Комментарии 5
Автору статьи платят за объем? Какой смысла в этих двух десятках примеров фишиноговых писем? Отдельно непонятно, чем руководствуются те, кто пропускает исполняемые файлы приложенные к письмам.
"...а на третий день Орлиный Глаз заметил, что у сарая нет одной стены."
Ладно. Получать минусы в карму, так получать:
1. Что нового в использовании легальных инструментов во вредоносном ПО? blat.exe наверное до сих пор в черных списках антивирусов. openpgp часто использовался шифровальщиками. curl, radmin.... А полулегальный psexec? Любой админ сталкивался с подобными "вирусами" не раз и не два. И наверное даже находил нечто новое, что можно использовать, например в автоматизации.
2. Что это за ОПК, если в нем никак не контролируется и не фильтруется почта, а пользователи могут с свободно устанавливать соединение с внешними серверами, а также настолько "непуганы", что запускают все что из почты приходит и им это даже удается? Proxy, антиспам, защита периметра, групповые политики - этого ничего нет? Я бы даже добавил, что при обмене "чувствительными" документами должна применяться не почта, а какая-то система электронного документооборота с DLP. Но понимаю, что для большинства это что-то из области фантастики. Потому приказы и распоряжения по почте это обыденность.
3. С каких пор "cmd /c" и создание заданий в планировщике стало нетипично для запуска вредоносного ПО?
Согласен с вами, статья вызвала больше вопросов не про Core Werewolf. А про адекватность обеспечения безопасности в организациях. Если это действительно сработало, конечно же. Как минимум то что служебные письма приходят с левого, а не корпоративного email (Да в моем идеальном мирке, все такие документы должны пересыпаться по внутреннему почтовому серверу с использованием шифрования).
Если я правильно воспринял статью (а её действительно сложно читать из-за обилия скриншотов), то складывается, что зафишить ОПК может любой школьник скриппт-кидди.
Кстати, "вирус" простой, на грани примитивизма. Ни попыток обойти защиту периметра , ни попыток RCE, ни даже повышения привилегий. В то же время может получить рабочий стол пользователя и "клацнуть" по любому окну на которое у пользователя есть права. Настройки системы не поменяет, так как нет доступа к UAC, скорее всего, ведь пользователь же не админ?(padme.jpg.exe) Но может через file transfer дотянуться до любого файла доступного пользователю. Хорошо, что ultravnc не может пробрасывать сетевые соединения, как ssh. ini-файл скорее всего нужен для того, чтобы иконка в трее не отображалась, там есть соответствующий параметр.
Ну и какие-то невнятные попытки зарегистрировать доменное имя. Когда можно было бы просто обойтись списком адресов, атака же все равно "одноразовая". VNC все равно куда стучаться. Возможно просто "вирус" куплен и собран в конструкторе. На попытку скрыть активность не похоже. DNS-запросы лишний след.
Core Werewolf: легитимное ПО против ОПК и критической инфраструктуры