Обновлено: 23.11.2024
Этот блог посвящен формату файлов SYLK, формату файлов 1980-х годов, который до сих пор поддерживается самыми последними версиями MS Office. Как оказалось, этот формат файла является очень хорошим кандидатом для создания вооруженных документов, которые злоумышленники могут использовать для создания первоначального плацдарма. В нашей презентации на DerbyCon 8 мы уже продемонстрировали некоторые возможности SYLK.
В этом сообщении блога мы подробно рассмотрим этот формат файла. Мы также предоставляем рекомендации по смягчению последствий файлов SYLK, предназначенных для использования в качестве оружия.
Введение
SYLK означает SYmbolic LinK, формат файлов, появившийся в 1980-х годах. Обычно файлы SYLK имеют расширение .slk. SYLK – это формат файлов, в котором используются только отображаемые символы ANSI. Он был создан для обмена данными между приложениями (например, электронными таблицами и базами данных).
В настоящее время этот формат файла почти не используется, и документация по нему скудна. В Википедии есть ограниченная информация о SYLK. Вероятно, лучшей доступной документацией является файл sylksum.doc, созданный Microsoft и последний раз обновленный в 1986 году (!). Мы разместили копию этого файла здесь. В Руководстве по форматам файлов, написанном Гюнтером Борном, содержится дополнительная информация о SYLK (это книга 1995 года, подержанные экземпляры доступны на Amazon).
Несмотря на то, что это древний формат файла, расширение файла .slk по-прежнему сопоставляется по умолчанию с Excel в самых последних версиях MS Office (подтверждено в 2010, 2013 и 2016).
Мы не первые исследователи наступательной безопасности, изучающие формат файла SYLK. Ранее Мэтт Нельсон продемонстрировал, как DDE-атаки можно комбинировать с SYLK. Этот метод использовался в качестве оружия в различных образцах вредоносного ПО, обнаруженных в дикой природе, таких как этот и этот.
В этом сообщении блога мы покажем, что сила SYLK выходит за рамки DDE-атак. В частности, в файлы этого типа также могут быть встроены вредоносные макросы.
Без защищенного режима
Есть одна важная причина, по которой формат SYLK привлекателен для злоумышленников: песочница защищенного просмотра не применяется к этому формату файлов. Это означает, что если файл SYLK, предназначенный для использования в качестве оружия, доставляется по электронной почте или через Интернет и применяется флаг Mark-of-the-Web, целевого пользователя не беспокоит это предупреждающее сообщение.
Кроме того, файлы SYLK с расширением .slk имеют следующие характеристики.
- SYLK не включен в список заблокированных вложений MS Outlook.
- SYLK не включен в список заблокированных расширений OWA по умолчанию.
- SYLK не помечен как опасный в списке типов файлов безопасного просмотра Chrome.
В целом это делает SYLK хорошим кандидатом на вооружение.
Макросы XLM в SYLK
Этот вопрос без ответа на форуме Excel привлек наше внимание. Можно ли вставлять макросы в SYLK? Простая попытка сохранить файл Excel с проектом VBA в SYLK не сработала: выдавалось предупреждающее сообщение о том, что проект макроса будет потерян в этом формате файла. Повторение этой попытки с макросами Excel 4.0/XLM также не сработало.
Изучив скудную документацию, доступную по SYLK, и после бесчисленных часов экспериментов мы, наконец, достигли нашей цели: макросы можно встраивать в формат файла SYLK.
Откройте блокнот, вставьте следующий текст и сохраните его в файл с расширением .slk:
Дважды щелкните файл, чтобы открыть его в Excel. Нажмите «Включить контент», чтобы включить макросы, и появится калькулятор.
Давайте рассмотрим, как это работает. Каждая строка входного файла SYLK не должна быть длиннее 260 символов (в противном случае Excel отобразит сообщение об ошибке и не будет анализировать эту строку). Каждая строка состоит из одной или нескольких записей, отмеченных точкой с запятой:
- Первая строка с записями «ID» и «P» является маркером, указывающим, что этот файл является файлом SYLK.
- Вторая строка с записью «O» задает параметры для этого документа. "E" означает, что это документ с поддержкой макросов.
- Третья строка содержит запись имен «NN». Мы устанавливаем имя «Auto_open» для ячейки в строке 101, столбце 1 («ER101C1»).
- Четвертая и пятая строки определяют содержимое ячейки ("C"). Записи «X» и «Y» отмечают строку и столбцы (например, строка 1, столбец 101 в первой строке «C»). Запись «E» определяет значение выражения для этой ячейки, в нашем случае это две макрофункции Excel 4.0.
- Последняя строка содержит конец записи файла ("E").
Короче говоря, этот базовый пример файла SYLK определяет ячейку с именем Auto_open, которая выполняет макрофункции EXEC() и HALT() Excel 4.0 (так что это не VBA!). Если вы ориентируетесь на Excel на другом языке, остерегайтесь локализованных имен событий Auto_open. Например, на голландском языке это должно быть переименовано в «Auto_openen».
Процесс внедрения с помощью SYLK
Теперь, когда мы можем встраивать макросы в SYLK, мы можем делать гораздо больше, чем просто открывать калькулятор. В нашем предыдущем сообщении в блоге о макросах Excel 4.0/XLM мы уже продемонстрировали возможности этого типа макросов. Следующее доказательство концепции демонстрирует внедрение шелл-кода с использованием макросов в SYLK:
Код для этого подтверждения концепции доступен на нашей странице GitHub.
- Создайте шелл-код без нулевых байтов. Пример с msfvenom:
msfvenom -c messageBox -a x86 --platform windows -p windows/messagebox TEXT="Привет из шеллкода!" -b "\x00" -f raw > messagebox.bin
- Создайте файл SYLK, который встраивает и загружает шеллкод:
python shellcode_to_sylk.py messagebox.bin > file.slk
Основываясь на подтверждении концептуального кода, которым мы поделились с MDSec на ранней стадии нашего исследования, Доминик Челл также внедрил внедрение процесса с использованием полезной нагрузки SYLK в свой инструмент SharpShooter.
Маскировка SYLK под CSV
Интересной особенностью является то, что файлы SYLK можно маскировать под файлы других типов Excel, включая файлы с разделителями-запятыми (CSV). При анализе файла с расширением .csv Excel автоматически определяет, является ли файл файлом SYLK, когда файл начинается с заголовка «ID;P», который является типичным для SYLK. В этом случае пользователю будет представлен следующий диалог:
Если пользователь нажмет "Да", файл будет открыт как файл SYLK, а не CSV. Итак, с помощью одного дополнительного предупреждающего сообщения мы можем внедрить вредоносный макрос в текстовый файл с расширением .csv.
Злоупотребление SYLK на Mac
Формат файла SYLK также поддерживается в MS Office для Mac. Расширение .slk по умолчанию сопоставляется с Excel для Mac, а также поддерживаются макросы Excel 4.0/XLM, что делает этот формат файла очень хорошим кандидатом для использования на Mac.
Все становится еще интереснее, когда цель использует устаревшую версию MS Office для Mac. MS Office 2011 для Mac содержит уязвимость, из-за которой перед выполнением макроса в файлах SYLK не отображается предупреждающее сообщение. Мой коллега Питер уже писал об этом в блоге. Поскольку Microsoft больше не поддерживает эту версию MS Office, эта уязвимость не будет устранена. К сожалению, мы все еще время от времени замечаем пользователей Mac с этой устаревшей версией MS Office.
SYLK и антивирус
Теоретически файлы SYLK легко сканировать на наличие продукта безопасности, поскольку формат файла очень прост. Однако на практике оказывается, что многие антивирусные продукты не особо заморачиваются по поводу этого формата файла. По нашему опыту, сигнатуры и эвристика обнаружения вредоносных файлов SYLK большинством антивирусных продуктов довольно плохи.
Мы надеемся, что эта запись в блоге поможет лучше понять опасность файлов SYLK и что производители антивирусов примут соответствующие меры. С ростом количества вредоносных образцов SYLK в дикой природе определенно есть мотивация для этого.
Кроме того, следует отметить, что интерфейс сканирования на наличие вредоносных программ (AMSI) не перехватывает макросы в SYLK. Поскольку механизм AMSI для макросов подключается только к VBA, он не работает с макросами на основе Excel 4.0/XLM.
Смягчение
Лучший способ уменьшить злоупотребления — полностью заблокировать файлы SYLK в MS Office, что можно сделать с помощью параметров блокировки файлов в настройках центра управления безопасностью MS Office.
Этот графический интерфейс может немного сбивать с толку. Флажок под «Открыть» означает, что для этого типа файла определено действие блокировки. Таким образом, флажок в разделе «Файлы Dif и Sylk» и выбор «Не открывать выбранные типы файлов» — это то, что вам нужно настроить, чтобы заблокировать открытие файлов SYLK.
Обратите внимание, что этим параметром также можно управлять с помощью групповой политики:
- Соответствующую политику можно настроить в Microsoft Excel 2016\Параметры Excel\Безопасность\Центр управления безопасностью\Параметры блокировки файлов.
- Установите для параметра "Dif and Sylk" значение "Включено: открытие/сохранение заблокировано, используйте политику открытия", чтобы запретить пользователям открывать файлы SYLK в MS Office.
Еще одна возможность для смягчения последствий заключается в том, что макросы в документе SYLK соответствуют параметрам безопасности макросов, настроенным в MS Office. Хотя полное отключение макросов во многих организациях неприемлемо, следующие передовые методы могут снизить риск, связанный с вредоносными макросами в SYLK и других форматах файлов MS Office:
- В MS Office 2013 и 2016 есть функция блокировки макросов в файлах, загружаемых из Интернета. Установите значение DWORD для blockcontentexecutionfrominternet на «1» в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security. Этим параметром также можно управлять через GPO.Включите параметр «Блокировать запуск макросов в файлах Office из Интернета», который можно найти в Microsoft Excel 2016\Параметры Excel\Безопасность\Центр управления безопасностью.
- Кроме того, правила сокращения направлений атаки можно использовать для установления границ того, что макросы могут делать в системе.
Есть отзывы или дополнительные идеи? Свяжитесь с нами в Твиттере!
Обходной блог
Блог о Red Teaming, моделировании атак и других историях ИТ-безопасности из окопов.
О нас
Outflank — компания, занимающаяся информационной безопасностью и обладающая глубокими знаниями в области Red Teaming и моделирования атак. Мы хакеры и опытные профессионалы.
Четыре лучших способа открыть файлы SLK
Первый способ, которым вы всегда должны пытаться открыть расширение файла SLK, — это дважды щелкнуть его, но если это не сработает, вы можете попробовать еще несколько вещей. Существует множество программ, которые могут открывать файлы с разными расширениями, и есть несколько простых способов определить, какое из них использовать.
Дополнительное предложение для File Magic от Solvusoft | ЛСКП | Политика конфиденциальности | Условия | Удалить
Выберите правильную программу
Начните с выбора правильной программы, чтобы открыть файл SLK. Ниже перечислены некоторые из наиболее распространенных программ, используемых для открытия файлов SLK. Один из них должен иметь возможность открыть ваш файл SLK.
Обратите внимание на тип файла
Другие программы могут открыть ваш файл SLK, в зависимости от его типа. Вы можете найти тип файла, указанный в свойствах файла. На ПК с Windows щелкните файл правой кнопкой мыши, выберите «Свойства», затем найдите «Тип файла». На компьютере Mac щелкните файл правой кнопкой мыши, выберите "Подробнее" и найдите раздел "Тип".
Совет. Если это расширение файла SLK, оно, вероятно, относится к типу файлов данных, поэтому любая программа, используемая для файлов данных, должна открыть ваш файл SLK.
Спросите разработчика
Еще один простой способ получить помощь при открытии файла SLK — обратиться к разработчику программного обеспечения. Вы можете найти разработчиков наиболее распространенных программ, используемых для открытия файлов SLK, в списке ниже.
Программное обеспечение | Разработчик |
< td>Файл обмена данными Неизвестно |
Файл блокировки Timeslips | Microsoft Developer |
таблица>
Используйте универсальное средство просмотра файлов
Когда ничего не помогает, универсальный просмотрщик файлов — лучший способ открыть файл SLK. Такие программы, как File Magic (Download), могут открывать файлы разных типов в зависимости от формата. Хотя некоторые файлы могут быть несовместимы с этими программами. Если ваш файл SLK несовместим, он будет открыт только в двоичном формате.
Рекомендуемая загрузка
Дополнительное предложение для File Magic от Solvusoft | ЛСКП | Политика конфиденциальности | Условия | Удалить
Открывает все ваши файлы
КАК ВОЛШЕБНО! 1
Дополнительное предложение File Magic от Solvusoft
EULA | Политика конфиденциальности | Условия | Удалить
1 Неподдерживаемые типы файлов можно открывать в двоичном формате.
Просмотреть файлы
Вы загружаете пробную версию программного обеспечения. Чтобы разблокировать все функции программного обеспечения, необходимо приобрести годовую подписку на программное обеспечение по цене 39,95 долларов США. Подписка автоматически продлевается в конце срока (Подробнее). Нажимая кнопку «Загрузить» выше и устанавливая «File Magic», я подтверждаю, что прочитал и согласен с Лицензионным соглашением с конечным пользователем File Magic и Политикой конфиденциальности.
Несмотря на справедливые предупреждения, Microsoft позволила старому формату Excel .SLK обойти защиту электронной почты и заразить Excel для компьютеров с Windows.
Хакеры написали .SLK, чтобы обойти широко разрекламированную Microsoft систему ATP (Advanced Threat Protection). Несмотря на то, что уловки запутывания относительно просты и хорошо известны, их комбинация полностью обманывает ATP, позволяя зараженному вложению проникнуть к клиентам.
Зараженное вложение .SLK не останавливается Office Protected View, который должен останавливать запуск кода из внешних источников. Вместо этого вложение SLK запускается в Excel для заражения компьютера!
Похоже, что зараженные сообщения адресованы компаниям и даже отдельным лицам. В отличие от большинства атак, при которых рассылаются тысячи или миллионы электронных писем, эти атаки создаются вручную или адаптируются к каждой цели.
Вложение похоже на файл Excel (судя по значку), но на самом деле это файл .SLK. Это очень старый и устаревший формат, который Excel до сих пор поддерживает и, что удивительно, доверяет ему.
Файлы SLK представляют собой форму электронной таблицы в виде простого текста.Содержимое может заполнять ячейки информацией, а также запускать программы на компьютере. Именно эта вторая часть делает их такими опасными.
Обход проверок электронной почты Microsoft
Похоже, это позволяет обойти некоторые проверки безопасности Microsoft. Поскольку сообщение отправляется между почтовыми ящиками, размещенными на сервере Майкрософт, кажется, что электронной почте доверяют больше, чем из внешнего источника.
Использование Hotmail позволяет хакерам проверять, пройдут ли их электронные письма. Одни и те же системы используются для проверки сообщений, отправленных и полученных в почтовых ящиках Microsoft. Если хакеры могут отправить зараженное электронное письмо, не будучи заблокированным Microsoft, они знают, что оно, скорее всего, будет доставлено в папку "Входящие" жертвы.
Расширенная защита от угроз Microsoft (ATP) не может обнаружить зараженные файлы .SLK. Эти простые текстовые файлы написаны, чтобы обмануть ATP. Некоторые приемы хорошо известны и очень просты, но, по-видимому, их достаточно, чтобы обойти АТФ. См. уязвимость baseStriker в Office 365 как один из примеров простого взлома.
Файлы .SLK должны быть заблокированы Microsoft.
Как мы увидим, они известны как опасные. Google Gmail блокирует вложения .SLK. Microsoft, вероятно, не хочет блокировать формат файла, который они создали, несмотря на угрозу безопасности и редкое публичное использование сегодня.
Обход защищенного просмотра Excel
Когда вы открываете документ Office из Интернета или из вложения электронной почты, он должен открываться в режиме защищенного просмотра. Это предотвращает макросы или редактирование, если вы специально не разрешите это.
Защищенный просмотр — это последняя линия защиты от нежелательного документа… или так и должно быть.
Файлы .SLK обходят защищенный просмотр!
Удивительно, но файлы .SLK не проверяются и не блокируются Excel. Даже в последней версии Excel 365 для Windows.
Мы создали простой файл .SLK (это обычный текстовый файл) и открыли его в Excel 365. Он загружался в Excel без предупреждения о защищенном просмотре, даже при открытии из вложения электронной почты.
Да, это 2020 год.
Да, мы слышим о приверженности Microsoft безопасности уже более десяти лет.
Да, эти зияющие дыры в безопасности Office все еще существуют.
Справедливое предупреждение
Microsoft знала о рисках, связанных с файлами .SLK, но ничего не предпринимала для этого. Это не первый раз, когда хакеры используют файлы .SLK.
Еще в ноябре 2019 г. мы говорили об обнаруженной давней ошибке безопасности Office для Mac. Это позволяло файлам SLK работать в Excel для Mac, даже несмотря на то, что настройки безопасности должны были запрещать уведомления и выполнение макросов.
Компания Microsoft рекомендовала использовать фильтры безопасности электронной почты для блокировки файлов .SLK. Они сказали это без явной иронии и, в частности, не последовали собственному совету ATP.
Что делать?
Сетевым администраторам следует серьезно подумать о добавлении .SLK в список заблокированных вложений входящих сообщений электронной почты. Возможно, также удалите ассоциацию файлов, которая открывает .SLK в Excel и показывает обманчивый зеленый значок Excel.
Отдельные пользователи должны всегда проверять расширение входящего файла, а не только значок. Остерегайтесь файлов SLK, а также документов Office в старом стиле с трехбуквенными расширениями, такими как .XLS, .PPT и .DOC. Почему старые документы Office должны быть запрещены
Новый метод атаки позволяет обойти стандартную систему безопасности Microsoft 365 (EOP) и расширенную систему безопасности (ATP). На момент написания Microsoft 365 все еще был уязвим, и атака по-прежнему широко использовалась против клиентов Microsoft 365.
На этой неделе аналитики безопасности Avanan обнаружили значительное увеличение использования файлов .slk в атаках на клиентов Microsoft 365. В ходе этой атаки хакеры отправляют электронное письмо с вложенным файлом .slk, который содержит вредоносный макрос (скрипт MSI exec) для загрузки и установки троянской программы удаленного доступа.
Это очень сложная атака с использованием нескольких методов запутывания, специально разработанных для обхода Microsoft 365. Подробнее см. ниже.
Клиенты Gmail защищены от этой атаки: Google блокирует входящую электронную почту и делает невозможной отправку писем в виде вложений из учетной записи Gmail.
Если вы являетесь клиентом Avanan и находитесь в режиме Protect (Inline), эта атака заблокирована, и пользователи не увидят их в своих почтовых ящиках. Если вы находитесь в режиме мониторинга, мы рекомендуем перейти в режим защиты (встроенный).
В качестве альтернативы мы рекомендуем настроить учетную запись Office 365 таким образом, чтобы она отклоняла файлы этого типа. Файлы SLK относительно редки, поэтому, если у вас нет устаревшей причины для их разрешения, мы рекомендуем исключить расширение SLK в качестве статического правила потока почты, по крайней мере, до тех пор, пока Microsoft не исправит этот пробел.
Рекомендации Microsoft намного сложнее, но они представляют собой еще одну альтернативу для защиты рабочего стола.
Файлы SLK встречаются редко. Если вы получили его в своем почтовом ящике, скорее всего, вы стали мишенью самого последнего вредоносного ПО для удаленного доступа, которое было «обновлено» для обхода Advanced Threat Protection. Сам метод атаки подробно задокументирован, поэтому я объясню его лишь кратко. Основное внимание будет уделено тому, как такая хорошо известная атака обошла фильтры Office 365, включая ATP.
Атака нацелена конкретно на учетные записи Microsoft 365 и до недавнего времени была изолирована от небольшого числа организаций. Это изменилось.
Сообщения об атаках тщательно настраиваются, используя информацию и язык, которые можно было найти и написать только вручную. Кажется, что сообщения исходят от партнера или клиента, используя тему, которая очень специфична для организации и отдельного человека. Например, электронное письмо производителю будет обсуждать спецификации деталей, электронное письмо технической фирме с просьбой внести изменения в крупный заказ на электронику, а электронное письмо в государственное учреждение будет обсуждать юридические вопросы. Темы, содержимое и даже вложенные файлы настраиваются с указанием имени и организации цели. Нет двух одинаковых. Их объединяет то, что сообщения реалистичны и достаточно убедительны, чтобы убедить пользователя щелкнуть прикрепленный файл SLK.
Так называемый файл "Symbolic Link" (SLK) представляет собой удобочитаемый текстовый формат электронной таблицы Microsoft, последний раз обновлявшийся, когда Даллас перестал выходить в эфир в 1986 году. когда файлы XLS были проприетарными, SLK был альтернативой открытого формата до того, как в 2007 году был представлен XLSX. Для конечного пользователя файл SLK выглядит как документ Excel. Для злоумышленника это простой способ обойти систему безопасности Microsoft 365 даже для учетных записей, защищенных расширенной защитой от угроз.
Дэвид Уильямс из V&C Inc.slk
Версия атаки SYLK на этой неделе включает в себя файл SLK с запутанным макросом для запуска команды на компьютере с Windows:
Это запускает установщик Windows (msiexec) в тихом режиме, чтобы установить любой пакет MSI, который они решат разместить на своем сайте. В этой кампании это взломанная версия стандартного приложения для удаленного управления NetSupport, дающего злоумышленнику полный контроль над рабочим столом.
Поскольку «Защищенный просмотр» Windows не применяется к файлам SLK, загруженным из Интернета или по электронной почте, Excel не открывает их в режиме только для чтения. р>
При открытии файла SLK конечный пользователь не видит это сообщение:
Первые версии метода атаки SLK появились в 2018 году и в итоге были заблокированы Microsoft Advanced Threat Protection (ATP). Однако эта новая кампания включает в себя ряд методов запутывания, специально разработанных для обхода ATP.
- Атака была отправлена с сотен бесплатных учетных записей Hotmail
- Макроскрипт содержит символы ^, чтобы запутать фильтры ATP.
- URL-адрес был разделен на две части, чтобы ATP не воспринял его как веб-ссылку,
- Хостинг-сервер стал активным после того, как электронное письмо было отправлено, поэтому он выглядел безопасным, если ATP поместил его в песочницу,
- Хостинг-сервер отвечал только на пользовательские агенты «Установщик Windows», игнорируя другие запросы.
Эти методы специфичны для ATP. Gmail блокирует эти файлы и фактически делает невозможным отправку из учетной записи Gmail.
Злоумышленники воспользовались серией слепых зон в инфраструктуре электронной почты Microsoft.
Атака была отправлена с тысяч учетных записей hotmail.
Важным преимуществом горячей почты для многих злоумышленников является то, что одни и те же фильтры безопасности используются от начала до конца. Если злоумышленник сможет прикрепить и отправить файл, вполне вероятно, что он пройдет через всю инфраструктуру безопасности Microsoft. Если одна из учетных записей будет помечена, Microsoft отключит ее, сообщив злоумышленнику, что его сообщения перехватываются нижестоящими.
Хотя большинство известных механизмов анонимной отправки электронной почты заслуживают плохой репутации спама и фишинга, пользователи Hotmail выигрывают от собственной репутации Microsoft. Поскольку служба была объединена с собственным приложением Outlook, похоже, Microsoft предоставляет им более высокий уровень доверия, чем внешним отправителям.
Макроскрипт включает escape-символы, чтобы запутать фильтры ATP
Злоумышленники пользуются тем, что фильтры ATP интерпретируют текст не так, как командная строка Windows.Обычно ATP может идентифицировать мощную и потенциально вредоносную команду msiexec, но злоумышленники вставили escape-символы командной строки «^», чтобы запутать сценарий.
При чтении из командной строки рабочего стола escape-символы «исчезают», работая так, как будто их никогда не было. Это всего лишь версия командной строки методологий Zero-Font, которые годами досаждали ATP.
URL был разделен на два макроса, чтобы ATP не считывал его как ссылку
Первая макрокоманда создает пакетный файл с первой половиной URL-адреса.
Вторая команда макроса добавляет оставшуюся часть URL-адреса, а затем запускает пакетный файл.
В течение нескольких секунд вредоносный файл SLK выполнил две простые команды, чтобы создать вредоносный скрипт установки и начать установку любого программного обеспечения, которое злоумышленники решат разместить.
Хост-сервер был поставлен на охрану после отправки сообщения
Мы не верим, что ATP тестирует эти файлы в своей тестовой среде, полагаясь на статические фильтры, но мы обнаружили, что другие поставщики также не смогли обнаружить эту атаку, даже когда код выполняется в виртуальной среде.< /p>
В скрипте нет специального кода или интеллекта, чтобы определить, запущен ли он в рамках эмуляции. Вместо этого злоумышленники не включают вредоносный веб-сервер до тех пор, пока электронное письмо не будет отправлено. Поскольку он не может подключиться к серверу, сценарий завершается ошибкой, ничего не устанавливая.
Помимо включения URL только после доставки, сервер переставал работать через несколько часов, отклоняя дальнейшие запросы. Похоже, это способ избежать действий со стороны их провайдера, поскольку «контент, о котором сообщается, больше не доступен по ссылкам, связанным с» атакой, к тому времени, когда запрашивается уведомление об удалении вручную.
Скоординированное время серверов хостинга с отправкой электронных писем предполагает более сложную кампанию. В сочетании с известным характером целевых организаций предполагает APT-группу или государственное действующее лицо.
Хостинг-сервер отвечал только на запросы агентов «установщика Windows»
Помимо времени включения и выключения серверы хостинга использовали еще один распространенный метод, чтобы избежать анализа, отклоняя все запросы, кроме запросов с агентом пользователя: установщик Windows. Это гарантировало, что он будет реагировать только на вредоносный сценарий и не будет обнаружен инструментами анализа URL.
Каждая из передовых методологий запутывания вредоносного ПО была разработана для обхода определенного уровня инфраструктуры управления безопасностью Microsoft 365. Хотя мы понимаем, как каждый из них использовался по очереди, мы все еще не уверены, почему ATP не может обнаружить этот метод в эмуляции. Создание пакетного файла и вызов приложения msiexec считается вредоносным, даже если оно не запускается. Таким образом, мы должны предположить, что ни один из этих файлов не тестируется слоем песочницы. К сожалению, поскольку каждый файл уникален, никакие два вложения не могут иметь одинаковый хэш MD5, что требует дополнительной проверки каждого файла.
Читайте также: