Справедливости ради необходимо отметить, что тот же фокус можно повторить и с зарубежным диапазоном IP-адресов. Кстати сказать, по имеющейся и, конечно же, неподтвержденной информации, разведслужбы некоторых стран (не нашей) в автоматическом режиме осуществляют подобные сканирования, загрузку обнаруженных файлов и их анализ.
Конечно, это все игры с простыми программами. Теперь представим, что можно сделать, если это целенаправленная атака и будут использоваться более серьезные инструменты, специальные сканеры, «хорошие» вредоносные программы или популярные ресурсы.
Один из самых ярких примеров подмены легального программного обеспечения инфицированным произошел в 2016 году, когда в скачиваемой с официального сайта программе, предназначенной для организации удаленного доступа Ammyy Admin[46], обнаружилась вредоносная программа.
Вот небольшой пример анализа атакованной системы.
Анализ зараженной системы
Рассматриваемый носитель информации не содержал разметки файловой системы, поэтому с целью дальнейшего изучения носителя было осуществлено восстановление ранее содержащейся разметки файловой системы, структуры и содержимого на представленном объекте.
В корневой директории исследуемого жесткого диска восстановлен файл с наименованием mbrkiller.exe, являющийся программой, предназначенной для удаления главной загрузочной области и таблицы разделов на жестком диске, создавая видимость отсутствия информации.
Подобными программами пользуются злоумышленники после завершения преступных действий, как уже указывалось в предыдущей части, с целью замедления реакции на инцидент и сокрытия следов.
Анализ действий пользователя операционной системы показал, что пользователь вводил в строке браузера ключевое слово «ammyy» и открывал официальный сайт, после чего совершил загрузку программы с официального сайта разработчика.
Обнаруженный после запуска программы-инсталлятора файл 632A.tmp в директории \AppData\Local\Temp\ классифицируется как вредоносная программа типа Trojan-Spy.Win64.Lurk.
В период времени, совпадающий со временем установки программы, в журнале операционной системы System.evtx содержится запись:
В системе установлена служба.
Имя службы: AmmyyAdmin_3E78
Имя файла службы: "C: \Users\777\AppData\Local\Temp\AA_v3.exe" — service — lunch
Тип службы: служба режима пользователя
Тип запуска службы: Автоматически
Учетная запись службы: LocalSystem
В то же время в директории \AppData\Local\Temp\ создается файл AA_v3.exe, являющийся программой для удаленного управления.
Помимо этого, компьютерное исследование носителя информации выявило, что злоумышленники, получив доступ к операционной системе, загрузили на зараженную машину в директорию C: \intel\ программы для изучения сетевого окружения компании (logParser.exe, netscan.exe).