Содержание статьи
warning
Статья предназначена для «белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Вложения и файлы
Мы рассмотрим атаки с файлами не с точки зрения того, как их доставляют во время пентеста и что в них пишут, чтобы пользователь повелся. Об этом мы поговорим в другой раз. Сегодня мы коснемся нескольких технических аспектов, включая маскировку файлов и расширений, и обсудим некоторые лайфхаки.
Доставку HTML-файлов с объектом JavaScript Blob, закодированным с помощью Base64, в статье мы умышленно не рассматриваем, поскольку сейчас обсуждается обман людей, а не обход систем защиты.
В целом доставляемые по каналам связи файлы можно отнести к следующим категориям:
- файлы Microsoft Office;
- HTML (HTM, SHTML);
- PDF;
- архивы (с паролем и без) с нагрузкой внутри;
- ICS-файлы календаря.
Рассмотрим, какие уловки используют злодеи с каждым из этих видов файлов.
Рушим шаблоны поведения через печать
Когда сотрудник скачивает файл из интернета или из вложения в почтовое сообщение, его предупреждают, что содержимое файла небезопасно.
![Предупреждение о небезопасном содержимом файла Предупреждение о небезопасном содержимом файла](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33137/image1.png)
Хочешь попросить его выключить защиту необычным способом? Представься в письме начальником и скажи, что этот документ (бланк, таблицу) нужно распечатать и подписать, ведь сегодня в течение дня его заберет сотрудник отдела кадров.
Сотрудник открывает окно с печатью и видит, что она недоступна.
![Предупреждение о недоступности печати Предупреждение о недоступности печати](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33138/image2.png)
Впрочем, он привык, что его просят отключить защищенный просмотр в самом документе, а это уже немного другой сценарий. Сам Word просит отключить защиту, ломая шаблоны осведомленного пользователя.
PDF-файлы
На рисунке ниже изображен твит (или как там теперь это правильно называется) с упоминанием вредоносной атаки. Если что, не серчай на перевод от Google Translate.
![Описание атаки через PDF-файл Описание атаки через PDF-файл](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33139/image3.png)
Ну а на сайте Fortinet ты можешь почитать о подробностях атаки. Быть может, тебе пригодится подобный способ доставки нагрузки.
Когда мы делали свои первые социотехнические пентесты в 2017 году, то для трекинга разрешений таких вот загрузок пользовались сервисом Canarytokens.
Нам и заказчику было достаточно того, что пользователь нажал Allow («Разрешить») во всплывающем предупреждении в PDF-файле. Это уже считалось инцидентом и показателем того, что пользователь скомпрометирован.
![Интерфейс сервиса Canarytokens Интерфейс сервиса Canarytokens](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33140/image5.png)
HTML-файлы
Во вложении в сообщения электронной почты часто встречаются такие HTML-файлы:
- с редиректом на какую‑то твою страницу, например, это можно организовать с помощью кода
<
;meta http-equiv="refresh" content="0; URL=https:// evil. com"/ > - содержащий вредоносный iframe, который подтягивает твою страницу из интернета. Система защиты может не видеть iframe, а пользователь увидит;
- с фишинговым содержимым. Пример подобного фишинга показан в отчете Sophos.
А вот еще пример фишингового HTML-файла.
![Имитация Excel-файла на веб-странице Имитация Excel-файла на веб-странице](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33141/image7.png)
Рассматривая технические трюки, давай коснемся и маскировки расширения .
в почтовом клиенте.
От невнимательного пользователя HTML-вложение можно замаскировать так: между docx и html вставить побольше неразрывных пробелов (U+00A0, см. рисунок ниже).
![Имитация DOCX-документа в имени HTML-файла с неразрывными пробелами Имитация DOCX-документа в имени HTML-файла с неразрывными пробелами](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33142/image8.png)
Да, иконка получается не вордовская, но многие не обращают на это внимания. А можешь ничего не маскировать и отправлять как есть.
![Имитация DOCX-документа в имени HTML-файла Имитация DOCX-документа в имени HTML-файла](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33143/image9.png)
Архивы с паролем
Для полноты картины нельзя обойти стороной классическое скрытие вредоноса в запароленном архиве. Хоть некоторые системы защиты блокируют такие архивы от греха подальше, этот способ все еще достаточно действенный.
Письмо с подобным архивом выглядит примерно так:
Добрый день.
Прикладываю архив с документами.
В целях безопасности архив защищен паролем.
Пароль от архива: 12345
С уважением, Андрей Петров
Зная, что пользователь может быть обучен определять такие письма как подозрительные, пароль можно не упоминать. Пусть человек сам спросит его, а ты вышлешь пароль отдельным письмом. Так, по заголовкам его письма, можно убедиться, что отвечает на письмо именно пользователь, а не служба ИБ, которая хочет изучить твою нагрузку в архиве.
Архивы без пароля
Вот так мы прятали настоящее расширение файла в архиве.
![Отображение EXE-файла в архиве, где в имени используется много пробелов Отображение EXE-файла в архиве, где в имени используется много пробелов](https://static.xakep.ru/images/72b80d5fe07db2727227f34863ee5260/33144/image10.png)
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»