Подобные атаки нацелены на объекты ядра ОС, поэтому выявить на работающей ОС очень трудно, здесь несколько решений: 1. WinDbg; 2. Снять дамп и уже исследовать его.
Да, с VBA некоторые APT делают по-настоящему интересные вещи, к примеру прячут обфусцированный байт-код в Forms документа, деобфусцируют и пакуют во вредоносный файл его содержимое, не обращаясь при этом к стороннему веб ресурсу
Алексей, мы уже с Вами обсуждали похожий вопрос в комментариях под другой статьёй =) Тысячи сотрудников - это целый комплекс мер, организационных и технических. А вот специалистов ИБ (операторов SOC и других) - гораздо меньше, и я очень надеюсь, что материал здесь и в блоге будет им полезен. Решение на скорую руку это Windows Defender Application Guard (подробнее здесь), который позволит запустить документы MS Office в изолированной среде (некая песочница на основе виртуализации Hyper-V), но настройка этого компонента может сделать больно вашей среде виртуализации, если вы используете её для работы сторонних приложений: VMWare, VBox. Компонент доступен начиная с Windows 10 версии 2004 (20H1) сборки 19041.
"Digital Forensics with Kali Linux Second Edition" - простенькая книжка с описанием утилит и практическими примерами. "File System Forensic Analysis" Brian Carrier - мастхэв по расследованию в файловых системах. "The Art of Memory Forensics" Michael Hale Ligh - мастхэв по расследованию в дампах оперативной памяти. "Practical Linux Forensics" Bruce Nikkel - углубленное расследование в системах на базе ядра Linux. Ну и конечно же курсы от SANS, например FOR508 - хорошо покрывает расследование в ОС семейства Windows (артифакты, атаки, исследование дампов оперативной памяти и.т.д)
Итак, как запускался вложенный туда oleObject1.bin: В случае когда установлен autoLoad = 1 или True, OLE object автоматически загружается при открытии файла (подробнее).
В файле с зависимостями как раз видно наш oleObject1.bin с Id="rId3", который содержится в sheet1.xml.
Вы правы в том, что файл имеет сигнатуру PK - zip, но ошибаетесь что сможете распаковать и просматривать содержимое. В начале статьи этому посвящен материал, в котором описано, что содержимое файла зашифровано симметричным алгоритмом шифрования. P.S. "скрипт-кидди" - тоже неплохо, ведь учиться никогда не стыдно, особенно, если делишься знаниями =)
Справедливые вопросы, цели рассказть о структуре документа и запуске содержимого в статье не преследовал, но стоило об это рассказать, спасибо! Часто содержимое таких документов запускается после открытия документа, блягодарю Auto_open макросу. Порой с использованием эксплойтов =)
Действительно, вероятность открытия вложения из письма пользователем есть. Но минимизировать ущерб от подобного рода атак, Вам помогут в совокупности: 1.Правильно выстроенная архитектура сети и отлаженный процесс реагирования на инциденты. 2.Постоянный мониторинг неизвестной ранее активности в сетевом трафике и на хостах. 3.Правильно настроенные средства защиты информации и высококвалифицированные специалисты ИБ. 4. Организационные меры (обучение сотрудников/проведение фейковых рассылок в организации).
Доброго времени суток. Просьба не распространять ссылки ведущие на фишинговые ресурсы, даже в благих намерениях.
Благодарю.
Это был первый CTF для нашей команды, мы 319 из 6483 участвующих команд =)
да, хорошее замечание!
Да, произвольный.
Добрый, Volatility или rekall.
Подобные атаки нацелены на объекты ядра ОС, поэтому выявить на работающей ОС очень трудно, здесь несколько решений:
1. WinDbg;
2. Снять дамп и уже исследовать его.
Да, с VBA некоторые APT делают по-настоящему интересные вещи, к примеру прячут обфусцированный байт-код в Forms документа, деобфусцируют и пакуют во вредоносный файл его содержимое, не обращаясь при этом к стороннему веб ресурсу
Алексей, мы уже с Вами обсуждали похожий вопрос в комментариях под другой статьёй =)
Тысячи сотрудников - это целый комплекс мер, организационных и технических.
А вот специалистов ИБ (операторов SOC и других) - гораздо меньше, и я очень надеюсь, что материал здесь и в блоге будет им полезен.
Решение на скорую руку это Windows Defender Application Guard (подробнее здесь), который позволит запустить документы MS Office в изолированной среде (некая песочница на основе виртуализации Hyper-V), но настройка этого компонента может сделать больно вашей среде виртуализации, если вы используете её для работы сторонних приложений: VMWare, VBox.
Компонент доступен начиная с Windows 10 версии 2004 (20H1) сборки 19041.
"Digital Forensics with Kali Linux Second Edition" - простенькая книжка с описанием утилит и практическими примерами.
"File System Forensic Analysis" Brian Carrier - мастхэв по расследованию в файловых системах.
"The Art of Memory Forensics" Michael Hale Ligh - мастхэв по расследованию в дампах оперативной памяти.
"Practical Linux Forensics" Bruce Nikkel - углубленное расследование в системах на базе ядра Linux.
Ну и конечно же курсы от SANS, например FOR508 - хорошо покрывает расследование в ОС семейства Windows (артифакты, атаки, исследование дампов оперативной памяти и.т.д)
Итак, как запускался вложенный туда oleObject1.bin:
В случае когда установлен autoLoad = 1 или True, OLE object автоматически загружается при открытии файла (подробнее).
В файле с зависимостями как раз видно наш oleObject1.bin с Id="rId3", который содержится в sheet1.xml.
Вы правы в том, что файл имеет сигнатуру PK - zip, но ошибаетесь что сможете распаковать и просматривать содержимое. В начале статьи этому посвящен материал, в котором описано, что содержимое файла зашифровано симметричным алгоритмом шифрования.
P.S. "скрипт-кидди" - тоже неплохо, ведь учиться никогда не стыдно, особенно, если делишься знаниями =)
Спасибо, обязательно сделаю на эту тему статью!
Зависит от способа запуска, другие офисные пакеты также могут поддерживать исполнение VBA макросов.
Справедливые вопросы, цели рассказть о структуре документа и запуске содержимого в статье не преследовал, но стоило об это рассказать, спасибо!
Часто содержимое таких документов запускается после открытия документа, блягодарю Auto_open макросу. Порой с использованием эксплойтов =)
Действительно, вероятность открытия вложения из письма пользователем есть. Но минимизировать ущерб от подобного рода атак, Вам помогут в совокупности:
1.Правильно выстроенная архитектура сети и отлаженный процесс реагирования на инциденты.
2.Постоянный мониторинг неизвестной ранее активности в сетевом трафике и на хостах.
3.Правильно настроенные средства защиты информации и высококвалифицированные специалисты ИБ.
4. Организационные меры (обучение сотрудников/проведение фейковых рассылок в организации).