Pull to refresh

Comments 24

А чем эта хитрая хитрость отличается от простой отправки жертве файла с именем Сенсация_Сиське_Натальи_Куриниковой_ещемногосимволов.exe с иконкой PDF? Получатель либо проверяет расширение файла перед его открытием, либо нет (спойлер: нет). На целевой системе либо установлено что-то, что выводит запрос перез открытием запуском исполняемых файлов, либо нет (спойлер: скорее установлено, но запросы скорее скипаются). Хм...

Вот вы проверили расширение файла, открыли его - и открылся-запустился совсем другой файл. В этом и отличие.

Это понятно, непонятен сценарий использования. Юзер настолько осторожен, что проверяет расширение, но допускает запуск исполняемых файлов без запроса?

О каком запросе на запуск исполняемых файлов вообще речь?

Зависит от окружения, но обычно это будет запрос UAC.

Если не просить админских прав, то и никакого запроса UAC не будет. А чтобы просканировать пользовательские файлы на предмет паролей - никакие права админа и не нужны.

ОК, это сценарий, рассчитанный на пользователей, которые проверяют расширение открываемого файла, но допускают запуск исполняемых файлов из %TEMP% без запроса. При этом, на целевой системе должен быть установлен RAR. А в данном случае корпоративный почтовик еще и быть толерантным к вложениям *.cmd

Корпоративный почтовик может и не сканировать содержимое архивов RAR. Да и даже если сканирует - может не обращать внимание на .cmd файлы.

Имхо, для среднестатистического пользователя (кстати, вообще не обязательно корпоративного) - атака очень даже опасная и рабочая: вот тебе прилетел архив, вот в корне архива лежит какой-нибудь "отчет.pdf".

Вот ты его смело открываешь (да даже как продвинутый пользователь ты знаешь, что WinRAR распакует только этот файл PDF и откроет его). И ВНЕЗАПНО вместе с PDF распаковывается вообще другой исполняемый файл, не видимый сразу, потому что он лежит во вложенной папке в архиве.

Один полуавтоматический клик на надоедливый UAC - признаемся, не все читают, что он пишет, да и ситуация даже для продвинутого пользователя не подозрительная - и все, данные у злоумышленника.

Корпоративный почтовик может и не сканировать содержимое архивов RAR

Речь о ZIP архиве, который должен быть открыт в RAR, чтобы атака сработала. И это плохой почтовик, с CMD я ни секунды не хакер развлекался еще лет двадцать назад.

Имхо, для среднестатистического пользователя (кстати, вообще не обязательно корпоративного) - атака очень даже опасная и рабочая

Для среднестатистического - да, бесспорно, но тут речь шла о целевой атаке на корпоративный сектор, который защищает не сын маминой подруги, который на Ютуп ходит - значит крутой компьютерщик, а как бы профи.

но тут речь шла о целевой атаке на корпоративный сектор, который защищает не сын маминой подруги

Да нет жеш. Атака была на целена на хомяков-трейдеров, и их личные устройства.

по данным специалистов Group-IB, злоумышленники производили атаку на пользователей трейдерских форумов с апреля 2023 года. После заражения устройств пользователей, злоумышленники выводили деньги с брокерских счетов жертв

То, что у них не стоит антивирус, или херовый антивирус это одно. Но то, что соблюдая казалось бы простое правило гигиены - проверки открываемых файлов ты можешь заразиться - это как раз и есть новость.

Полагаете, речь шла о "мамкиных инвесторах"? Что ж, может Вы и правы... Тогда вернусь к своему изначальному вопросу: почему было просто не скормить им какой-нибудь сиськикурниковой.pdf.exe ? Я бы эту дыру припас на какой-нибудь более интересный случай и запускал бы сразу команды шелла, а не приложенные файлы...

но допускают запуск исполняемых файлов из %TEMP% без запроса

Обычный Winrar. Когда ты даблкликом открываешь файл - он выгружает файл в %TEMP% и сразу его запускает через shellexecute. В таком случае Windows сама решит чем ты привык открывать этот файл - если pdf, то одна программа, если txt то другая. Никакого prompt, или UAC не возникает.

При этом, на целевой системе должен быть установлен RAR. А в данном случае корпоративный почтовик еще и быть толерантным к вложениям *.cmd

Что не отменяет того, что вирус всё ещё остается опасным.

Обычный Winrar. Когда ты даблкликом открываешь файл - он выгружает файл в %TEMP% и сразу его запускает через shellexecute. В таком случае Windows сама решит чем ты привык открывать этот файл - если pdf, то одна программа, если txt то другая.

Речь не про PDF и не про TXT а про конкретный формат исполняемого файла - CMD.

…и этот формат ничем принципиально не отличается от PDF или TXT. На самом деле системой этот файл даже не считается исполняемым, это такой же документ., открываемый программой cmd.exe.

Это вроде бы поведение системы по умолчанию, нет?

Мне трудно сказать, потому что ор UAC, который начинается сразу же после первого запуска свежеустановленной Windows, вынуждает первым делом отключить его.

Ну так и не пишите того, в чём не разбираетесь.

UAC в винде - это что-то вроде sudo в линуксе. По крайней мере, задумывалось таковым. И отключать его - это примерно как из-под рута сидеть...

Вообще, это даже забавно, что про запрет на запуск программ из %TEMP% пишет тот же самый человек, который отключает себе UAC.

Уязвимость CVE-2023-38831 в WinRAR — это напоминание о важности обновлений и безопасности в цифровом мире. Эта новость подчёркивает необходимость регулярного обновления программ и осторожности в использовании устаревших версий. Безопасность должна быть на первом месте, и такие события напоминают нам об этом важном аспекте цифровой безопасности

Роботы уже среди нас? :)

Давно. Уже почти под каждой записью

UFO just landed and posted this here

То что подобную уязвимость не нашли в 7zip не значит что её там нет...

UFO just landed and posted this here

Это причитание или реально лучше? В моих тестах WinRar жмет всегда быстрее и почти всегда лучше 7zip, а если и хуже, то только на какие-то доли процентов, но в разы быстрее.

С новыми алгоритмами 7 версии еще потестить нужно, должно еще лучше быть.

Так еще плюшки типа словаря файлов. Вот прямо хочется Rar купить, жаль до не купил, сейчас-то, наверное, не получится.

Sign up to leave a comment.

Articles