Как проанализировать код скрипта с фишингого письма?

Здравствуйте.

В компании в которой я работаю частенько происходят случаи фишиговой рассылки. Пользователи предупреждены, лишних действий при возникновении рассылки стараются не делать. Все случаи рассылки оперативно устраняются, и в целом не вызывают особых трудностей.

Но не так давно произошел довольно необычный случай. Стали поступать письма от имени одного государственного органа. Это был самый настоящий спуфинг. Ссылки в письме вели на гос сайт Украины, с которого тянулся зловредный архив. Т.е. подготовка у людей достаточная. Из архива мне удалось вытащить код написанный на js. Но хорошо "зашифрованный". Т.е. визуально я прочитать его не смог, т.к. постоянно создаются и переназначаются переменные, соединяются разделяются.

Есть ли софт\сервис который может привести его в более читаемый вид? Подготовка перед рассылкой проделана не малая, и мне кажется в нем есть что то интересное для безопасности компании в которой я работаю.
  • Вопрос задан
  • 53 просмотра
Решения вопроса 1
@cssman
По задаче - нужен деобфускатор. Но не факт, что поможет (читай ниже).

По проблеме - всё несколько глубже, нужен нормальный почтовый фильтр с функцией антивируса, нужен антивирус и минимизация полномочий на ендпоинтах, чтобы максимально усложнить запуск зловредного исполняемого кода. Если есть возможность поставить в сеть IDS/IPS, чтобы отследить или предотвратить дальнейшие сетевые атаки после загрузки и запуска дроппера, будет здорово.
Сам же вредоносный код нужно анализровать в песочнице, пытаться деобфусцировать и смотреть куда он "лезет", какие модули докачивает, какие команды принимает от управляющего сервера и т.п.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы