По ста­тис­тике зна­читель­ная часть зараже­ний мал­варью про­исхо­дит из‑за того, что поль­зователь сам запус­тил на сво­ей машине вре­донос­ный файл. Имен­но в этом и зак­люча­ется основная задача зло­умыш­ленни­ков, исполь­зующих соци­аль­ную инже­нерию. Давай пос­мотрим, какие тех­ничес­кие улов­ки и хит­рости они при­меня­ют.

warning

Статья пред­назна­чена для «белых хакеров», про­фес­сиональ­ных пен­тесте­ров и руково­дите­лей служ­бы информа­цион­ной безопас­ности (CISO). Ни автор, ни редак­ция не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный матери­ала­ми дан­ной статьи.

 

Вложения и файлы

Мы рас­смот­рим ата­ки с фай­лами не с точ­ки зре­ния того, как их дос­тавля­ют во вре­мя пен­теста и что в них пишут, что­бы поль­зователь повел­ся. Об этом мы погово­рим в дру­гой раз. Сегод­ня мы кос­немся нес­коль­ких тех­ничес­ких аспектов, вклю­чая мас­киров­ку фай­лов и рас­ширений, и обсу­дим некото­рые лай­фха­ки.

Дос­тавку HTML-фай­лов с объ­ектом JavaScript Blob, закоди­рован­ным с помощью Base64, в статье мы умыш­ленно не рас­смат­рива­ем, пос­коль­ку сей­час обсужда­ется обман людей, а не обход сис­тем защиты.

В целом дос­тавля­емые по каналам свя­зи фай­лы мож­но отнести к сле­дующим катего­риям:

  • фай­лы Microsoft Office;
  • HTML (HTM, SHTML);
  • PDF;
  • ар­хивы (с паролем и без) с наг­рузкой внут­ри;
  • ICS-фай­лы кален­даря.

Рас­смот­рим, какие улов­ки исполь­зуют зло­деи с каж­дым из этих видов фай­лов.

 

Рушим шаблоны поведения через печать

Ког­да сот­рудник ска­чива­ет файл из интерне­та или из вло­жения в поч­товое сооб­щение, его пре­дуп­режда­ют, что содер­жимое фай­ла небезо­пас­но.

Предупреждение о небезопасном содержимом файла
Пре­дуп­режде­ние о небезо­пас­ном содер­жимом фай­ла

Хо­чешь поп­росить его вык­лючить защиту необыч­ным спо­собом? Пред­ставь­ся в пись­ме началь­ником и ска­жи, что этот документ (бланк, таб­лицу) нуж­но рас­печатать и под­писать, ведь сегод­ня в течение дня его заберет сот­рудник отде­ла кад­ров.

Сот­рудник откры­вает окно с печатью и видит, что она недос­тупна.

Предупреждение о недоступности печати
Пре­дуп­режде­ние о недос­тупнос­ти печати

Впро­чем, он при­вык, что его про­сят отклю­чить защищен­ный прос­мотр в самом докумен­те, а это уже нем­ного дру­гой сце­нарий. Сам Word про­сит отклю­чить защиту, ломая шаб­лоны осве­дом­ленно­го поль­зовате­ля.

 

PDF-файлы

На рисун­ке ниже изоб­ражен твит (или как там теперь это пра­виль­но называ­ется) с упо­мина­нием вре­донос­ной ата­ки. Если что, не сер­чай на перевод от Google Translate.

Описание атаки через PDF-файл
Опи­сание ата­ки через PDF-файл

Ну а на сай­те Fortinet ты можешь почитать о под­робнос­тях ата­ки. Быть может, тебе при­годит­ся подоб­ный спо­соб дос­тавки наг­рузки.

Ког­да мы делали свои пер­вые соци­отех­ничес­кие пен­тесты в 2017 году, то для тре­кин­га раз­решений таких вот заг­рузок поль­зовались сер­висом Canarytokens.

Нам и заказ­чику было дос­таточ­но того, что поль­зователь нажал Allow («Раз­решить») во всплы­вающем пре­дуп­режде­нии в PDF-фай­ле. Это уже счи­талось инци­ден­том и показа­телем того, что поль­зователь ском­про­мети­рован.

Интерфейс сервиса Canarytokens
Ин­терфейс сер­виса Canarytokens
 

HTML-файлы

Во вло­жении в сооб­щения элек­трон­ной поч­ты час­то встре­чают­ся такие HTML-фай­лы:

  • с редирек­том на какую‑то твою стра­ницу, нап­ример, это мож­но орга­низо­вать с помощью кода <meta http-equiv="refresh" content="0;URL=https://evil.com"/>;
  • со­дер­жащий вре­донос­ный iframe, который под­тягива­ет твою стра­ницу из интерне­та. Сис­тема защиты может не видеть iframe, а поль­зователь уви­дит;
  • с фишин­говым содер­жимым. При­мер подоб­ного фишин­га показан в отче­те Sophos.

А вот еще при­мер фишин­гового HTML-фай­ла.

Имитация Excel-файла на веб-странице
Ими­тация Excel-фай­ла на веб‑стра­нице

Рас­смат­ривая тех­ничес­кие трю­ки, давай кос­немся и мас­киров­ки рас­ширения .html в поч­товом кли­енте.

От нев­ниматель­ного поль­зовате­ля HTML-вло­жение мож­но замас­кировать так: меж­ду docx и html вста­вить поболь­ше нераз­рывных про­белов (U+00A0, см. рисунок ниже).

Имитация DOCX-документа в имени HTML-файла с неразрывными пробелами
Ими­тация DOCX-докумен­та в име­ни HTML-фай­ла с нераз­рывны­ми про­бела­ми

Да, икон­ка получа­ется не вор­дов­ская, но мно­гие не обра­щают на это вни­мания. А можешь ничего не мас­кировать и отправ­лять как есть.

Имитация DOCX-документа в имени HTML-файла
Ими­тация DOCX-докумен­та в име­ни HTML-фай­ла
 

Архивы с паролем

Для пол­ноты кар­тины нель­зя обой­ти сто­роной клас­сичес­кое скры­тие вре­доно­са в запаро­лен­ном архи­ве. Хоть некото­рые сис­темы защиты бло­киру­ют такие архи­вы от гре­ха подаль­ше, этот спо­соб все еще дос­таточ­но дей­ствен­ный.

Пись­мо с подоб­ным архи­вом выг­лядит при­мер­но так:

Доб­рый день.
Прик­ладываю архив с докумен­тами.
В целях безопас­ности архив защищен паролем.
Па­роль от архи­ва: 12345
С ува­жени­ем, Андрей Пет­ров

Зная, что поль­зователь может быть обу­чен опре­делять такие пись­ма как подоз­ритель­ные, пароль мож­но не упо­минать. Пусть человек сам спро­сит его, а ты выш­лешь пароль отдель­ным пись­мом. Так, по заголов­кам его пись­ма, мож­но убе­дить­ся, что отве­чает на пись­мо имен­но поль­зователь, а не служ­ба ИБ, которая хочет изу­чить твою наг­рузку в архи­ве.

 

Архивы без пароля

Вот так мы пря­тали нас­тоящее рас­ширение фай­ла в архи­ве.

Отображение EXE-файла в архиве, где в имени используется много пробелов
Отоб­ражение EXE-фай­ла в архи­ве, где в име­ни исполь­зует­ся мно­го про­белов

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    5 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии