Antivirus Evasion – obfuskacja msiexec

25 Maja 2018

Na forum SANS ISC InfoSec opisano kolejny przypadek infekcji, która była wykryta przez jedynie przez kilka antywirus-ów. Z perspektywy atakującego jest to bardzo dobry wynik. Tym bardziej że wg. VirusTotal-a oprogramowanie, które wykryło złośliwy plik, nie pochodziło od najbardziej znanych producentów. Niestety nie ma informacji, jakie silniki pierwsze zidentyfikowały złośliwy kod.

Obfuskacja makro w instalatorze Windows

Technika, z której skorzystali atakujący to obfuskacja (zaciemnienie kodu) makro w dokumencie Word-a. Analiza zdeobfuskowanego kodu ujawnia, iż atakujący wykorzystali instalator Windows ‘msiexec.exe’. Jego celem był ściągnięcie pliku ze wskazanej strony. Następnie pobrany plik komunikował się z kolejnym adresem http. Efekty – wstrzyknięcie złośliwego kodu na komputer ofiary. Resztę można dopowiedzieć sobie samemu…

Szczegółowy opis jak zwykle w linku poniżej.

Na koniec warto zwrócić uwagę na jeszcze jeden fakt. Że nie tylko topowe oprogramowanie antywirus-owe potrafi skutecznie trafnie wskazywać złośliwe pliki.

Źródło: SANS ISC InfoSec

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Opublikowane przez: Piotr Mierzwiński

Inne artykuły_