Как проанализировать код скрипта с фишингого письма?

Question

[Павел]

Здравствуйте.

В компании в которой я работаю частенько происходят случаи фишиговой рассылки. Пользователи предупреждены, лишних действий при возникновении рассылки стараются не делать. Все случаи рассылки оперативно устраняются, и в целом не вызывают особых трудностей.

Но не так давно произошел довольно необычный случай. Стали поступать письма от имени одного государственного органа. Это был самый настоящий спуфинг. Ссылки в письме вели на гос сайт Украины, с которого тянулся зловредный архив. Т.е. подготовка у людей достаточная. Из архива мне удалось вытащить код написанный на js. Но хорошо "зашифрованный". Т.е. визуально я прочитать его не смог, т.к. постоянно создаются и переназначаются переменные, соединяются разделяются.

Есть ли софт\сервис который может привести его в более читаемый вид? Подготовка перед рассылкой проделана не малая, и мне кажется в нем есть что то интересное для безопасности компании в которой я работаю.

Comments

[Everything_is_not_so_bad]

Поиск деобфускация js пробовал?

[DVoropaev]

пожалуйста, свяжитесь со мной по voropaevdmtr@gmail.com или https://vk.com/id416917319
я сейчас занимаюсь исследованием таких вирусов

Answer 1

[cssman]

По задаче - нужен деобфускатор. Но не факт, что поможет (читай ниже).

По проблеме - всё несколько глубже, нужен нормальный почтовый фильтр с функцией антивируса, нужен антивирус и минимизация полномочий на ендпоинтах, чтобы максимально усложнить запуск зловредного исполняемого кода. Если есть возможность поставить в сеть IDS/IPS, чтобы отследить или предотвратить дальнейшие сетевые атаки после загрузки и запуска дроппера, будет здорово.
Сам же вредоносный код нужно анализровать в песочнице, пытаться деобфусцировать и смотреть куда он "лезет", какие модули докачивает, какие команды принимает от управляющего сервера и т.п.