Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Вектор атаки FileFix позволяет обойти MoTW и запускать скрипты в Windows

Исследователь mr.d0x рассказал новые подробности вектора атаки под названием FileFix, который позволяет запускать вредоносные скрипты в Windows, обходя стандартную защиту Mark of the Web (MoTW). Всё строится на том, как браузеры сохраняют HTML-страницы.

Неделей ранее mr.d0x уже показал, как можно обмануть пользователя, заставив его вставить специальную PowerShell-команду в адресную строку Проводника Windows. Новый вариант FileFix чуть сложнее, но не менее изобретателен.

Сценарий такой: злоумышленник подсовывает жертве фишинговую страницу с инструкцией сохранить её через Ctrl+S как "Webpage, Complete", а потом переименовать файл в .hta. Почему это опасно? Потому что HTA — это устаревший, но всё ещё рабочий формат HTML-приложений, которые запускаются через встроенный в Windows mshta.exe. А главное — при сохранении страницы в этом режиме файл не получает метку MoTW, то есть Windows не покажет никаких предупреждений при запуске.

В результате — как только пользователь откроет такой файл, встроенный в него скрипт сразу выполнится. Без лишних вопросов и диалогов.

Да, такой трюк требует, чтобы человек сам сохранил файл и сменил расширение — и это, пожалуй, единственная проблема. Но если сайт сделан убедительно (например, подделка под страницу бэкапа MFA-кодов), то даже технически грамотный пользователь может повестись.

 

Что можно сделать, чтобы защититься?

  • Удалить или заблокировать mshta.exe на всех машинах (он находится в C:\Windows\System32 и C:\Windows\SysWOW64).
  • Включить отображение расширений файлов в Windows — чтобы нельзя было легко замаскировать .hta под что-то безобидное.
  • И по возможности — блокировать вложения с HTML-файлами в почте.

Казалось бы, устаревшие технологии вроде HTA уже никому не нужны. Но, как видим, старое зло ещё может выстрелить — особенно если добавить щепотку социальной инженерии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России внедрили ИИ-сервис для поиска пропавших детей

В Новосибирской области внедрили систему видеоаналитики на базе искусственного интеллекта, которая уже помогла найти шестерых пропавших детей. Речь идёт о технологии распознавания лиц, которая анализирует изображения с городских камер видеонаблюдения и сравнивает их с фотографией ребёнка.

Решение разработала компания NtechLab. Поиск запускается только с согласия родителей — нужно позвонить по номеру 112 и загрузить фотографию через специальный сервис. Далее изображение попадает в защищённую систему «Безопасный город», где начинается автоматический поиск.

Система работает с высокой точностью: она умеет распознавать лица даже в большом потоке людей. Если совпадение найдено — об этом сообщают правоохранителям.

Новосибирская область стала первым регионом, где технология начала применяться на практике. По словам региональных властей, цифровой инструмент оказался полезным и достаточно эффективным.

Также отмечается, что подобные решения могут быть встроены в уже существующие системы безопасности и использоваться в других регионах. В будущем таких инициатив, связанных с применением ИИ в социальной сфере, может стать больше.

«Важно, что те решения, которые разрабатывают отечественные компании в направлении искусственного интеллекта, несут не только пользу для бизнеса, но и решают общественные и социальные задачи. Уверен, что с каждым годом мы будем встречать все больше и больше кейсов, которые будут рассказывать о том, как ИИ помогает в той или иной сфере. В свою очередь, мы в "Группе Астра" создали программное решение сквозного конвейера для разработки технологии искусственного интеллекта. Наш проект "Тессеракт" будет способствовать расширению внедрения ИИ в различные сферы деятельности», — говорит Станислав Ежов, директор по ИИ «Группы Астра».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru