Комментарии 8
Привет! Очень хорошие вопросы, но они тянут на курс лекций по кибербезопасности. Как это происходит в реальности - можно посмотреть например в этом отчете https://www.cybereason.com/blog/portdoor-new-chinese-apt-backdoor-attack-targets-russian-defense-sector . В целом, возможны все перечисленные вами вектора проникновения - как через прикрепленные к письму документы, так и по ссылкам на внешние сайты, даже через сообщения в месенджерах типа Discord или WhatsApp. Далее происходит или эксплуатация уязвимостей в браузере, или компонентах ОС. В случае получения почты на веб-морду, также возможен переход по ссылкам или загрузка прикрепленного файла. Также, начальное проникновение может происходить за счет эксплуатации уязвимостей сервисов, имеющих доступ к интернет, например, таких как уязвимости Exchange Server CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Подвержены большинство операционных систем, в том числе MacOS и Linux. Например, недавно мы расследовали инцидент, связанный с поражением программой-шифровальщиком, нацеленной на виртуальные облачные машины Linux. Многое вредоносное ПО, в особенности, написанное с использованием Python - кроссплатформенное. Если говорить о защите с помощью антивирусного ПО, то все зависит от давности его появления и качества разработки. Большинство APT атак, с которыми на приходилось иметь дело не выявлялись антивирусным ПО. С другой стороны, при наличии более развернутого мониторинга, например средствами EDR или внешнего SOC, нацеленного на выявление техник и тактик, используемых злоумышленниками, подобного рода активности не остаются незамеченными.
А если браузер с web-интерфейсом или почтовый клиент запускать в песочнице и пользователю не работать с правами администратора? Мне так кажется, как специалисту по ИБ, этот ваш сотрудник работал в ОС с правами Администратора. Для корректности, уточните пожалуйста набор привилегий учетной записи этого сотрудника, включая набор привилегий для его любимого почтового клиента через который произошло заражение.
Какой алгоритм шифрования применен в "Функции decrypt"?
Наверно это должно быть видно из кода, но я не осилил.
Обзор обнаруженных техник и тактик группировки Winnti. Часть 1