Содержание статьи
warning
Статья предназначена для «белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Вложения и файлы
Мы рассмотрим атаки с файлами не с точки зрения того, как их доставляют во время пентеста и что в них пишут, чтобы пользователь повелся. Об этом мы поговорим в другой раз. Сегодня мы коснемся нескольких технических аспектов, включая маскировку файлов и расширений, и обсудим некоторые лайфхаки.
Доставку HTML-файлов с объектом JavaScript Blob, закодированным с помощью Base64, в статье мы умышленно не рассматриваем, поскольку сейчас обсуждается обман людей, а не обход систем защиты.
В целом доставляемые по каналам связи файлы можно отнести к следующим категориям:
- файлы Microsoft Office;
- HTML (HTM, SHTML);
- PDF;
- архивы (с паролем и без) с нагрузкой внутри;
- ICS-файлы календаря.
Рассмотрим, какие уловки используют злодеи с каждым из этих видов файлов.
Рушим шаблоны поведения через печать
Когда сотрудник скачивает файл из интернета или из вложения в почтовое сообщение, его предупреждают, что содержимое файла небезопасно.
Хочешь попросить его выключить защиту необычным способом? Представься в письме начальником и скажи, что этот документ (бланк, таблицу) нужно распечатать и подписать, ведь сегодня в течение дня его заберет сотрудник отдела кадров.
Сотрудник открывает окно с печатью и видит, что она недоступна.
Впрочем, он привык, что его просят отключить защищенный просмотр в самом документе, а это уже немного другой сценарий. Сам Word просит отключить защиту, ломая шаблоны осведомленного пользователя.
PDF-файлы
На рисунке ниже изображен твит (или как там теперь это правильно называется) с упоминанием вредоносной атаки. Если что, не серчай на перевод от Google Translate.
Ну а на сайте Fortinet ты можешь почитать о подробностях атаки. Быть может, тебе пригодится подобный способ доставки нагрузки.
Когда мы делали свои первые социотехнические пентесты в 2017 году, то для трекинга разрешений таких вот загрузок пользовались сервисом Canarytokens.
Нам и заказчику было достаточно того, что пользователь нажал Allow («Разрешить») во всплывающем предупреждении в PDF-файле. Это уже считалось инцидентом и показателем того, что пользователь скомпрометирован.
HTML-файлы
Во вложении в сообщения электронной почты часто встречаются такие HTML-файлы:
- с редиректом на какую‑то твою страницу, например, это можно организовать с помощью кода
<
;meta http-equiv="refresh" content="0; URL=https:// evil. com"/ > - содержащий вредоносный iframe, который подтягивает твою страницу из интернета. Система защиты может не видеть iframe, а пользователь увидит;
- с фишинговым содержимым. Пример подобного фишинга показан в отчете Sophos.
А вот еще пример фишингового HTML-файла.
Рассматривая технические трюки, давай коснемся и маскировки расширения .
в почтовом клиенте.
От невнимательного пользователя HTML-вложение можно замаскировать так: между docx и html вставить побольше неразрывных пробелов (U+00A0, см. рисунок ниже).
Да, иконка получается не вордовская, но многие не обращают на это внимания. А можешь ничего не маскировать и отправлять как есть.
Архивы с паролем
Для полноты картины нельзя обойти стороной классическое скрытие вредоноса в запароленном архиве. Хоть некоторые системы защиты блокируют такие архивы от греха подальше, этот способ все еще достаточно действенный.
Письмо с подобным архивом выглядит примерно так:
Добрый день.
Прикладываю архив с документами.
В целях безопасности архив защищен паролем.
Пароль от архива: 12345
С уважением, Андрей Петров
Зная, что пользователь может быть обучен определять такие письма как подозрительные, пароль можно не упоминать. Пусть человек сам спросит его, а ты вышлешь пароль отдельным письмом. Так, по заголовкам его письма, можно убедиться, что отвечает на письмо именно пользователь, а не служба ИБ, которая хочет изучить твою нагрузку в архиве.
Архивы без пароля
Вот так мы прятали настоящее расширение файла в архиве.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»