Атаки на городскую инфраструктуру включают в себя загрузку вредоносных файлов, подмену контента на рекламных экранах и компрометацию систем бронирования. Для обнаружения и анализа этих инцидентов применяются решения класса SIEM и NAD. Атаки часто начинаются с загрузки вредоносных файлов через Powershell скрипты, которые могут быть запущены после открытия зараженных документов с макросами.
Например, при анализе загрузки файла wtf.exe, выявили, что его загрузка была инициирована командой Powershell, скачивающей файл по URI. При этом, для анализа контента на рекламном экране, после поиска файлов с расширениями видео, было установлено, что атака проводилась с использованием уязвимости Log4Shell, что помогло выявить заголовок PrivateAT. Реверс-шелл устанавливал соединение с атакуемым узлом с определенного IP-адреса и порта.
В другом сценарии, сотрудник логистической компании открыл вредоносное письмо, что привело к заражению его компьютера. Атака началась с открытия файла.doc, который привел к загрузке PowerShell-скрипта rev.ps1. Этот скрипт, в свою очередь, был загружен по URI, имеющему MD5 хэш. Важно заметить, что для загрузки злоумышленник использовал загруженный ранее файл book_withcob.xls. После того, как скрипт отработал, он переименовался в qwe.ps1 и был помещен в системную папку.
В одном из последних сценариев злоумышленник, получив доступ к системе бронирования билетов railbook.hv-logistics.stf, вошел в систему через URI Login.php?f=login. И, наконец, выявили, что при утечке данных, атакующие использовали Cobalt Strike. Атакованным активом оказался comp-5117.city.stf. Анализ атак показал использование PowerShell, скачивание и запуск скриптов, внедрение вредоносных файлов и изменение параметров в системах.
Изображение носит иллюстративный характер
Например, при анализе загрузки файла wtf.exe, выявили, что его загрузка была инициирована командой Powershell, скачивающей файл по URI. При этом, для анализа контента на рекламном экране, после поиска файлов с расширениями видео, было установлено, что атака проводилась с использованием уязвимости Log4Shell, что помогло выявить заголовок PrivateAT. Реверс-шелл устанавливал соединение с атакуемым узлом с определенного IP-адреса и порта.
В другом сценарии, сотрудник логистической компании открыл вредоносное письмо, что привело к заражению его компьютера. Атака началась с открытия файла.doc, который привел к загрузке PowerShell-скрипта rev.ps1. Этот скрипт, в свою очередь, был загружен по URI, имеющему MD5 хэш. Важно заметить, что для загрузки злоумышленник использовал загруженный ранее файл book_withcob.xls. После того, как скрипт отработал, он переименовался в qwe.ps1 и был помещен в системную папку.
В одном из последних сценариев злоумышленник, получив доступ к системе бронирования билетов railbook.hv-logistics.stf, вошел в систему через URI Login.php?f=login. И, наконец, выявили, что при утечке данных, атакующие использовали Cobalt Strike. Атакованным активом оказался comp-5117.city.stf. Анализ атак показал использование PowerShell, скачивание и запуск скриптов, внедрение вредоносных файлов и изменение параметров в системах.
