Pull to refresh

Comments 21

Хорошая статья, понятные принципы действий, спасибо!

А многое даже не знаю, что документы могут быть вредоносами!
Не знал, что макросы в .doc могут спокойно писать в файловую систему и потом запускать что-то

А можно всё-таки найденные ошибки объяснить, а не намеренно скрывать? Главный принцип безопасности вроде как гласит, что алгоритмы, методы и идеи публичны, а секреты (ключи, токены, тд) секретны. Поделитесь знаниями с обществом, если знания есть, буду благодарен.

Ну принцип-то в целом правильный. Только в этом случае речь идёт про вредоносное ПО и помогать его разработчикам я не хочу.

Они и без Вас справятся. А порядочным людям с таким подходом неоткуда знания подчерпнуть. Или нету этих самых «найденных ошибок»?

Ну если хочется увидеть указания на ошибки в чужом коде — можно посмотреть Гитлаб какого-нибудь OpenSource проекта, issue с пометкой bug. Или на поискать на Хабре «PVS Studio», они периодически публикуют результаты поиска ошибок в коде с подробным разбором.
Публично доступной информации на эту тему очень много. Это ПО — не удачный пример для обучения и разбора ошибок.
Ну так я предполагаю, что ошибки архитектурные, а не «забыл проверить exit code». Если мы все это время про мелочь всякую говорим, что примитивным линтером ловится, то они просто неинтересны — без разницы скрываете ли Вы их, и насколько намеренно.
Быстро просмотрел github, ничего похожего не нашёл. Про какую его часть вы говорите?
Ну кусок кода отсюда там вставлен, видимо, вообще для «отвлечения глаз», и какого-либо смысла не несёт.
Кусок про который вы говорите, там не для «отвлечения глаз», а просто забытый артефакт. Там таких «кусков кода» масса, до степени смешения. Так что авторство тут бесспорно. И я не утверждаю, что сборку вредоноса делал он, думаю там группа товарищей, так как Джон франкоговорящий и напихал туда диакритических знаков, которые в финальной сборке отсутствуют.
Вы сейчас про этот файл (про который я писал), или про файл из статьи 2017 года, откуда картинка?
В принципе да, артефактов в файле, про который я писал, много. Но кроме строк с SQL, я других совпадений с репозиторием не нашёл (может плохо искал).
P.S. И наличие кода из его репозитория в общем случае не говорит о том, что это он автор вредоноса. Возможно создатели вредоноса просто взяли его код с того же гита (типа Stack Overflow driven development).
Я про ваш февральский свежак. Правда я немного другой смотрел, но сути не меняет — там целое семейство.
Так я и не говорю, что вредонос делал он. Я говорю, что код, касаемый VBA за его авторством, понятно, что его форкнули — отсюда и артефакты, потому что тот кто его завернул в doc, не заморачивался с содержимым.
Ну допустим у меня макросы для удобства включены автоматом(есть антивирус). Каким образом макрос запускается? При открытии документа?
Да, если все макросы разрешены, то сразу при открытии документа.
Там есть ещё другие события (например закрытие документа), но вредоносы чаще всего (не всегда) стартуют по открытию.
P.S. А, если не секрет, вы макросы свои используете (и, если да, то как часто дописываете), или из полученных от кото-то ещё документах тоже? Просто в MSOffice есть средства подписывания макросов, интересно, реально ли это использовать в реальности.
Только свои. Было один раз, скачал макросы для обучения, но было стремно их запускать не знаю всего кода, в этом плане, да сторонние макросы я бы блокировал. С подпиской я особо не знаком и не особо над этим думал.
Дописываю их постоянно, так как по сути это программы с оболочками.

Спасибо за статью! Почерпнул много интересного!

Я в свое время по долгу службы чистил спам из почтовых ящиков предприятия и наткнулся на образец вредоноса (shade/troldesh). По каким-то необъяснимым причинам он к нам засылался регулярно, в отличии от других зловредов. Собрал на флешку документы и образцы всё новых и новых версий и пробовал гидрой исследовать. Нашел их c&c и сопутствующие домены в торе, пробрутил директории. В коде нашел текст, который не похож на код, в разных версиях вредоноса разные строки, но на разных форумах мне все твердили, что это тупо зашифрованный код.
А, я до сих пор верю, что это автор вредоноса или вел свой дневник или пытался троллить исследователей. Всего собралось 552 уникальных строки, Ниже прикреплю пример.
431 Dekohet yaweciluyire kibebul payaluwuwaj yuyek hacatawugejicu hevebujam wipo huxoxi
432 Livisobapip bayus teyimekekozipax nexodeh rarokonotuve ribesekakepafa medalinodutu
433 Woyewajif leyagazu payeyatiyasuji yito
434 Ged gazapuwamovaja mehufezima tefavesos
435 Cur vas zuji geceba kuze rotu yotamovasi vizimoci
436 Safawonesipi vogo kohib yaherukadilu moto ruwekoxoxebud tibefifi
437 Loligigape penegajegovugu jigujo lupilogu zimegowoha
438 Jafotapake cof kinejam pehixoxutix cexe dekuyavon
439 Gimefohumipu popisinuxihe yisumaju xakaton talikon pahufor cozefoyomu
440 Yojifalemetane


Кому интересно, могу передать данные для исследования.
Sign up to leave a comment.

Articles