_Stout

Целевая атака. Не для чайников

В этой теме 12 сообщений

Коллеги, здравствуйте

Сегодня мы (сервис Kaspersky Hosted Security: mailDefend) обнаружили очередной вариант целевой атаки на одного из наших клиентов. Сообщение было послано с Web интерфейса GMail. Аккаунт реальный. Как говорят заголовки, письмо было проверено всеми системами IT безопасности GMail. Письмо пустое, содержить аттач с CHM файлом. CHM содержит HTML страницу с эксплойтом, который запускает EXE файл (упакован MEW), вложенный в CHM. EXE является инсталлером, который устанавливает перехватчик на Winsocks.

Начало HTML страницы ниже:

Иран предпочёл бы начать войну, пока Пентагон к ней не готов

Понимая, что война с Америкой неизбежна, Тегеран предпочел бы начать ее как можно скорее. Пентагон еще не готов к полномасштабным боевым действиям и не успел настроить весь мир против Исламской Республики. Возникает подозрение, что, захватив британских моряков, Иран сознательно провоцирует вооруженный конфликт, который при нынешнем раскладе может обернуться не в пользу Запада…

Нарушение военнослужащими границ другого государства – случай неприятный, но вполне рядовой и отнюдь не уникальный. Самолет, нарушивший воздушное пространство, принуждают к посадке, корабли в территориальных водах – арестовывают, но все это, как правило, заканчивается дипломатическими нотами, возмущением политиков и негодованием прессы. Все зависит от степени доверия сторон и понимания того, что ЧП произошло неумышленно.

Однако случай с британскими моряками – явление неординарное. Оно имеет особый смысл в контексте происходящих событий. Здесь можно рассматривать много вариантов, но главное – понять, случайность это или умысел как с той, так и с другой стороны.

Говорить о том, что точного детектирования этого трояна на момент обнаружения не было ни у одного АВ излишне. Было несколько подозрений на паковщик (F-Prot, Microsoft, Panda). Мы получили лишь один экземпляр этого вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а с чего вы решили что это целевая атака?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ох чует мое сердце это очередной небольшой пиар от ЛК. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а с чего вы решили что это целевая атака?

Что есть массовая рассылка? Когда сообщения с вредоносной программй рассылается веером многим (читай тысячам) адресатам. Соответственно вредоносная программа становится доступна АВ компаниям практически одновременно (и сразу). В противоположность массовой, целевая атака (рассылка) есть рассылка ограниченному кругу адресатов. В данном конкретном случае -- одному. Возможно, что дынный Backdoor (а это именно backdoor) был послан еще кому-то. Но сообщений от клиентов ВирЛаб ЛК не получал. Остальные вирлабы (судя по тому, что на 18-00 MSK) детектили этот бэкдор только 3 АВ (двум мы послали экземпляр, в третью компанию почти наверняка, Backdoor попал из одной из первых двух) можно сказать,что в данном случае имеет место целевая или, если хотите, локальная рассылка.

Встречный вопрос -- чем вызван скепсис?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

суть и смысл целевой атаки в её 100% удачном исходе, поэтому целевая атака по концепции отличается от любой другой (в том числе и вариантов массовых рассылок).

Если кто-то обнаружил целевую атаку и выявил её методы, то надо просто засечь время t1 и t2

t1 - время обнаружения Вами атаки

t2 - время её обнаружения IDS, IPS или Антивирусами или ещё чем то.

если разница между временами ДНИ - то можно говорить о целевой атаке в идеале время t2 не наступит.

если разница минуты и часы то это не целевая атака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Встречный вопрос -- чем вызван скепсис?

просто наблюдал примерно такую-же рассылку, примерно с таким же CHM и она была явно не целевая...

да и вообще просто стало интересно с чего вы решили что целевая..

да и не скептис это, а любопытство=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
суть и смысл целевой атаки в её 100% удачном исходе' date=' поэтому целевая атака по концепции отличается от любой другой (в том числе и вариантов массовых рассылок).

Если кто-то обнаружил целевую атаку и выявил её методы, то надо просто засечь время t1 и t2

t1 - время обнаружения Вами атаки

t2 - время её обнаружения IDS, IPS или Антивирусами или ещё чем то.

если разница между временами ДНИ - то можно говорить о целевой атаке в идеале время t2 не наступит.

если разница минуты и часы то это не целевая атака.[/quote']

Не соглашусь с самым первым предложением. Суть не есть 100% успех. Суть -- атакуется единичный узел (возможно с применением приемов социальной инженерии, если говорить о внешней атаке). О том, что атака апроири будет успешной речи нет.Коллега, возможно наше непонимание друг друга кроется в том, что для вас целевая атака это внутренняя угроза, для меня же и внешняя тоже. Я в данном конкретном случае я говорю о внешней атаке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ох чует мое сердце это очередной небольшой пиар от ЛК. :)

Не вынесла душа поэта...

Что такое PR? Это построение взаимоотношения со СМИ таким образом, что бы СМИ бесплатно писали о заинтересованной компании (ее продуктахуслугах). Про джинсу говорить не будем -- это не спортивно, неинтересно и просто. Итак, я не являюсь журналистом, я работаю в ЛК, уже только по этому мой пост не является PR. Если бы вы назвали пост рекламой, то я мог бы согласиться. Но PR? Увы и ах -- нет.

Продолжим. О рекламе. Любой пост в этом форуме это реклама. Прямая или косвенная. Хотите ли вы этого или нет. Добро пожаловать на рекламную площадку. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что такое PR? Это построение взаимоотношения со СМИ таким образом, что бы СМИ бесплатно писали о заинтересованной компании (ее продуктахуслугах).

Ну, не совсем так... :)

Здесь поточнее/

Но при всём при этом в некоторой части общественного сознания слово пиар стало ассоциироваться с недобросовестной, нечистоплотной рекламой.

Здесь чаще всего наблюдается серый пиар. Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда, кому, параметры. Плс.

Киностудия М.Горького , буквально месяц-полтора назад, уверен что не целевая потому-что там абсолютно ничего нету, что можно атаковать..

о каким параметрах идёт речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда, кому, параметры. Плс.

Киностудия М.Горького , буквально месяц-полтора назад, уверен что не целевая потому-что там абсолютно ничего нету, что можно атаковать..

о каким параметрах идёт речь?

месяц назад не катит. Если бы вы показали, что была рассылка таких же точно сообщений с таким же трояном, то другое дело. Под параметрами я имел ввиду от кого, кому, аттач, текст письма и т.д. Если сохранилось письмо, пришлите, плс, в личку. Интересно будет посмотреть.

Атаковать всегда есть что -- раз есть компы, значит есть информация, которую можно украсть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет письмо не сохранилось, я вообщем-то не собираю колекции всего этого..

неизвестный мне адрес, насколько помниться с gmail'a слали, атач zip архив,

внутри chm файл протрояненый каким образом он работал не скажу, через эксплоит или ещё как,

текст не на русском поэтому что написано точно не вспомню..

я вас уверяю что атаковать точно нечего инфа совсем левая там и смысла не имеет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS