PDQ-Masters 🧙♂️
Главный вектор атак с использованием ВПО — это фишинговые рассылки через электронную почту. Идеальный фишинг с малварью отличается от легитимного письма лишь содержимым вложенной нагрузки: он рассылается от доверенного отправителя в результате его компрометации и содержит ВПО. Но сегодня для примера рассмотрим фишинговую атаку с небольшой попыткой персонализации под цель, которая обошла базовые средства защиты и была остановлена на подступе к почте сотрудника более продвинутыми технологиями защиты почты.
Письмо от анонимного отправителя с легитимного домена —
На момент атаки ссылка была новой и не заблокировалась репутационным анализом. Она была автоматически запущена в изолированной браузерной среде, в результате чего удалось получить все перенаправления (скриншот 3) и прийти к итоговой ссылке на «документ» —
💁♂️ На этом можно было бы закончить — исполняемые файлы на почте можно легко заблокировать (главное, обратите внимание, чтобы в вашем средстве защиты блокировка осуществлялась по формату файла, а не исключительно по расширению), например, как показано на скриншоте 4 в случае с PT Sandbox. Но если вам нужна гибкая конфигурация, позволяющая обмениваться различными файлами и ссылками на них через почту, всегда важно понимать, что именно представляет собой файл. Для этого в базовых средствах защиты предусмотрена антивирусная проверка, а в продвинутых — проверка файла в песочнице, позволяющая обнаружить самые изощренные угрозы и новое ВПО, еще не засветившееся в антивирусных базах.
Песочница сразу дала понять поведение и сетевую суть семпла (скриншот 5) и заблокировала его за опасные трюки в PowerShell — внутри оказалась утилита PDQ Connect. «И что же тут вредоносного?!» — спросите вы. А мы ответим — несанкционированные политикой ИБ утилиты удаленного доступа сами по себе являются запрещенными🙅♂️
Но тут все чуть сложнее — исходный MSI-файл не просто обобщенный установщик ПО PDQ Connect, это «тихий» установщик PDQ Connect Agent, который генерируется индивидуально для пользователя, с уникальным токеном, и разворачивается в рамках инфраструктуры организации. Если злоумышленник сгенерирует такой установщик и установит его кому-то без его ведома, то данная утилита превращается в самый настоящий бэкдор. Анализ в песочнице позволил автоматически получить токен агента —
Таким образом, атакующий мог получить возможность управления компьютером жертвы через легитимный сервис удаленного доступа
🔍 Характерные строки YARA, которые помогут вам найти артефакты от подобных «агентов» в ваших системах:
Не забывайте контролировать конфигурацию ваших средств защиты: они должны блокировать, когда это возможно, а не только уведомлять об угрозах. Защищаться всегда проще, если ограничить поверхность атаки — возможные типы файлов и ссылок, которыми можно обмениваться по почте.
#phishing #malware #emailsecurity #sandbox #avlab
@ptescalator
Главный вектор атак с использованием ВПО — это фишинговые рассылки через электронную почту. Идеальный фишинг с малварью отличается от легитимного письма лишь содержимым вложенной нагрузки: он рассылается от доверенного отправителя в результате его компрометации и содержит ВПО. Но сегодня для примера рассмотрим фишинговую атаку с небольшой попыткой персонализации под цель, которая обошла базовые средства защиты и была остановлена на подступе к почте сотрудника более продвинутыми технологиями защиты почты.
Письмо от анонимного отправителя с легитимного домена —
info@koyoshobo.net, с явной попыткой привлечения внимания (тема: «Action Required: Document Review...», скриншот 1). Содержимое представляет собой HTML с закосом под форму системы ЭДО с кнопкой для перехода к документу (скриншот 2). Из страницы статически извлечена ссылка на «документ» по данной кнопке:https://click.convertkit-mail2.com/75u5pv4wxga8h69dp74fzhwl85666tnhrg6p3/m2h7h5h38zwp97cm/aHR0cHM6Ly93d3cubXRmcGxhc3RpY29zLmNvbS5ici9vb3BzL3NoYXJlZmlsZWRvYy5tc2kНа момент атаки ссылка была новой и не заблокировалась репутационным анализом. Она была автоматически запущена в изолированной браузерной среде, в результате чего удалось получить все перенаправления (скриншот 3) и прийти к итоговой ссылке на «документ» —
https://www.mtfplasticos.com.br/oops/sharefiledoc.msi, выкачав для проверки файл 04276b7f1cf487e52f8927134365ae55, очевидно являющийся исполняемым.💁♂️ На этом можно было бы закончить — исполняемые файлы на почте можно легко заблокировать (главное, обратите внимание, чтобы в вашем средстве защиты блокировка осуществлялась по формату файла, а не исключительно по расширению), например, как показано на скриншоте 4 в случае с PT Sandbox. Но если вам нужна гибкая конфигурация, позволяющая обмениваться различными файлами и ссылками на них через почту, всегда важно понимать, что именно представляет собой файл. Для этого в базовых средствах защиты предусмотрена антивирусная проверка, а в продвинутых — проверка файла в песочнице, позволяющая обнаружить самые изощренные угрозы и новое ВПО, еще не засветившееся в антивирусных базах.
Песочница сразу дала понять поведение и сетевую суть семпла (скриншот 5) и заблокировала его за опасные трюки в PowerShell — внутри оказалась утилита PDQ Connect. «И что же тут вредоносного?!» — спросите вы. А мы ответим — несанкционированные политикой ИБ утилиты удаленного доступа сами по себе являются запрещенными
Но тут все чуть сложнее — исходный MSI-файл не просто обобщенный установщик ПО PDQ Connect, это «тихий» установщик PDQ Connect Agent, который генерируется индивидуально для пользователя, с уникальным токеном, и разворачивается в рамках инфраструктуры организации. Если злоумышленник сгенерирует такой установщик и установит его кому-то без его ведома, то данная утилита превращается в самый настоящий бэкдор. Анализ в песочнице позволил автоматически получить токен агента —
0yfer-ks1g2uufaxwpfam81pmasj9bk5e-q7btltzsrkhvz4xxyoonu8cb7kokkd7fc6esztcx1uqccmabxn3w.Таким образом, атакующий мог получить возможность управления компьютером жертвы через легитимный сервис удаленного доступа
pdq.com.strings:
$a = "pdqconnectagent-setup" ascii wide
$s1 = "PDQ.com" fullword wide
$s2 = "CustomActions.StartService" wide
$s3 = "CustomActions.WriteToken" wide
$s4 = "CustomActions.DeleteEvent" wide
$s5 = "CustomActions.CreateEventSource" wide
$s6 = "CustomActions.CleanData" wide
condition:
(uint16(0) == 0x5a4d or (uint32be(0) == 0xd0cf11e0 and uint32be(4) == 0xa1b11ae1))
and $a
and 3 of ($s*)
Не забывайте контролировать конфигурацию ваших средств защиты: они должны блокировать, когда это возможно, а не только уведомлять об угрозах. Защищаться всегда проще, если ограничить поверхность атаки — возможные типы файлов и ссылок, которыми можно обмениваться по почте.
#phishing #malware #emailsecurity #sandbox #avlab
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍11❤5👌5🤝2🗿1
Чем занимались на этой неделе? 🤔
Anonymous Poll
16%
Разгребал снег ❄️
20%
Разгребал инциденты 🫡
4%
Помогал фурам и автобусам разгребать инциденты 🚚
3%
Стоял в пробке 🚗🚙🚕
24%
Боролся с желанием впасть в спячку 😐
11%
Не боролся с желанием впасть в спячку 🛌
10%
Спал с желанием разгребать инциденты 😴
5%
Серфил на Бали 🏄♂️
3%
Катался на санках 🛷
4%
Обновлял TrueConf 👌
☃6🤣5😭5🔥3😁3🤡1🌭1
Группа киберразведки PT ESC представила обзор кибератак за IV квартал 2025 года ✍️
В отчете проанализирована активность хакерских группировок, нацеленных на российские организации — от госсектора и ВПК до промышленности, финансов и телекоммуникаций.
Описана активность APT31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также финансово мотивированных Werewolves, NetMedved, Silver Fox и Hive0117.
✉️ Основные векторы первоначального доступа:
• Таргетированный фишинг с легендами деловой переписки, уведомлений от государственных ведомств и закупочной документации;
• Запароленные архивы с LNK-, SCR-, EXE-загрузчиками и документами-приманками;
• Эксплуатация свежих RCE-уязвимостей с массовым сканированием внешних сервисов;
• Компрометация подрядчиков и открытых RDP-сервисов.
🔧 Ключевые тенденции и техники:
• Постоянная эволюция инструментария;
• Активное использование легитимных сервисов и облаков для скрытного управления;
• Новые способы закрепления;
• Стеганография и многоступенчатые цепочки;
• Быстрая эксплуатация уязвимостей нулевого и энного дня.
Ознакомиться с отчетом можно в нашем блоге.
#TI #APT #Malware #Phishing
@ptescalator
В отчете проанализирована активность хакерских группировок, нацеленных на российские организации — от госсектора и ВПК до промышленности, финансов и телекоммуникаций.
Описана активность APT31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также финансово мотивированных Werewolves, NetMedved, Silver Fox и Hive0117.
• Таргетированный фишинг с легендами деловой переписки, уведомлений от государственных ведомств и закупочной документации;
• Запароленные архивы с LNK-, SCR-, EXE-загрузчиками и документами-приманками;
• Эксплуатация свежих RCE-уязвимостей с массовым сканированием внешних сервисов;
• Компрометация подрядчиков и открытых RDP-сервисов.
• Постоянная эволюция инструментария;
• Активное использование легитимных сервисов и облаков для скрытного управления;
• Новые способы закрепления;
• Стеганография и многоступенчатые цепочки;
• Быстрая эксплуатация уязвимостей нулевого и энного дня.
Ознакомиться с отчетом можно в нашем блоге.
#TI #APT #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥11👏8❤3
Пришел, увидел, подал заявку 👍
Всем привет! Мы продолжаем сбор заявок на доклады в треке DEFENSE на нашем ежегодном киберфестивале Positive Hack Days, который пройдет с 28 по 30 мая в Москве.
Пример тем, которые можно подать на трек:
🎤 Формат доклада:
• 30 минут с вопросами
• до двух спикеров на доклад
• без рекламы продуктов и сервисов
• только практические доклады
✈️ Что мы предлагаем:
• входной билет для спикера и двух персон
• билет на самолет или поезд туда и обратно
• номер в гостинице на три ночи
• мерч
💡 Недавно также вышел небольшой гайд, как правильно составить заявку, чтобы ваша тема была понятна программному комитету и имела высокие шансы на одобрение.
Мы ждем ваши темы до 9 марта! Заявку можно оставить на сайте CFP.
#PHDays
@ptescalator
Всем привет! Мы продолжаем сбор заявок на доклады в треке DEFENSE на нашем ежегодном киберфестивале Positive Hack Days, который пройдет с 28 по 30 мая в Москве.
Пример тем, которые можно подать на трек:
Актуальные киберугрозы: расследование инцидентов, киберразведка (от тактического до стратегического уровня), OSINT, проактивное детектирование и отслеживание киберугроз, Threat Hunting, исследование Dark Web, исследование киберугроз для мобильных и промышленных систем.
Автоматизация и новые технологии: AI-агенты в исследовании киберугроз и мониторинге, автоматизация в расследовании инцидентов, автоматизация рутинных процессов в защите от киберугроз, автоматизированное написание детектирующих правил.
Новые методы детектирования киберугроз: детектирование аномалий в сетевом трафике, выявление фишинга и мошенничества во всех формах, детектирование угроз в облачных средах, Supply Chain Security.
Процессы управления уязвимостями: алгоритмы приоритезации устранения уязвимостей, in-house vulnerability management, контроль периметра.
Взгляд изнутри: как работает ваша команда по расследованию и реагированию, киберразведке, мониторингу и т.д. Любые процессы или технологии, которые вы используете у себя в компании в рамках борьбы с киберугрозами и которыми хотели бы поделиться.
🎤 Формат доклада:
• 30 минут с вопросами
• до двух спикеров на доклад
• без рекламы продуктов и сервисов
• только практические доклады
✈️ Что мы предлагаем:
• входной билет для спикера и двух персон
• билет на самолет или поезд туда и обратно
• номер в гостинице на три ночи
• мерч
💡 Недавно также вышел небольшой гайд, как правильно составить заявку, чтобы ваша тема была понятна программному комитету и имела высокие шансы на одобрение.
Мы ждем ваши темы до 9 марта! Заявку можно оставить на сайте CFP.
#PHDays
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥12👍10🤡5💘2🌚1
Новая порция супа 🍜
Летом 2025 зарубежные коллеги уже писали про троян SoupDealer — атака специализированная под пользователей из Турции. У семпла было много особенностей, ключевая из которых — он представлял из себя JAR-файл с множественными техниками обфускации AllatoriObfuscator и защитами от динамического анализа. Например, он запускается исключительно на устройствах с турецкой локалью (скриншот 1). Не будем вдаваться во все подробности — семейство уже было подробно происследовано.
Сегодня мы заметили, что началась новая волна атак с использованием того же семейства (скриншот 2), заблокированная в нашей песочнице PT Sandbox. Все они соответствуют примерно одному паттерну: письмо со ссылкой на Google Drive с просьбой проверить документы; по ссылке находится вредоносный JAR-файл. И мы бы не стали обращать на это внимание (каждый день мы блокируем огромное множество семплов), но на текущий момент все еще не все семплы детектируются популярными защитными средствами (скриншот 3).
Поэтому — выкладываем индикаторы компрометации, чтобы средства защиты смогли оперативно доработать свою экспертизу.
Адреса отправителей:
C2:
Имена файлов:
Хеши файлов SHA-256:
#phishing #ti #ioc #avlab #emailsecurity #sandbox
@ptescalator
Летом 2025 зарубежные коллеги уже писали про троян SoupDealer — атака специализированная под пользователей из Турции. У семпла было много особенностей, ключевая из которых — он представлял из себя JAR-файл с множественными техниками обфускации AllatoriObfuscator и защитами от динамического анализа. Например, он запускается исключительно на устройствах с турецкой локалью (скриншот 1). Не будем вдаваться во все подробности — семейство уже было подробно происследовано.
Сегодня мы заметили, что началась новая волна атак с использованием того же семейства (скриншот 2), заблокированная в нашей песочнице PT Sandbox. Все они соответствуют примерно одному паттерну: письмо со ссылкой на Google Drive с просьбой проверить документы; по ссылке находится вредоносный JAR-файл. И мы бы не стали обращать на это внимание (каждый день мы блокируем огромное множество семплов), но на текущий момент все еще не все семплы детектируются популярными защитными средствами (скриншот 3).
Поэтому — выкладываем индикаторы компрометации, чтобы средства защиты смогли оперативно доработать свою экспертизу.
Адреса отправителей:
arslan@arsavukatlik.com
bilgi@dermamed.com.tr
C2:
gocmenkusgiller.blog
Имена файлов:
YENI URUNLER ICIN FIYAT TALEBI3.jar
FIYAT TEKLIFI BEKLENEN URUN LISTESI.jar
Хеши файлов SHA-256:
90ead7a262450a9bace5686f11fc39cbd607a0d681ef9ff39d8766d9b4c0de2e
8dc7f7d298291c042e9f51feff3c8d690f4889a9a141e9657d33da7bb8456c7f
#phishing #ti #ioc #avlab #emailsecurity #sandbox
@ptescalator
🔥16👍11❤9
Препарируем сетевой трафик с помощью ML в поисках новых вредоносов 📖
🧪 Мы — команда отдела сетевой экспертизы антивирусной лаборатории ESC и команда машинного обучения — однажды уже построили ML-модель на сетевом трафике, обучили ее на реальных сетевых сессиях и запустили в песочнице PT Sandbox для усиления возможностей по обнаружению вредоносов. Но мы решили не останавливаться на достигнутом — провели серию новых экспериментов, расширили набор входных признаков и протестировали модель на более сложных сценариях.
👾 Благодаря обновлению модель уже успела поймать несколько ранее неизвестных образцов: новую версию бэкдора Oyster, загрузчик APT GOFFEE, несколько стилеров (например, JustAskJacky) и еще ряд небольших, но подозрительных загрузчиков.
💡 Этот опыт подтверждает, что машинное обучение — отличный помощник традиционным сигнатурным решениям: оно видит скрытые паттерны и повышает общую детектируемость вредоносных сетевых сценариев.
Обо всем этом и не только рассказали в нашей статье на Хабре.
#network #avlab #ml
@ptescalator
👾 Благодаря обновлению модель уже успела поймать несколько ранее неизвестных образцов: новую версию бэкдора Oyster, загрузчик APT GOFFEE, несколько стилеров (например, JustAskJacky) и еще ряд небольших, но подозрительных загрузчиков.
Обо всем этом и не только рассказали в нашей статье на Хабре.
#network #avlab #ml
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👨💻10🆒9👍1
Засунь свои претензии в... PT Sandbox! 🫵
В конце января мы обнаружили вредоносную кампанию с рассылкой вредоносного PureRat (PureHVNC) по российским организациям финансового сектора.
Как и многие подобные рассылки, атака начиналась с письма под названием «Акт сверки и претензия» (скриншот 1).
В письме была ссылка на архив:
с причудливо обфусцированным bat-файлом (скриншот 2).
🕵️♂️ Его функционал прост — всего лишь декодирование из base64 огромного куска данных (перед этим каждое вхождение подстроки
Декодированные данные представляют собой PowerShell-скрипт (скриншот 4), который скачивает картинку с URL:
🖼 В картинке ищутся теги
AndeLoader запускает легитимный процесс
В этот раз C2 оказался по адресу
🚧 Покопавшись в репозитории sergo20261, мы нашли три проекта:
• proxihost
• proxi
• text
Файлов в них великое множество, самые интересные из них:
• написанные на Rust загрузчики вредоноса PureRat;
• исполняемые файлы PureRat;
• различные .txt-файлы, в которых содержатся закодированные данные в Base64 (файл
Напоследок хотелось бы отметить, что описанный здесь набор инструментов, запускавшихся с помощью Crypters and Tools, — PureRat и его rust-загрузчики — мелькал в сентябрьских атаках 2025 года и подробно описывался в статье.
IoCs
#avlab #sandbox #TI #ioc #malware
@ptescalator
В конце января мы обнаружили вредоносную кампанию с рассылкой вредоносного PureRat (PureHVNC) по российским организациям финансового сектора.
Как и многие подобные рассылки, атака начиналась с письма под названием «Акт сверки и претензия» (скриншот 1).
В письме была ссылка на архив:
https://github.com/sergo20261/proxi/raw/refs/heads/main/претензия.rar
с причудливо обфусцированным bat-файлом (скриншот 2).
🕵️♂️ Его функционал прост — всего лишь декодирование из base64 огромного куска данных (перед этим каждое вхождение подстроки
`h@` заменяется на `d`) и его последующий запуск, после чего он копирует себя в C:\ProgramData\avtoproxi.bat (скриншот 3).Декодированные данные представляют собой PowerShell-скрипт (скриншот 4), который скачивает картинку с URL:
firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343
🖼 В картинке ищутся теги
BASE64_START и BASE64_END, между которыми находится закодированный в base64 .NET-загрузчик AndeLoader, который скачивает exe с переданного ему URL:https://raw.githubusercontent.com/sergo20261/proxi/refs/heads/main/vc27012026upload.txt
AndeLoader запускает легитимный процесс
MsBuild.exe и внедряет в него полученный вредоносный код. Подобная схема характерна для инструмента Crypters and Tools, описанного нами ранее.В этот раз C2 оказался по адресу
62.84.98.217:56001 (скриншот 5). Естественно, подобные трюки не могли остаться незамеченными в PT Sandbox, и ВПО было заблокировано песочницей.🚧 Покопавшись в репозитории sergo20261, мы нашли три проекта:
• proxihost
• proxi
• text
Файлов в них великое множество, самые интересные из них:
• написанные на Rust загрузчики вредоноса PureRat;
• исполняемые файлы PureRat;
• различные .txt-файлы, в которых содержатся закодированные данные в Base64 (файл
vc27012026upload.txt, упоминаемый по ссылке выше, относится к ним же).Напоследок хотелось бы отметить, что описанный здесь набор инструментов, запускавшихся с помощью Crypters and Tools, — PureRat и его rust-загрузчики — мелькал в сентябрьских атаках 2025 года и подробно описывался в статье.
IoCs
Акт сверки и претензия.eml -> 71a8920aa71afde02a466e08508642561b98a99632351cdd1c1ce3ab805a10ba
pretenziya_27012026_akt_sverka_1C_PDF.bat -> 1d3e6b81479717282fb0f661fba3603b3f9f9c9d857a0f2fa8035b7015ab1f0a
vc27012026upload.txt -> 9abcfce5cb991f60652c4b410e45ad40f4b0eafe30c2209f0c6e6636b424d5db
Rust загрузчик -> 93e0fb947cff4ab361c307590a078549ab9e885d04e23b12a800296dd4d6c4a4
PureHVNC -> 49fde62919aec811780e67073a7e70566594477ef7b19905e1b8aa42438f6d98
62.84.98.217
firebasestorage.googleapis.com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=c16438a4-4eeb-4116-adc7-373fbf7359b0
modaaura.store/image.jpg?12711343
#avlab #sandbox #TI #ioc #malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥12👏7✍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁20🤯9🤔3🤩3👎1
😁18❤9👍7👾1
QR не открылся? Напишите в поддержку 🆘
В середине января группа киберразведки PT ESC зафиксировала фишинговую кампанию под видом уведомлений от государственных ведомств.
1️⃣ Жертве приходит письмо с PDF-документом: внутри — QR-код для получения документов и контакт технической поддержки в Telegram на случай проблем.
2️⃣ При сканировании QR-кода страница оказывается недоступной — и это часть сценария: пользователя подталкивают перейти в диалог с мошенниками.
3️⃣ В переписке запрашивают ФИО и телефон отправителя, а затем выдают новую ссылку — якобы для оплаты доставки.
4️⃣ Сайт визуально копирует интерфейсы легитимных сервисов, но деньги уходят злоумышленникам 💰
В статье на Хабре подробно разобрали мошенническую схему и собрали простые рекомендации для быстрой проверки легитимности письма.
#TI #Phishing
@ptescalator
В середине января группа киберразведки PT ESC зафиксировала фишинговую кампанию под видом уведомлений от государственных ведомств.
В статье на Хабре подробно разобрали мошенническую схему и собрали простые рекомендации для быстрой проверки легитимности письма.
#TI #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤10🔥9🗿2
pip install teligram 🧐 (лучше не запускайте)
Восьмого февраля была опубликована библиотека
Ее описание гласит:
Увы, как обычно у нас в постах, чудес не бывает — библиотека представлена самописным Remote Access Tool (RAT).
Его особенности:
• Есть следы использования LLM.
• Содержит в себе одну большую функцию
• Присутствуют следы индийского языка (
• Код не обфусцирован, и приветствие бота, отправляемое при использовании команд
Версия 1.0.0 не обладает функционалом запуска после установки. Остальные версии не успели выйти — пакет был отправлен в карантин, хотя и просуществовал 19 часов.
💬 К слову, читать ESCalator можно теперь и в MAX. И это не скам.
#pypi #ti #scs #pyanalysis
@ptescalator
Восьмого февраля была опубликована библиотека
teligram.Ее описание гласит:
Telegram-based friendly library.Увы, как обычно у нас в постах, чудес не бывает — библиотека представлена самописным Remote Access Tool (RAT).
Его особенности:
• Есть следы использования LLM.
• Содержит в себе одну большую функцию
khelo, в которой реализованы 16 подфункций.• Присутствуют следы индийского языка (
khelo переводится как «играть»; выбранное имя разработчика Om Devendra — индийское).• Код не обфусцирован, и приветствие бота, отправляемое при использовании команд
/help и /start администратором, отражает возможности:Available commands:
pwd - Show current directory
ls or ls -la - List files
cd <directory> - Change directory
whoami - Show current user
date - Show date and time
TAKE COMMANDS:
1. take <number> - Get the nth file
Example: take 1
2. take <file_name> - Get file by name
Example: take myfile.txt
3. take .<extension> - Get all files with extension
Example: take .jpg or take .py
4. take all - Get ALL non-empty files
5. /send - Upload files to current directory
Special features:
- Working directory saved between commands
- Empty files automatically skipped
Версия 1.0.0 не обладает функционалом запуска после установки. Остальные версии не успели выйти — пакет был отправлен в карантин, хотя и просуществовал 19 часов.
#pypi #ti #scs #pyanalysis
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡43💩18👍13🔥11❤8👏3🙏3🥰2😁2
Клик-ловушка: не только для пользователей, но и для анализаторов ссылок 🐭
При ручном разборе ссылок мы, как правило, задаем себе лишь один вопрос — «безопасна ли она?»✔️ ❌
Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.
🫵 Для решения этой проблемы можно предложить подход, логически схожий с процессом выбора ссылок при ручном анализе: какие-то ссылки нам кажутся крайне подозрительными или однозначно требующими дополнительного контекста для анализа, а какие-то — точно безопасными или, как в предыдущей ситуации, вызывающими определенные действия на сервисах (или вообще одноразовыми). Подход, где система определяет набор признаков «точно нужно переходить» и набор признаков «точно не нужно переходить», называется принятием решений на основе правил (
В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:
• наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например,
• наличие параметров запроса
• наличие параметров запроса
• если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции —
• при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.
В наборе условий, вызывающих переход по ссылке, можно рассмотреть:
• ссылки с явным указанием IP-адреса и/или нестандартного порта;
• ссылки с недавно зарегистрированным доменом;
• при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;
• ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например,
• ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.
🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.
Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом
#tip #url #mail
@ptescalator
💬 X 💬 Max
При ручном разборе ссылок мы, как правило, задаем себе лишь один вопрос — «безопасна ли она?»
Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.
rule-based decision system). Какие признаки можно предложить для реализации подобной системы?В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:
• наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например,
/(un)subscribe/, /login/, /exit/, /action/, /track/ и т.д.; • наличие параметров запроса
token, key, uid со значениями, по формату совпадающими с UUID или JWT; • наличие параметров запроса
ts или expires, указывающих на время жизни ссылки; • если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции —
List-(Un)Subscribe:; • при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.
В наборе условий, вызывающих переход по ссылке, можно рассмотреть:
• ссылки с явным указанием IP-адреса и/или нестандартного порта;
• ссылки с недавно зарегистрированным доменом;
• при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;
• ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например,
*.pdf, *.exe и т.д.; • ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.
🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.
Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом
HEAD без получения контента. Таким образом можно получить дополнительную информацию из HTTP-заголовков, применимую как внутри вышеописанного алгоритма, так и в целом для принятия решения о вредоносности ссылки.#tip #url #mail
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6👀6🤡3✍2👎1🗿1