Привет, Хабр! На связи команда UserGate uFactor. У нас — новое исследование: в этом материале продолжим тему предыдущей статьи, где мы рассматривали вредоносные скрипты на языке AutoIt. В этот раз на примере зараженного документа Microsoft Office разберем старую, но до сих пор актуальную уязвимость CVE-2017-11882, связанную с работой компонента Microsoft Equation Editor (EQNEDT32.EXE).

Для эксплуатации уязвимости CVE-2017-11882 в документах Word злоумышленники обычно используют следующие техники:

— переименование расширения RTF-документа, содержащего эксплойт, — с .rtf на .doc;
— загрузку из интернета RTF-документа, содержащего эксплойт, при помощи метода для загрузки шаблонов.

Мы же рассмотрим документ Excel — XML-файл, сжатый в ZIP-архив. Расширения, характерные для таких документов Excel: .xlsx, .xlsm, .xlam. Также документы Excel могут быть бинарными, их формат — Compound Binary File Format. К бинарным форматам относятся Excel 97-2003, Excel 5.0/95.

На рисунке 1 представлен фрагмент содержимого исследуемого вредоносного образца в hex-редакторе. Сигнатура 50 4B, выделенная красным, как раз указывает на то, что это формат архивации файлов ZIP.

Привет, Хабр! На связи команда UserGate uFactor, и мы снова хотим рассказать о наших исследованиях в области кибербезопасности. Этот материал — продолжение рассказа о вредоносном программном обеспечении, используемом в кибератаках. В прошлый раз мы рассказывали о мощном ВПО DarkWatchman, в этот — рассмотрим не самый сложный вредонос, использующий скомпилированные сценарии на скриптовом языке AutoIt. Злоумышленники часто используют этот язык для создания ВПО.

AutoIt — свободно распространяемый язык для автоматизации выполнения задач в Microsoft Windows. Он позволяет создавать скрипты автоматизации (иногда называемые макросами), способные имитировать действия пользователя, такие как текстовый ввод и воздействие на элементы управления системы и программ, а также реагировать на события (например, выполнять определенные действия при открытии окна с определенным заголовком). Такие скрипты полезны для выполнения часто повторяющихся задач, таких как инсталляция идентичных наборов программ на большое количество компьютеров.

Язык AutoIt прост, внешне схож с Visual Basic и по функциональности близок к языкам общего назначения, но отличается от них наличием встроенных средств, легко предоставляющих доступ к событиям, процессам, элементам графического интерфейса системы и программ. Язык включает GUI-фреймворк, позволяющий использовать в скриптах несложные Windows-формы с типовыми графическими компонентами.

Рассмотрим на примере один из таких образцов ВПО. Подробнее об AutoIt можно почитать на сайте разработчика.

Для анализа PE-файла необходимо сначала получить общую информацию о нем. Для этого можно воспользоваться программным обеспечением Detect It Easy.

Привет, Хабр! На связи снова команда UserGate uFactor, и мы продолжаем делиться нашими исследованиями в области кибербезопасности. В прошлом материале мы рассказали о двух сценариях атаки: об атаке через LNK-файлы с применением криптографических методов и о многоступенчатой загрузке через BAT-файлы. В этот раз разберем атаку, основанную на фишинговой рассылке вредоносного программного обеспечения DarkWatchman (Buhtrap).

Привет, Хабр! На связи команда UserGate uFactor. Мы запускаем новую серию материалов, посвященных исследованию кибератак. Да, мы не только разрабатываем NGFW, но и, как положено серьезной ИБ-компании, анализируем актуальные угрозы. Сегодня мы рассмотрим два сценария загрузки основных вредоносных модулей на компьютерную систему атакуемого. Первый сценарий — атака при помощи LNK-файлов, в которых применяются криптографические методы, второй — атака через BAT-файлы.

Основным вектором атаки в обоих сценариях выступает фишинговая рассылка. Файлы, приложенные к фишинговым электронным письмам, обычно упакованы в ZIP-архив. Иногда архивы защищают паролем для обхода СЗИ, сам пароль указывается в тексте сообщения.

Сценарий 1: криптография в LNK-файле

В качестве промежуточного звена для загрузки основного вредоносного модуля могут быть применены файлы MS-SHLLINK. Для выполнения сценария в LNK-файлах используются командные интерпретаторы CMD или PowerShell, но также есть и другие методы. К сценарию зачастую применяются методы сокрытия вредоносных команд, такие как кодирование, обфускация или шифрование, что затрудняет детектирование угрозы средствами защиты информации.

Рассмотрим на примере вредоносного LNK-файла один из способов сокрытия ключевой информации с помощью шифрования.

Для просмотра содержимого LNK-файлов можно воспользоваться hex-редактором, утилитами xxd или cat в UNIX-подобных системах. Стоит обратить внимание, что некоторые hex-редакторы могут отображать не сам LNK-файл, а содержимое файла, на который ссылается ярлык, — будьте внимательны.

Компания UserGate, ведущий российский разработчик экосистемы ИБ-решений, представила новое поколение решений класса NGFW — линейку высокопроизводительных межсетевых экранов следующего поколения (Next-Generation Firewall) для крупных корпоративных заказчиков и центров обработки данных UserGate DCFW (Data Center Firewall).

Экспертиза UserGate в области разработки собственных технологий: операционной системы UG OS и аппаратных платформ с применением аппаратного ускорения, — позволила инженерам компании добиться беспрецедентных для российских решений показателей производительности и вывести их на уровень ведущих мировых производителей: 200 Гбит/с для функций межсетевого экрана и 30 Гбит/с при включении функций контроля приложений и предотвращения вторжений. Результаты подтверждены в ходе нагрузочного тестирования.

Компания вплотную подошла к созданию мощных решений, производительность которых может достигнуть 1 Тбит/с в перспективе нескольких лет. При этом уже сейчас по показателю стоимости защиты 1 Мбит/с UserGate превосходит ближайшего конкурента почти в 2 раза.

Решение реализовано в виде программно-аппаратного комплекса (ПАК) на базе платформ UserGate E1010, E3010, F8010, FG, а также устройства из новой линейки — G9300. UserGate DCFW на платформе FG готов к официальным поставкам с 25 ноября 2024 года.

Современный ландшафт киберугроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным шагом к построению защищенной инфраструктуры. Немаловажным является способность бизнеса анализировать данные, находить среди них значимые события, выявлять инциденты и расследовать их.

В помощь ИБ-специалисту предлагаем 12 лайфхаков для настройки систем мониторинга безопасности.

13-го апреля 2023 года в мессенджере Telegram обнаружена рассылка с архивом под красноречивым названием 这几笔错误的账单我圈出来了你看看.zip. В результате анализа удалось выяснить, что архив содержит вредоносное программное обеспечение нацеленное на пользователей ОС семейства Windows.

В этой статье представлен технический анализ трояна.  Он может быть полезен специалистам ИБ, которым хочется изучить возможности данного семпла или ознакомиться базовыми подходами ручного анализа вредоносного ПО.