Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
Что такое техника polyglot
В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
Polyglot-файл в кейсе с PhantomPyramid
Присылаемый предположительно злоумышленниками из группы Head Mare файл имел расширение .zip и открывался стандартным архиватором. Но по факту это был бинарный исполняемый файл, в конец которого добавили небольшой ZIP-архив.
Внутри архива находился ярлык — файл с двойным расширением .pdf.lnk. Если жертва, уверенная, что имеет дело с обычным документом в формате PDF, кликала на него, то ярлык запускал через интерпретатор PowerShell сценарий, который позволял открыть тот же вредоносный ZIP-файл уже как исполняемый, а также создавал во временном каталоге отвлекающий PDF-файл и демонстрировал его пользователю.
Как оставаться в безопасности
Чтобы не допустить запуск вредоносного кода, мы рекомендуем снабжать все компьютеры, имеющие выход в Интернет, надежными защитными решениями. Кроме того, поскольку большая часть атак злоумышленников начинается с писем от злоумышленников, не лишне установить защитное решение на уровне корпоративного почтового шлюза.
Ну а для того, чтобы иметь самые актуальные данные о техниках, тактиках и процедурах атакующих, мы предлагаем использовать данные об угрозах, поставляемых нашими сервисами Threat Intelligence.
Бизнес — Блог Касперского
