Re: dopady zavirovaného souboru a jejich řešení
Napsal: 17 led 2024 23:13
Ahoj,
domena discover.miidjourney.org je jiz offline. Ke vzorku jsem se jeste stihl dostat, zbezne jsem ho analyzoval, ale zatim se mi nepodarilo zjistit, co presne dela (predpokladam, ze krade credentials/sessiony, protoze takhle vetsina typosquatting utoku funguje). Mozna se k detailnejsi analyze jeste dostanu pozdeji... mozna...
Myslim si, ze to byla jednorazovka - ukradni informace a smaz se (v logach nevidim persistenci).
Kdyz beru informace z logu:
Nelibi se mi doplnek v Chromu... znas ho? Projdi si doplnky/rozsireni i v ostatnich browserech.
Dale:
Zkus jen tak ze zvedavosti projet disk C: napr. Recuvou nad C:\Users\lukas.000 a hledej soubory/slozky:
C:\Users\lukas.000\readme.txt
C:\Users\lukas.000\AppData\Local\electron_os
C:\Users\lukas.000\AppData\Local\Mimi
C:\Users\lukas.000\AppData\Local\mimi_os
- tady by mohla byt cast informaci.
V jedne z poslednich fazi utoku totiz utocnik smaze vse, co pouzival (slozka C:\Users\lukas.000\AppData\Local\electron_os je mountnuta jako virtualni disk - pomoci Alternate Data Streamu C:\Users\lukas.000\readme.txt:disk.vhd) a obsah nahradi notepadem.
Dej nove logy FRST.
Dotaz pod carou - kdyz jsi navstivil tuto podvodnou domenu pres google ads, mel jsi zapnuty nejaky blokator reklam?
domena discover.miidjourney.org je jiz offline. Ke vzorku jsem se jeste stihl dostat, zbezne jsem ho analyzoval, ale zatim se mi nepodarilo zjistit, co presne dela (predpokladam, ze krade credentials/sessiony, protoze takhle vetsina typosquatting utoku funguje). Mozna se k detailnejsi analyze jeste dostanu pozdeji... mozna...
Myslim si, ze to byla jednorazovka - ukradni informace a smaz se (v logach nevidim persistenci).
Kdyz beru informace z logu:
Nelibi se mi doplnek v Chromu... znas ho? Projdi si doplnky/rozsireni i v ostatnich browserech.
Kód: Vybrat vše
CHR Extension: (HTnini) - C:\Users\lukas.000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nenflolfcmpfejdelljajnleghondpoa [2024-01-11]Kód: Vybrat vše
==================== One month (created) (Whitelisted) =========
2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\mimi_os
2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\Mimi
2024-01-13 02:17 - 2024-01-13 02:17 - 000000000 ____D C:\Users\lukas.000\AppData\Local\electron_os
==================== One month (modified) ==================
2024-01-13 02:18 - 2020-11-04 19:46 - 000000000 ____D C:\Users\lukas.000C:\Users\lukas.000\readme.txt
C:\Users\lukas.000\AppData\Local\electron_os
C:\Users\lukas.000\AppData\Local\Mimi
C:\Users\lukas.000\AppData\Local\mimi_os
- tady by mohla byt cast informaci.
V jedne z poslednich fazi utoku totiz utocnik smaze vse, co pouzival (slozka C:\Users\lukas.000\AppData\Local\electron_os je mountnuta jako virtualni disk - pomoci Alternate Data Streamu C:\Users\lukas.000\readme.txt:disk.vhd) a obsah nahradi notepadem.
Kód: Vybrat vše
Remove-Item -Path "$env:USERPROFILE\AppData\Local\electron_os" -Recurse -Force | Out-Null
New-Item -ItemType Directory -Path "$env:USERPROFILE\AppData\Local\electron_os" -Force | Out-Null
Copy-Item -Path "C:\Windows\notepad.exe" -Destination "$env:USERPROFILE\AppData\Local\electron_os"Dotaz pod carou - kdyz jsi navstivil tuto podvodnou domenu pres google ads, mel jsi zapnuty nejaky blokator reklam?