rvteam Aug 17 2022 at 13:48

Расщепляем Malware PDF. Практический разбор фишинга на примере GetPDF от Cyberdefenders.com

9 min

12K

R-Vision corporate blogInformation Security*

Tutorial

Comments 7

AlexeyK77 Aug 17 2022 at 17:54

Класс!
Какое по вашему мнению самый эффективный инструмент противодействия или набор мер безопасности, что бы минимизировать вероятность неприятностей от таких специально сконструированных зловредных нагрузок? ( с учетом что сеть большая, пользователей много, и кто-та по закону больших чисел да купится на фишинг).

AntonyN0p Aug 17 2022 at 18:27

Действительно, вероятность открытия вложения из письма пользователем есть. Но минимизировать ущерб от подобного рода атак, Вам помогут в совокупности:
1.Правильно выстроенная архитектура сети и отлаженный процесс реагирования на инциденты.
2.Постоянный мониторинг неизвестной ранее активности в сетевом трафике и на хостах.
3.Правильно настроенные средства защиты информации и высококвалифицированные специалисты ИБ.
4. Организационные меры (обучение сотрудников/проведение фейковых рассылок в организации).

AlexeyK77 Aug 17 2022 at 21:22

Спасибо.

Из своего опыта борьбы с подобными зловредами, очень эффективно, когда средства безоапсности, умеет не просто "проверять антивирусом", а задавать политики контроля структуры документов, например:

на периметре:
1) если документ msoffice, pdf содержит скрипты или внедренные OLE объекты - в треш сразу, без игр с антивирусом.

локально:
2) если процесс адоба, ворда и т.п. создает (create file) исполняемый файл или запускает из себя внешний процесс (exec process) - блокировать. (это упрощенное описание поведенческих политик а-ля лайт песочница)

и т.п.

Chelidonium Aug 17 2022 at 18:32

может, с точки зрения простого пользователя, лучше на все скачаные pdf сразу
ставить восьмеричный атрибут 0444 и открывать их не в браузере, а в вьювере

ALito Aug 18 2022 at 08:27

Я правильно понимаю, что на Линукс такие зловреды не будут работать? Нужно ведь запустить приложение, а для этого сделать файл исполняемым, что потребует рут прав.

А вообще зреет, как и груши в саду, у меня желание отключить совсем JS в браузере. Включать его только иногда, когда совсем уж припрет.

HappyGroundhog Aug 18 2022 at 09:13

Не совсем. Флаг запуска +x прекрасно ставится и без рут прав. Более того, в линуксе тот же скрипт можно запустить как ./evil-script.sh, тогда он потребует прав на исполнение, но можно и как «bash evil-script.sh». Тогда права у файла могут быть только read.

Без прав рута системе навредить сложнее, но тут в дело вступают инфостилеры, им не нужны рутовые права, ваши данные STEAM или пароли в браузере они утащат и так и с радостью подключат вас к скрытому майнингу + если вдруг не обновляли систему давно, то тот же polkit предоставит им рутовые права.

Под Linux системы сейчас выходит достаточно много малвари, попробую сделать разбор интересной в ближайшее время)

AlexeyK77 Aug 18 2022 at 10:13

о, очень интересная тема. буду ждать.