Перейти к содержанию
_Stout

Целевая атака. Не для чайников

Recommended Posts

_Stout

Коллеги, здравствуйте

Сегодня мы (сервис Kaspersky Hosted Security: mailDefend) обнаружили очередной вариант целевой атаки на одного из наших клиентов. Сообщение было послано с Web интерфейса GMail. Аккаунт реальный. Как говорят заголовки, письмо было проверено всеми системами IT безопасности GMail. Письмо пустое, содержить аттач с CHM файлом. CHM содержит HTML страницу с эксплойтом, который запускает EXE файл (упакован MEW), вложенный в CHM. EXE является инсталлером, который устанавливает перехватчик на Winsocks.

Начало HTML страницы ниже:

Иран предпочёл бы начать войну, пока Пентагон к ней не готов

Понимая, что война с Америкой неизбежна, Тегеран предпочел бы начать ее как можно скорее. Пентагон еще не готов к полномасштабным боевым действиям и не успел настроить весь мир против Исламской Республики. Возникает подозрение, что, захватив британских моряков, Иран сознательно провоцирует вооруженный конфликт, который при нынешнем раскладе может обернуться не в пользу Запада…

Нарушение военнослужащими границ другого государства – случай неприятный, но вполне рядовой и отнюдь не уникальный. Самолет, нарушивший воздушное пространство, принуждают к посадке, корабли в территориальных водах – арестовывают, но все это, как правило, заканчивается дипломатическими нотами, возмущением политиков и негодованием прессы. Все зависит от степени доверия сторон и понимания того, что ЧП произошло неумышленно.

Однако случай с британскими моряками – явление неординарное. Оно имеет особый смысл в контексте происходящих событий. Здесь можно рассматривать много вариантов, но главное – понять, случайность это или умысел как с той, так и с другой стороны.

Говорить о том, что точного детектирования этого трояна на момент обнаружения не было ни у одного АВ излишне. Было несколько подозрений на паковщик (F-Prot, Microsoft, Panda). Мы получили лишь один экземпляр этого вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

а с чего вы решили что это целевая атака?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Ох чует мое сердце это очередной небольшой пиар от ЛК. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
а с чего вы решили что это целевая атака?

Что есть массовая рассылка? Когда сообщения с вредоносной программй рассылается веером многим (читай тысячам) адресатам. Соответственно вредоносная программа становится доступна АВ компаниям практически одновременно (и сразу). В противоположность массовой, целевая атака (рассылка) есть рассылка ограниченному кругу адресатов. В данном конкретном случае -- одному. Возможно, что дынный Backdoor (а это именно backdoor) был послан еще кому-то. Но сообщений от клиентов ВирЛаб ЛК не получал. Остальные вирлабы (судя по тому, что на 18-00 MSK) детектили этот бэкдор только 3 АВ (двум мы послали экземпляр, в третью компанию почти наверняка, Backdoor попал из одной из первых двух) можно сказать,что в данном случае имеет место целевая или, если хотите, локальная рассылка.

Встречный вопрос -- чем вызван скепсис?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

суть и смысл целевой атаки в её 100% удачном исходе, поэтому целевая атака по концепции отличается от любой другой (в том числе и вариантов массовых рассылок).

Если кто-то обнаружил целевую атаку и выявил её методы, то надо просто засечь время t1 и t2

t1 - время обнаружения Вами атаки

t2 - время её обнаружения IDS, IPS или Антивирусами или ещё чем то.

если разница между временами ДНИ - то можно говорить о целевой атаке в идеале время t2 не наступит.

если разница минуты и часы то это не целевая атака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Встречный вопрос -- чем вызван скепсис?

просто наблюдал примерно такую-же рассылку, примерно с таким же CHM и она была явно не целевая...

да и вообще просто стало интересно с чего вы решили что целевая..

да и не скептис это, а любопытство=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
суть и смысл целевой атаки в её 100% удачном исходе' date=' поэтому целевая атака по концепции отличается от любой другой (в том числе и вариантов массовых рассылок).

Если кто-то обнаружил целевую атаку и выявил её методы, то надо просто засечь время t1 и t2

t1 - время обнаружения Вами атаки

t2 - время её обнаружения IDS, IPS или Антивирусами или ещё чем то.

если разница между временами ДНИ - то можно говорить о целевой атаке в идеале время t2 не наступит.

если разница минуты и часы то это не целевая атака.[/quote']

Не соглашусь с самым первым предложением. Суть не есть 100% успех. Суть -- атакуется единичный узел (возможно с применением приемов социальной инженерии, если говорить о внешней атаке). О том, что атака апроири будет успешной речи нет.Коллега, возможно наше непонимание друг друга кроется в том, что для вас целевая атака это внутренняя угроза, для меня же и внешняя тоже. Я в данном конкретном случае я говорю о внешней атаке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Ох чует мое сердце это очередной небольшой пиар от ЛК. :)

Не вынесла душа поэта...

Что такое PR? Это построение взаимоотношения со СМИ таким образом, что бы СМИ бесплатно писали о заинтересованной компании (ее продуктахуслугах). Про джинсу говорить не будем -- это не спортивно, неинтересно и просто. Итак, я не являюсь журналистом, я работаю в ЛК, уже только по этому мой пост не является PR. Если бы вы назвали пост рекламой, то я мог бы согласиться. Но PR? Увы и ах -- нет.

Продолжим. О рекламе. Любой пост в этом форуме это реклама. Прямая или косвенная. Хотите ли вы этого или нет. Добро пожаловать на рекламную площадку. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Что такое PR? Это построение взаимоотношения со СМИ таким образом, что бы СМИ бесплатно писали о заинтересованной компании (ее продуктахуслугах).

Ну, не совсем так... :)

Здесь поточнее/

Но при всём при этом в некоторой части общественного сознания слово пиар стало ассоциироваться с недобросовестной, нечистоплотной рекламой.

Здесь чаще всего наблюдается серый пиар. Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Когда, кому, параметры. Плс.

Киностудия М.Горького , буквально месяц-полтора назад, уверен что не целевая потому-что там абсолютно ничего нету, что можно атаковать..

о каким параметрах идёт речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Когда, кому, параметры. Плс.

Киностудия М.Горького , буквально месяц-полтора назад, уверен что не целевая потому-что там абсолютно ничего нету, что можно атаковать..

о каким параметрах идёт речь?

месяц назад не катит. Если бы вы показали, что была рассылка таких же точно сообщений с таким же трояном, то другое дело. Под параметрами я имел ввиду от кого, кому, аттач, текст письма и т.д. Если сохранилось письмо, пришлите, плс, в личку. Интересно будет посмотреть.

Атаковать всегда есть что -- раз есть компы, значит есть информация, которую можно украсть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

нет письмо не сохранилось, я вообщем-то не собираю колекции всего этого..

неизвестный мне адрес, насколько помниться с gmail'a слали, атач zip архив,

внутри chm файл протрояненый каким образом он работал не скажу, через эксплоит или ещё как,

текст не на русском поэтому что написано точно не вспомню..

я вас уверяю что атаковать точно нечего инфа совсем левая там и смысла не имеет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×