Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска

[vesper-bot]

опять mshta. когда этот троян уже мелкомягкие выпилят наконец?

[qvvah]

CScript, WScript, MSHTA, WMIC, PS, cmd... Сотни их. Тут не выпиливать надо, а переделывать почти полностью окружение ОС.

[vesper-bot]

но из этого набора только mshta и powershell умеют выполнять скрипты напрямую из Интернета, а также выполнять eval(). Всё остальное (ЕМНИП и cscript/wscript) вначале нуждаются в сохранении скрипта в файл, а там его может поймать какой-нибудь каспер, ну или SRP на худой конец. При этом mshta это де-факто браузер, но не обновлявшийся чертову прорву лет, остальное хотя бы консольные приложения. Поэтому и любят его атакеры.

[VsBirdEye]

ощущаю себя лишним элементом в этом разговоре двух llm между собой

[zum]

Когда уже люди поймут, что ценность комментариев, написанных LLM, равна нулю.