4echoe.bat 16.10.2015 13:48
4echog.bat 16.10.2015 13:49
Выявленные командные файлы были созданы на диске «С» в период времени с 13:39 до 13:49 16.10.2015, после чего были активизированы (запущены), на что указывают записи в журнале событий SysEvent.evt.
Свойства файлов и записи в журналах событий указывают на то, что к операционной системе был совершен доступ посредством локальной сети или сети Интернет, после чего, с целью сокрытия следов, злоумышленником были созданы и запущены для исполнения командные файлы, предназначенные для удаления файлов.
Очевидно, что компьютер был выбран не случайно, на это указывают многочисленные попытки подключений с использованием протокола RDP, которые, однако, успехом не увенчались. Был бы пароль проще, злоумышленники не перешли бы к плану «Б» своей комбинированной атаки.
Планом «Б» был заброс вредоносной программы через электронную почту в результате фишинговой атаки. Небольшой сбор информации позволил злоумышленникам установить круг возможных партнеров организации и направление деятельности. На основе собранной информации было подготовлено фишинговое письмо от некоего партнера, содержащее вложенные файлы якобы в формате Microsoft Word.
Следующим этапом стали проникновение в операционную систему, изучение обстановки, размещение на компьютере жертвы вспомогательных вредоносных программ, позволяющих более комфортно чувствовать себя во взломанной системе.
На совершение неправомерного доступа к компьютерной информации, находящейся на представленном для исследования системном блоке, указывает наличие вредоносной компьютерной программы, обладающей функциональными возможностями, включающими в себя несанкционированное уничтожение, блокирование, модификацию, копирование компьютерной информации, а также предоставление удаленного доступа посредством сети Интернет.
В результате восстановления и анализа удаленных данных файлов выявлено, что в директории «C: \Documents and Settings\user\ Application Data\AdobeTemp» находились исполняемые файлы и результаты исполнения программного обеспечения «TeamViewer», предназначенного для удаленного доступа к операционной системе. Необходимо также заметить, что директория, в которой обнаружены файлы программы, не предназначена для хранения указанных данных, копирование их в данную директорию и последующие удаления могли быть также осуществлены в результате неправомерного доступа, совершенного посредством сети Интернет.
Помимо этого, записи журналов событий операционной системы содержат информацию о многочисленных попытках соединения программного обеспечения, использующего протокол удаленного рабочего стола, осуществляемых в дневные и ночные часы.