Категория > Новости > Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью - «Новости»

Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью - «Новости»


26-10-2023, 14:45. Автор: Ольга
на сай­те Fortinet ты можешь почитать о под­робнос­тях ата­ки. Быть может, тебе при­годит­ся подоб­ный спо­соб дос­тавки наг­рузки.

Ког­да мы делали свои пер­вые соци­отех­ничес­кие пен­тесты в 2017 году, то для тре­кин­га раз­решений таких вот заг­рузок поль­зовались сер­висом Canarytokens.


Нам и заказ­чику было дос­таточ­но того, что поль­зователь нажал Allow («Раз­решить») во всплы­вающем пре­дуп­режде­нии в PDF-фай­ле. Это уже счи­талось инци­ден­том и показа­телем того, что поль­зователь ском­про­мети­рован.


Читайте также - Вкладка “Авторы и школы онлайн обучения” включает современные инфоматериалы, посвящённые обучающим тренингам и книгам, популярным курсам опытных тренеров, профессионалов в своём деле и позволяет скачать существующие инфопродукты - складчина.

Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью - «Новости»
Ин­терфейс сер­виса Canarytokens 

HTML-файлы


Во вло­жении в сооб­щения элек­трон­ной поч­ты час­то встре­чают­ся такие HTML-фай­лы:



  • с редирек­том на какую‑то твою стра­ницу, нап­ример с помощью кода <meta http-equiv="refresh" content="0;URL=https://evil.com"/>;

  • со­дер­жащий вре­донос­ный iframe, который под­тягива­ет твою стра­ницу из интерне­та. Сис­тема защиты может не видеть iframe, а поль­зователь уви­дит;

  • с фишин­говым содер­жимым. При­мер подоб­ного фишин­га показан в отче­те Sophos.


А вот еще при­мер фишин­гового HTML-фай­ла.


Ими­тация Excel-фай­ла на веб‑стра­нице

Рас­смат­ривая тех­ничес­кие трю­ки, давай кос­немся и мас­киров­ки рас­ширения .html в поч­товом кли­енте.


От нев­ниматель­ного поль­зовате­ля HTML-вло­жение мож­но замас­кировать так: меж­ду docx и html вста­вить поболь­ше нераз­рывных про­белов (U+00A0, см. рисунок ниже).


Ими­тация DOCX-докумен­та в име­ни HTML-фай­ла с нераз­рывны­ми про­бела­ми

Да, икон­ка получа­ется не вор­дов­ская, но мно­гие не обра­щают на это вни­мания. А можешь ничего не мас­кировать и отправ­лять как есть.


Ими­тация DOCX-докумен­та в име­ни HTML-фай­ла 

Архивы с паролем


Для пол­ноты кар­тины нель­зя обой­ти сто­роной клас­сичес­кое скры­тие вре­доно­са в запаро­лен­ном архи­ве. Хоть некото­рые сис­темы защиты бло­киру­ют такие архи­вы от гре­ха подаль­ше, этот спо­соб все еще дос­таточ­но дей­ствен­ный.


Пись­мо с подоб­ным архи­вом выг­лядит при­мер­но так:


Доб­рый день.
Прик­ладываю архив с докумен­тами.
В целях безопас­ности архив защищен паролем.
Па­роль от архи­ва: 12345
С ува­жени­ем, Андрей Пет­ров


Зная, что поль­зователь может быть обу­чен опре­делять такие пись­ма как подоз­ритель­ные, пароль мож­но не упо­минать. Пусть человек сам спро­сит его, а ты выш­лешь пароль отдель­ным пись­мом. Так, по заголов­кам его пись­ма, мож­но убе­дить­ся, что отве­чает на пись­мо имен­но поль­зователь, а не служ­ба ИБ, которая хочет изу­чить твою наг­рузку в архи­ве.


 

Архивы без пароля


Вот так мы пря­тали нас­тоящее рас­ширение фай­ла в архи­ве.


Отоб­ражение EXE-фай­ла в архи­ве, где в име­ни исполь­зует­ся мно­го про­белов
Перейти обратно к новости