- Регистрация
- 3 Фев 2025
- Сообщения
- 58
- Реакции
- 12
Изучаем уловки и хитрости для доставки писем с малварью
По статистике значительная часть заражений малварью происходит из‑за того, что пользователь сам запустил на своей машине вредоносный файл. Именно в этом и заключается основная задача злоумышленников, использующих социальную инженерию. Давай посмотрим, какие технические уловки и хитрости они применяют.Вложения и файлы
Мы рассмотрим атаки с файлами не с точки зрения того, как их доставляют во время пентеста и что в них пишут, чтобы пользователь повелся. Об этом мы поговорим в другой раз. Сегодня мы коснемся нескольких технических аспектов, включая маскировку файлов и расширений, и обсудим некоторые лайфхаки.Доставку HTML-файлов с объектом JavaScript Blob, закодированным с помощью Base64, в статье мы умышленно не рассматриваем, поскольку сейчас обсуждается обман людей, а не обход систем защиты.
В целом доставляемые по каналам связи файлы можно отнести к следующим категориям:
- файлы Microsoft Office;
- HTML (HTM, SHTML);
- PDF;
- архивы (с паролем и без) с нагрузкой внутри;
- ICS-файлы календаря.
Рушим шаблоны поведения через печать
Когда сотрудник скачивает файл из интернета или из вложения в почтовое сообщение, его предупреждают, что содержимое файла небезопасно.
Вы должны быть зарегистрированы для просмотра вложений
Хочешь попросить его выключить защиту необычным способом? Представься в письме начальником и скажи, что этот документ (бланк, таблицу) нужно распечатать и подписать, ведь сегодня в течение дня его заберет сотрудник отдела кадров.
Сотрудник открывает окно с печатью и видит, что она недоступна.
Вы должны быть зарегистрированы для просмотра вложений
Впрочем, он привык, что его просят отключить защищенный просмотр в самом документе, а это уже немного другой сценарий. Сам Word просит отключить защиту, ломая шаблоны осведомленного пользователя.
PDF-файлы
На рисунке ниже изображен твит (или как там теперь это правильно называется) с упоминанием вредоносной атаки. Если что, не серчай на перевод от Google Translate.
Вы должны быть зарегистрированы для просмотра вложений
Ну а
Вы должны быть зарегистрированы для просмотра ссылок
ты можешь почитать о подробностях атаки. Быть может, тебе пригодится подобный способ доставки нагрузки.Когда мы делали свои первые социотехнические пентесты в 2017 году, то для трекинга разрешений таких вот загрузок пользовались сервисом
Вы должны быть зарегистрированы для просмотра ссылок
.Нам и заказчику было достаточно того, что пользователь нажал Allow («Разрешить») во всплывающем предупреждении в PDF-файле. Это уже считалось инцидентом и показателем того, что пользователь скомпрометирован.
Вы должны быть зарегистрированы для просмотра вложений
HTML-файлы
Во вложении в сообщения электронной почты часто встречаются такие HTML-файлы:- с редиректом на какую‑то твою страницу, например, это можно организовать с помощью кода <meta http-equiv="refresh" content="0;URL=
Вы должны быть зарегистрированы для просмотра ссылок"/>;
- содержащий вредоносный iframe, который подтягивает твою страницу из интернета. Система защиты может не видеть iframe, а пользователь увидит;
- с фишинговым содержимым. Пример подобного фишинга показан в отчете
Вы должны быть зарегистрированы для просмотра ссылок.
Вы должны быть зарегистрированы для просмотра вложений
Рассматривая технические трюки, давай коснемся и маскировки расширения .html в почтовом клиенте.
От невнимательного пользователя HTML-вложение можно замаскировать так: между docx и html вставить побольше неразрывных пробелов (U+00A0, см. рисунок ниже).
Вы должны быть зарегистрированы для просмотра вложений
Да, иконка получается не вордовская, но многие не обращают на это внимания. А можешь ничего не маскировать и отправлять как есть.
Вы должны быть зарегистрированы для просмотра вложений
Архивы с паролем
Для полноты картины нельзя обойти стороной классическое скрытие вредоноса в запароленном архиве. Хоть некоторые системы защиты блокируют такие архивы от греха подальше, этот способ все еще достаточно действенный.Письмо с подобным архивом выглядит примерно так:
Зная, что пользователь может быть обучен определять такие письма как подозрительные, пароль можно не упоминать. Пусть человек сам спросит его, а ты вышлешь пароль отдельным письмом. Так, по заголовкам его письма, можно убедиться, что отвечает на письмо именно пользователь, а не служба ИБ, которая хочет изучить твою нагрузку в архиве.
Архивы без пароля
Вот так мы прятали настоящее расширение файла в архиве.
Вы должны быть зарегистрированы для просмотра вложений
Пользователи реально не понимали, что перед ними .exe, а не .pdf. А делается это так. В файле Book.pdf.exe после pdf многократно вставлен «средний математический пробел» в Unicode.
Вы должны быть зарегистрированы для просмотра вложений
В такое название файла удалось вставить около 280 пробелов. Поэтому если у пользователя окно просмотра названия файла раздвинуто вправо, то он увидит .exe, но так бывает нечасто.
Вы должны быть зарегистрированы для просмотра вложений
Если вставить много обычных пробелов, то замаскировать настоящее расширение файла это не очень поможет.
Вы должны быть зарегистрированы для просмотра вложений
Опять же это моветон — отправлять .exe в архиве, что легко обнаруживается защитными системами. Но, во‑первых, не у всех установлены такие системы, во‑вторых, я просто люблю все классифицировать, чтобы максимум информации по теме было в одном разделе, даже если какие‑то трюки не работают в организациях, заботящихся о защите информации.
Когда человек пытался запустить полученный от нас EXE-файл на Linux и писал нам, что ему не удается открыть файл, мы ему «помогали» и отправляли другую нагрузку. Можно с уверенностью сказать, что технологии защиты лишь снижают риски и плюсом к ним нужно вкладываться в навыки кибербезопасности людей. Но сейчас не об этом, едем дальше.
Редко используемые разрешения
Отправляя архивы, пробуй разные расширения помимо стандартных .rar и .zip. Пытайся обойти систему защиты (техническую и человеческую) с помощью .cab, .z и других.В 2020 году по России прокатились рассылки с малварью, запакованной в архивы с расширением .001, и кто‑то был явно не готов к таким атакам и не блокировал подобные архивы на почтовом сервере. Проверь, может, они не блокируют и z-архивы
Файл ICS
Формат ICS (первая буква — заглавная i) — это формат файлов, используемый для календарей и еmail-клиентов (Google Calendar, Apple iCal, Microsoft Outlook).В iPhone, например, такой файл отображается следующим образом.
Вы должны быть зарегистрированы для просмотра вложений
В данном случае кнопки «Сохранить» в свой календарь нет, но это не беда. Такой вариант подходит для срочных векторов:
Отправляем в 9:05. Сотрудник подумает, что уже опаздывает, и не будет размышлять, стоит ли переходить по ссылке.
Файл в облаке vs файл на сервере
Напоследок давай рассмотрим, как облачные хранилища файлов помогают сделать файл более безопасным в глазах жертвы.Ссылки на один и тот же файл были отправлены, а после открыты в Outlook. Один файл хранился на Яндекс Диске, второй — прямо на хостинге:
Код:
<https://disk.yandex.ru/d/......>
<https://icast.ru/virus.exe>
Вы должны быть зарегистрированы для просмотра вложений
В загрузках оба файла, соответственно, выглядят так.
Вы должны быть зарегистрированы для просмотра вложений
Делаем вывод, что, если хотим привлекать меньше внимания к файлу, надо загружать его в облачное хранилище.
Недочеты в интерфейсах почтовых клиентов и сервисов
С файлами разобрались, теперь пройдемся по нескольким огрехам в интерфейсе, которые помогают не только пентестерам, но и злоумышленникам вводить жертв в заблуждение.Рассмотрим тему с двух сторон: как мы в благих целях можем использовать эти недочеты при пентесте в фишинговых рассылках и как разработчики ПО могут помочь пользователям различать этот самый фишинг.
На картинке ниже изображен интерфейс входящего письма в Outlook.
Вы должны быть зарегистрированы для просмотра вложений
Логика жертвы такая: раз письмо видят и бухгалтер, и директор, значит, лучше сделать то, что требуется. Все бы ничего, но в копии указаны email-адреса, имитирующие коллег жертвы, на самом деле это несуществующие адреса (см. рисунок ниже).
Но если в первом email еще можно разглядеть букву s со штрихом внизу, то во втором кириллическую букву визуально отличить от латинской невозможно.
Вы должны быть зарегистрированы для просмотра вложений
При наведении курсора мыши email виден тот же, с поддельной буквой.
Вы должны быть зарегистрированы для просмотра вложений
Расчет злоумышленника простой: он указывает фиктивные адреса в копии, письма никуда не доходят, зато жертва думает, что начальство в курсе переписки, и с большей долей вероятности откроет архив с малварью внутри или перейдет по фишинговой ссылке.
«Фейковый» email выглядит похожим на оригинальный домен, потому что Outlook преобразовал Punycode-комбинацию в Unicode.
В другом известном почтовом клиенте точно такая же история: email с Punycode не отображается как <gl.buhgalter@xn--topphish-g9c.ru>, а мог бы.
Итоги
Мы рассмотрели несколько приемов обхода «человеческого файрвола» с помощью технических приемов и недочетов в ПО. Разумеется, сколько существует программ и сервисов, столько в них будет и недочетов, требуется лишь усердие при поиске «обхода системы». Собственно, профессия хакера, в нашем случае белого, как раз и подразумевает, что ты смотришь на мир немного не так, как все остальные.
Последнее редактирование модератором: