Задать вопрос
psycat
@psycat
информационная-безопасность

Как проанализировать код скрипта с фишингого письма?

Здравствуйте.

В компании в которой я работаю частенько происходят случаи фишиговой рассылки. Пользователи предупреждены, лишних действий при возникновении рассылки стараются не делать. Все случаи рассылки оперативно устраняются, и в целом не вызывают особых трудностей.

Но не так давно произошел довольно необычный случай. Стали поступать письма от имени одного государственного органа. Это был самый настоящий спуфинг. Ссылки в письме вели на гос сайт Украины, с которого тянулся зловредный архив. Т.е. подготовка у людей достаточная. Из архива мне удалось вытащить код написанный на js. Но хорошо "зашифрованный". Т.е. визуально я прочитать его не смог, т.к. постоянно создаются и переназначаются переменные, соединяются разделяются.

Есть ли софт\сервис который может привести его в более читаемый вид? Подготовка перед рассылкой проделана не малая, и мне кажется в нем есть что то интересное для безопасности компании в которой я работаю.
  • Вопрос задан
  • 96 просмотров
2 комментария
Подписаться 2 Простой 2 комментария
Решения вопроса 1
@cssman
По задаче - нужен деобфускатор. Но не факт, что поможет (читай ниже).

По проблеме - всё несколько глубже, нужен нормальный почтовый фильтр с функцией антивируса, нужен антивирус и минимизация полномочий на ендпоинтах, чтобы максимально усложнить запуск зловредного исполняемого кода. Если есть возможность поставить в сеть IDS/IPS, чтобы отследить или предотвратить дальнейшие сетевые атаки после загрузки и запуска дроппера, будет здорово.
Сам же вредоносный код нужно анализровать в песочнице, пытаться деобфусцировать и смотреть куда он "лезет", какие модули докачивает, какие команды принимает от управляющего сервера и т.п.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Каталог AI tools
18 апр. 2024, в 01:12
150000 руб./за проект
Загрузка характеристик из xml/csv файла в карточки товаров WordPress
18 апр. 2024, в 00:58
5000 руб./за проект
Нарисовать подарки для соц сети
18 апр. 2024, в 00:10
50000 руб./за проект
Ещё заказы