Zip File, мамкины хацкеры. Сегодня я расскажу вам, как злоумышленники прячут ссылки на вредоносное программное обеспечение и фишинговые сайты прямо в word’овских документах. Данный метод маскировки настолько хорош, что может поставить в тупик, даже прожжённого офисного планктона. Его очень часто используют при распространении палёных курсов и тренингов.
Да-да, те самые книги и руководства про успешный успех от нелюбимых вами инфоцыган, в лёгкую могут таить под капотом реальную угрозу для вашей безопасности. Особенно если качаете вы это добро с какого-нибудь сливапа или только что созданного паблика в телеграме. Тут вероятность нарваться на дерьмецо возрастает в разы.
Что ж, друзья, думаю суть понятна. Давайте нынче не будем долго запрягать и сразу перейдём к практике. А то мне ещё утром на участок надо бежать, поправки путинские принимать. Вбрасывать там, фальсифицировать. Ну вы знаете, всё как обычно. Мы там это, с колен вроде как встаём, так что низя опаздывать. Уж не обессудьте за столь лаконичное вступление. Погнали.
Шаг 1. Создаём на рабочем столе новый вордовский документ. Так и назову его – гавнокурс, чтобы все инфоцыгане, включая вашего покорного слугу, обладающего самоиронией, были довольны.
Шаг 2. Открыв док переходим на вкладку «Вставка» и ищем пункт интеграции «Видео из интернета». В открывшемся окне вводим для примера название youtube-канала и кликаем по иконке поиска.
Шаг 3. Вставлю для демонстрации рандомное видео со своего проекта.
Шаг 4. Отлично. Видос в файле. Примерно так их вставляют в качестве доп. материалов к основной статье различные интернет-гуру. Теперь можно закрывать документ, не забывая при этом сохранить изменения.
Шаг 5. Далее запускаем WinRAR и вызвав контекстное меню вордовского файла, переходим к его внутреннему содержимому.
Шаг 6. Нас интересует файлик «document.xml». Он содержит в себе дополнительные настройки для текста и, собственно, сам текст нашего документа. Вытаскиваем его на рабочий стол
Шаг 7. И открыв в нотпаде или блокноте ищем строчку со ссылкой на youtube-видео. Вот она.
Шаг 8. Ну а дальше, мы вольны творить что душе угодно. Давайте, забавы ради встроим код логгера для выяснения местоположения и IP-адреса потенциальной жертвы. Для этого заходим на iplogger.org и вставляем любую ссылку в первое окно. Жмём «получить код».
Шаг 9. Копируем получившуюся ссылку для сбора IP в буфер обмена.
Шаг 10. И вставляем её вместо ссылки на видео в нашем XML-файле.
Шаг 11. После внесения изменений закрываем редактор файла с последующим сохранением.
Шаг 12. И возвращаем его на место закинув в окно WinRAR’a. Окей.
Шаг 13. Давайте проверим, что же мы намудрили. Открываем гавнокурс и подводим ползунок к видосу. Программа показывает, что при нажатии, будет запущен видеоролик с ютуба. Ничего подозрительного. Уверяю, 88% юзверей даже не почуют подвоха.
Шаг 14. Однако при открытии, вместо долгожданного видео, на экране выскакивает ошибка. Тут человек, как правило думает, что мол, ну и ладно. Подумаешь видос не работает, главное книжку скачал на халяву.
Шаг 15. Мы же, тем временем, можем вернуться на сайт iplogger и в разделе «Статистика посещений», посмотреть IP-адрес с которого была зафиксирована попытка просмотра.
Шаг 16. Также тут можно прочекать геолокацию, вплоть до дома.
И это, ещё самое безобидное, что можно было внедрить. Вы ведь помните, я тут не армию злоумышленников выращиваю, а объясняю основы инфосека в обучающих целях для понимающей аудитории. Но настоящий блэк хэт будет вставлять далеко не безобидный логгер для выяснения вашего адреса. Он встроит ратник, вирусную программу или какого-нибудь хитро вые***ый java-script.
Данная фиха работает в пакетах MSOffice, начиная с версии 2013 года. И в данный момент, её до сих пор не пофиксили. Я специально скачал для записи самый последний апдейт, дабы убедиться в проверке функционала. И да, я дико извиняюсь за кликбейт, но вы порой правда просите сделать очень узкие темы, которые в интернете никому на*уй не сдались. Поэтому приходится как-то выкручиваться и перефразировать.
Однако, уверяю вас, это сделано умышленно и даже банальное знание IP-адреса может сыграть на руку грамотному пентестеру. Так, в следующем видео, я покажу, как зная внешний IP-адрес роутера, можно провести по нему полноценную DDoS-атаку. Но эт только если соберёте 500 лайков под этим роликом. Денчику нужны ваши лойсы. А ещё я коллекционирую души в виде подписок. Так что если ты, друг мой впервые забрёл на канал, то не тупи а.
Кликай на грёбаный колокол и в твоей ленте регулярно будут появляться годнейшие гайды на тему этичных взломов, пентестинга и самой что ни на есть информационной безопасности. С олдов по традиции, жду комментарии, касательно того, что бы вы встроили в такой документ, перейди вы, чисто теоретически на тёмную сторону. Мне будет весьма интересно узнать, чего же вы жаждите на самом деле.
Ну а у меня на сегодня всё. В заключении, хочу пожелать вам удачи, успеха и самое главное безопасного обучения. Берегите себя и свои тачки, скачивайте материалы только на официальных сайтах инфоцыган и никогда не попадайтесь на такие уловки. Помните, что халявный сыр – бывает только в мышеловке. А за всё, действительно годное и крутое – приходится платить либо временем, либо рублём, либо дважды. С вами, как обычно, был Денчик. До новых встреч, камрады. Всем пока.
Недавно произошла довольно странная ситуация, вдаваться в подробности не буду.
Вопрос: Возможно ли вшить вирус или скрипт в обычный Word .doc файл? Я открыл такой с телефона, там был только обычный текст, без картинок, видео и тд. Затем я внес некоторые изменения. Может ли Android быть зараженным вредоносным скрытым ПО после этого?
-
Вопрос задан10 февр.
-
243 просмотра
Вредоносный код может быть в любом файле, который обрабатывается какими-либо программами целевого компьютера. И в офисных форматах, и в PDF, и даже в PNG — вот, например, свежая новость: https://www.opennet.ru/opennews/art.shtml?num=58610
Не уверен насчет уязвимостей в картинках, а более распространенные зловреды неплохо выявляет сайт virustotal.com , например.
Пригласить эксперта
Да, в последнее время таких немало. Но, как правило, они ориентированы на заражение Windows, про Android не слышал, но это не означает, что таких не может быть.
Конечно возможно. Если есть выполнение макросов — то тем более
Не только возможно, но и широко применяется. Не знаю, как для андроида, но для винды их зиллион таких.
-
Показать ещё
Загружается…
15 апр. 2023, в 20:17
3500 руб./за проект
15 апр. 2023, в 19:47
15000 руб./за проект
15 апр. 2023, в 19:01
10000 руб./за проект
Минуточку внимания
Восстановление файлов и лечение вируса шифровальщика
Лечение вируса шифровальщика. Все чаще компьютеры подвергаются атакам вирусов. Есть вирусы, которые поражают браузеры, загрузчики системы, определенные программы и даже компьютерное железо. Не меньший вред наносят вирусы шифровальщики, которые шифруют файлы Word, Excel, базу 1C, электронные ключи, документы налоговой и пенсионного фонда.
И если в организации нет опытного программиста, то чаще всего все эти документы становятся безвозвратно потерянными. Самое простое, что можно сделать в этом случае, — это переустановить операционную систему. Такой вирус может прийти по электронной почте и распространиться по локальной сети за очень короткое время.
О том, как можно восстановить файлы после «работы» такого вируса нам сегодня расскажет Антон Севостьянов, который работает системным администратором, и практически каждый день сталкивается с различными компьютерными проблемами, которые могут коснуться любого из нас. Сегодня же речь пойдет о вирусах-шифровальщиках.
Мнение эксперта
Витальева Анжела, консультант по работе с офисными программами
Со всеми вопросами обращайтесь ко мне!
Задать вопрос эксперту
Такой генератор создает для каждой новой копии вируса свой собственный расшифровщик, отличный от всех остальных, но выполняющий ту же функцию. Если же вам нужны дополнительные объяснения, обращайтесь ко мне!
Так Stealth-вирусы скрываются от опытного пользователя и многих антивирусных средств, которые осуществляют ранний поиск вирусов по изменениям длин файлов контрольных сумм и содержимого загрузочных секторов.
Характеристика заражения разными видами компьютерных вирусов / Справочник: Бингоскул
Способ, при котором вирус дописывается в конец файла и изменяет у COM-файла первые несколько байт, а у EXE-файла — несколько полей заголовка, часто называется стандартным способом заражения файлов.
Календарь событий
Ежегодная конференция КОД ИБ | ПЕРМЬ 2023
Код ИБ — экосистема проектов с самым широким охватом ИБ-профессионалов. Региональная. Подробнее
Вебинар «Защита интеллектуальных систем учета электроэнергии»
Компания Infotecs приглашает 14 апреля с 10.00 до 11.00 на вебинар «Защита интеллектуальных систем. Подробнее
Вебинар «Резервное копирование и хранение данных с Киберпротект»
ГК «Перемена» с компанией «Киберпротект» приглашают вас 14 апреля 2023г. в 11:00 (мск) на. Подробнее
Гайд-вебинар от «СёрчИнформ»: как решать ИБ-задачи с помощью SIEM
«СёрчИнформ» приглашает специалистов по ИТ и информационной безопасности, на бесплатный. Подробнее
Вебинар «Импортозамещение в Информационной безопасности: что происходит на рынке, обзор конкретных ИБ-продуктов»
Вебинар «Импортозамещение в Информационной безопасности: что происходит на рынке, обзор. Подробнее
Вебинар «Что делать, если импортные СЗИ стали ключевым риском вашей АСУ ТП?»
Вебинар «Что делать, если импортные СЗИ стали ключевым риском вашей АСУ ТП» состоится 14. Подробнее
Вебинар «Автоматизация защиты персональных данных»
О вебинаре В Госдуму внесен законопроект об усилении защиты персональных данных россиян. Подробнее
Семинар: Security Roadshow 2023
Приглашаем Вас 14 апреля 2023 года (начало в 13:00) принять участие в семинаре, тематика которого. Подробнее
Восстановление файлов и лечение вируса шифровальщика
Zip File, мамкины хацкеры. Сегодня я расскажу вам, как злоумышленники прячут ссылки на вредоносное программное обеспечение и фишинговые сайты прямо в word’овских документах. Данный метод маскировки настолько хорош, что может поставить в тупик, даже прожжённого офисного планктона.
Мнение эксперта
Витальева Анжела, консультант по работе с офисными программами
Со всеми вопросами обращайтесь ко мне!
Задать вопрос эксперту
жестком диске, на котором устанавливается сама операционная система включена функция защиты системы Мой компьютер ПКМ Свойства Дополнительные параметры системы Защита системы С Включено. Если же вам нужны дополнительные объяснения, обращайтесь ко мне!
Вредоносные приложения появились в 1960-х годах, вирусы – в 80-х годах. При заражении компьютера они способны нанести непоправимый вред хранимой на дисках информации, подчинить аппаратные ресурсы ПК воле автора зловредной программы. Рассмотрим основные способы заражения ПК и виды проявления деятельности вирусов.
Тест по информатике на тему Компьютерные вирусы и антивирусные программы
Так Stealth-вирусы скрываются от опытного пользователя и многих антивирусных средств, которые осуществляют ранний поиск вирусов по изменениям длин файлов контрольных сумм и содержимого загрузочных секторов.
Меры профилактики заражения ПК вирусом
При комплексном подходе предотвратить инфицирование системы реально. Кратко перечислим меры защиты личной информации от компьютерных вирусов.
- Использование подлинной версии надёжного антивирусного продукта.
- Загрузка бесплатных приложений только с официальных сайтов с предварительной проверкой объектов в облаке, например, на Virustotal.
- Работа в операционной системе из-под учётной записи с ограниченными правами.
- Проверка ссылок в сообщениях на почте и мессенджерах на безопасность.
- Регулярное обновление операционной системы, баз антивируса.
- Периодическое сканирование дисков.
- Отключение автозапуска съемных накопителей.
- Использование брандмауэра, VPN.
- Блокировка всплывающих окон в браузере.
- Использование расширений для удаления рекламы.
Во избежание заражения не стоит кликать по рекламе, скачивать взломанные программы, патчи к ним, посещать сайты с плохой репутацией.
Мнение эксперта
Витальева Анжела, консультант по работе с офисными программами
Со всеми вопросами обращайтесь ко мне!
Задать вопрос эксперту
Таким образом, код вируса присутствует в системе в единственном экземпляре, а все зараженные файлы всего лишь подключают его. Если же вам нужны дополнительные объяснения, обращайтесь ко мне!
Вирусы, которые распространяются в компьютерной сети и не изменяют файлы или секторы дисков. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
НОУ ИНТУИТ | Лекция | Классификация вирусов
- Вирусы – им присущи все перечисленные выше признаки.
- Рекламное ПО – во вкладках браузера, на рабочем столе, в разных программах появляется однообразная реклама.
- Шпионы – маскируются, могут изменять настройки безопасности, блокировать выход в интернет.
- Вымогатели – блокируют доступ к диску, препятствуют загрузке ОС, рабочего стола. Просят перевести деньги за код для расшифровки данных.
- Боты – задействуют аппаратные возможности ПК в целях злоумышленника, обычно – участие в бот-сетях для организации DDoS-атак.
- Руткиты – получают удалённый доступ к ПК, управляют им в фоне.
- Трояны – имеют обширный спектр проявлений.
- Майнеры – сильно нагружают видеокарту, процессор. Одни – всегда, другие – во время простоя компьютера.
Лечение зашифрованных файлов / Подробнее.http://www.drweb.ru / Поддержка / Антивирусная лаборатория Модификации вируса пишут часто, по этому работники антивирусных программ не успевают разрабатывать дешифраторы.
| Вид вредоноса | Как работает |
| Файловый | Встраивается в исполняемый файл, активируется при его выполнении. |
| Загрузочный | Прописывается в загрузочный сектор накопителя. |
| Макровирус | Макрокоманды, заражающие документы Word, Excel. |
| Драйверный | Инфицируют драйверы. |
| Сетевой | Распространяются по сети, в виде вложений в электронные письма. |
#1
Off
Protix
-
- Platinum +
- Сообщений: 35
- Онлайн: 16ч 12м 35с
- Регистрация: 09.01.2021
- Заработано: 11 руб.
Репутация:
75
Отправлено 27 Январь 2021 — 00:33
Добрый вечер, дорогие друзья. Сегодня мы поговорим о том, как заражают Microsoft Word и почему не стоит открывать непроверенные документы, pdf и т.д.
Вирусы, отслеживание, рефки — это именно те вещи, которые очень хорошо интегрируются в Word. Обычно люди не проверяют документы на уязвимости, а
антивирусы не бьют тревогу, поэтому злоумышленники этим активно пользуются.
Я не буду вшивать в файл конкретный вирус, а просто покажу способ его «заражения» на примере старого доброго IPloggera’a (https://iplogger.org/)
Итак, приступим
-
5
- Наверх
#2
Off
Knight
Knight
-
- Premium
- Сообщений: 303
- Онлайн: 52д 22ч 30м 45с
- Регистрация: 19.09.2018
- Заработано: 303 руб.
Репутация:
471
Отправлено 27 Январь 2021 — 01:44
-
0
- Наверх
#3
Off
Protix
Protix
-
- Platinum +
- Сообщений: 35
- Онлайн: 16ч 12м 35с
- Регистрация: 09.01.2021
- Заработано: 11 руб.
Репутация:
75
Отправлено 27 Январь 2021 — 02:44
Итак, приступим
1. Создаем новый документ Word > Переходим во вкладку «вставка» > пункт «интеграция видео из интернета».
2. Выбираем YouTube > пишем нужное название канала и выбираем ролик. Все. Наш ролик в файле.
(вы можете выбрать любой другой сайт, необязательно ютуб)
3. Сохраняем и закрываем документ > запускаем WinRAR > находим наш документ.
4. Кликаем по документу и у нас открывается его внутреннее содержимое > открываем папку word > видим файл document.xml
5. Перетаскиваем на рабочий стол и открываем его через блокнот > находим в нем ссылку на наше видео и заменяем на ссылку IPlogger’a
6. Сохраняем и возвращаем в винрар.
Все. Теперь если открыть наш документ ворд, то там так и останется ролик. Даже если навести курсором будет отобраться ссылка на видео, а не на IPlogger.
После того, как человек попробует посмотреть видео нам моментально придут его координаты и IP адрес.
⚠Такие манипуляции в Word можно проворачивать абсолютно с чем угодно, поэтому вывод тут один — проверяйте все и всегда
-
0
- Наверх
#4
Off
ray1978
ray1978
-
- Premium
- Сообщений: 550
- Онлайн: 135д 15ч 57м 3с
- Регистрация: 02.12.2013
- Заработано: 70 руб.
Репутация:
241
Отправлено 27 Январь 2021 — 04:34
Разве в динамическом IP у пользователя есть ли толк в его получении?
А что за координаты?
-
0
- Наверх
#5
Off
vr_escape
vr_escape
-
- Premium
- Сообщений: 200
- Онлайн: 19д 15ч 21м 2с
- Регистрация: 25.08.2015
- Заработано: 23 руб.
Репутация:
29
Отправлено 27 Январь 2021 — 06:37
Если антивирусы не видят угрозы.Подскажите,какой лучший способ проверки.
-
0
- Наверх
Эксперты компании Menlo Security зафиксировали волну кибератак на финансовые и IT-организации. Нападение ведется новым многоступенчатым методом, использующим уязвимость Microsoft Word.
Вредоносные документы пересылаются на электронные адреса сотрудникам крупных корпораций в фишинговых письмах. Как правило, это файлы в формате docx, которые содержат специальные теги HTML с зараженными элементами. Проникая в устройства, эти файлы загружают вредоносное программное обеспечение FormBook, которое может передать хакерам большую часть функционала компьютера. Речь идет о загрузке документов, захват паролей, запуск различных приложений, записи порядка нажатия клавиш, просмотр содержимого буфера обмена, выполнять различные команды, завершать и перезагружать работу системы.
Причем антивирусные программы не замечают подобную цепочку вредоносных действий из-за отсутствия сторонних ссылок или подозрительного контента.
При просмотре в режиме редактирования внедренный в документ тег указывает на сокращенный URL, определенный в файле webSettings.xml.rels документа. URL указывает на расположенные во Франции и США C&C-серверы, с которых в свою очередь загружается вредоносный RTF-файл. «Когда открыт документ RTF со встроенным объектом, данный объект автоматически переносится в папку %TEMP% в Windows. Подобный метод также использовался членами хакерской группировки Cobalt», — цитирует экспертов специализированное издание SecurityLab.
Особенность новой волны атак в том, что для активации вредного вложения не требуется макрос. Уязвимость удаленного выполнения кода, которую используют злоумышленники, называется CVE-2017-8570, она связана с механизмом обработки объектов в памяти компьютера.
Ранее хакеры нашли другой оригинальный способ взламывать компьютеры через файлы Word. Заразиться можно от документов в формате DOCX, RTF, HTA, VBScript и PowerShell. Пользователь получает спам-письмо. Он загружает прикрепленный файл. Это приводит к установке на компьютере вредоносной программы. Далее программа получает доступ к паролям и пересылает их мошенникам.
Кибератака нацелена на американские компании и фирмы, расположенные в ближневосточном секторе. Специалисты подозревают, что новый многоступенчатый механизм так же является продуктом работы хакерской группировки Cobalt, так как метод атаки на финансовые компании с помощью фишинговых писем является для них основным способом совершения киберпреступлений.