# Лабораторная работа №2 ### Задание Пользователь Windows 10 подвергся фишинговой атаке через электронную почту и потерял аккаунты, сохранённые в бразуере. Необходимо: * Обнаружить фишинговое письмо. * Обнаружить вредоносный код и проанализировать его действие. * Выявить, какие данные были скомпрометированы. ### Выполнение работы Воспользуемся программой Autopsy для анализа диска. Среди подгрузившихся данных видим вкладку Data Artifacts, в которой есть список сообщений с электронной почты E-Mail Messages. ![](https://i.imgur.com/WeOqggf.png) Среди писем есть одно выделяющееся с прикрепленным файлом. ![](https://i.imgur.com/m0PNtKW.png) ![](https://i.imgur.com/QEfHvCJ.png) Его отправитель сообщения просит запустить от имени администратора, указав расширение .ps1. Расширение ps1 – это скрипт, в котором код написан на специальном языке PowerShell, и который затем выполняется утилитой командной строки Windows PowerShell. Среди файлов видим тот, что что был в письме. Посмотрим, что находится внутри него. ![](https://i.imgur.com/zqzfSBZ.png) Первой строкой создается пароль, затем добавляется новый пользователь с паролем, созданным ранее. Следующее действие - создание новой директории, в которую последней строкой копируется файл Login Data. Проверим, что находится в этом файле. ![](https://i.imgur.com/8ojbOek.png) Логины для Lamoda и Okko.