В корпоративном блоге компании UserGate на "Хабре" выкладывается серия материалов, посвященных исследованию кибератак. Сейчас уже доступны пять объемных обзоров.
В первом из них команда UserGate uFactor рассмотрела два сценария загрузки основных вредоносных модулей на компьютерную систему, подвергнувшуюся атаке.
Первый сценарий - атака с подачи LNK-файлов, в каких применяются криптографические методы, второй - атака через BAT-файлы.
Основным вектором атаки в обоих сценариях выступает фишинговая рассылка. Файлы, приложенные к фишинговым электронным письмам, обычно упакованы в ZIP-архив. Изредка архивы оберегают паролем для обхода СЗИ, сам пароль указывается в тексте известия.
Сценарий 1: криптография в LNK-файле
В качестве промежуточного звена для загрузки основного вредоносного модуля могут являться применены файлы MS-SHLLINK. Для выполнения сценария в LNK-файлах используются командные интерпретаторы CMD или PowerShell, но имеются также и те методы. К сценарию зачастую применяются методы сокрытия вредоносных команд, такими как кодирование, обфускация или шифрование, что затрудняет детектирование угрозы средствами защиты информации.
Для просмотра содержимого LNK-файлов можно воспользоваться hex-редактором, утилитами xxd или cat в UNIX-подобных системах. Стоит обратить внимание, что некоторые hex-редакторы могут отображать не сам LNK-файл, а содержимое файла, на который ссылается ярлык.
Полную верисю материала читайте здесь.