал), или про файл из статьи 2017 года, откуда картинка?
В принципе да, артефактов в файле, про который я писал, много. Но кроме строк с SQL, я других совпадений с репозиторием не нашёл (может плохо искал).
P.S. И наличие кода из его репозитория в общем случае не говорит о том, что это он автор вредоноса. Возможно создатели вредоноса просто взяли его код с того же гита (типа Stack Overflow driven development).
В принципе да, артефактов в файле, про который я писал, много. Но кроме строк с SQL, я других совпадений с репозиторием не нашёл (может плохо искал).
P.S. И наличие кода из его репозитория в общем случае не говорит о том, что это он автор вредоноса. Возможно создатели вредоноса просто взяли его код с того же гита (типа Stack Overflow driven development).
Ну допустим у меня макросы для удобства включены автоматом(есть антивирус). Каким образом макрос запускается? При открытии документа?
Да, если все макросы разрешены, то сразу при открытии документа.
Там есть ещё другие события (например закрытие документа), но вредоносы чаще всего (не всегда) стартуют по открытию.
P.S. А, если не секрет, вы макросы свои используете (и, если да, то как часто дописываете), или из полученных от кото-то ещё документах тоже? Просто в MSOffice есть средства подписывания макросов, интересно, реально ли это использовать в реальности.
Там есть ещё другие события (например закрытие документа), но вредоносы чаще всего (не всегда) стартуют по открытию.
P.S. А, если не секрет, вы макросы свои используете (и, если да, то как часто дописываете), или из полученных от кото-то ещё документах тоже? Просто в MSOffice есть средства подписывания макросов, интересно, реально ли это использовать в реальности.
Спасибо за статью! Почерпнул много интересного!
Я в свое время по долгу службы чистил спам из почтовых ящиков предприятия и наткнулся на образец вредоноса (shade/troldesh). По каким-то необъяснимым причинам он к нам засылался регулярно, в отличии от других зловредов. Собрал на флешку документы и образцы всё новых и новых версий и пробовал гидрой исследовать. Нашел их c&c и сопутствующие домены в торе, пробрутил директории. В коде нашел текст, который не похож на код, в разных версиях вредоноса разные строки, но на разных форумах мне все твердили, что это тупо зашифрованный код.
А, я до сих пор верю, что это автор вредоноса или вел свой дневник или пытался троллить исследователей. Всего собралось 552 уникальных строки, Ниже прикреплю пример.
Кому интересно, могу передать данные для исследования.
А, я до сих пор верю, что это автор вредоноса или вел свой дневник или пытался троллить исследователей. Всего собралось 552 уникальных строки, Ниже прикреплю пример.
431 Dekohet yaweciluyire kibebul payaluwuwaj yuyek hacatawugejicu hevebujam wipo huxoxi
432 Livisobapip bayus teyimekekozipax nexodeh rarokonotuve ribesekakepafa medalinodutu
433 Woyewajif leyagazu payeyatiyasuji yito
434 Ged gazapuwamovaja mehufezima tefavesos
435 Cur vas zuji geceba kuze rotu yotamovasi vizimoci
436 Safawonesipi vogo kohib yaherukadilu moto ruwekoxoxebud tibefifi
437 Loligigape penegajegovugu jigujo lupilogu zimegowoha
438 Jafotapake cof kinejam pehixoxutix cexe dekuyavon
439 Gimefohumipu popisinuxihe yisumaju xakaton talikon pahufor cozefoyomu
440 Yojifalemetane
Кому интересно, могу передать данные для исследования.
Sign up to leave a comment.
Исследование одного вредоноса