Nicht auf Sand gebaut

Nicht auf Sand gebaut

 

Die Hornetsecurity Sandbox geht schädlichen Dateien bis auf den Grund.

 

Eines der Haupteinfallstore von Malware ist nach wie vor die E-Mail. Egal, ob direkt als Dateianhang oder über einen Downloadlink – befinden sich die Schadcodes erst einmal auf lokalen Geräten, haben die üblichen Abwehrmaßnahmen versagt. Und das Wettrüsten zwischen Angreifern und IT-Security-Anbietern dauert an. Auch Hornetsecurity entwickelt seine Verteidigungsmaßnahmen daher immer weiter. Ein Teil davon ist die Sandbox von Hornetsecurity Advanced Threat Protection (ATP): Diese durchleuchtet alle potentiell gefährlichen E-Mail-Anhänge und verdächtigen Dateien, die während des URL Rewritings überprüft werden, in einer von anderen Systemen abgeschirmten Umgebung auf Herz und Nieren. Um diese Dateien genau zu analysieren, kommen unterschiedliche Techniken zur Anwendung.

 

Statische Analyse

 

Vor der Untersuchung in der Sandbox werden die Dateien in der statischen Analyse unter die Lupe genommen, ohne diese auszuführen. Hierbei schaut sich das Erkennungssystem allgemeine Metadaten der Datei wie das Erstellungsdatum, das Änderungsdatum und den Autor ganz genau an. Außerdem findet eine Analyse von Makros aus Office-Dateien und JavaScript-Code aus PDF-Dateien statt. Die einzelnen Abschnitte von Portable Executables – unter Windows ausführbare Dateien – werden nach kritischen Inhalten durchsucht. Dabei trägt das System Informationen zu den genutzten Libraries zusammen, anhand denen sich beispielsweise erkennen lässt, ob die Datei mit dem Internet kommuniziert. Zudem werden auslesbare Zeichen, die in der Datei ausgegeben werden, analysiert. So lassen sich zum Beispiel auffällige Webseitenaufrufe schon vor der Ausführung der Datei finden. Zur statischen Analyse zählt auch die Überprüfung der Datei anhand ihres Hash-Wertes durch eine Vielzahl von Antivirenprogrammen.

 

Während der statischen Analyse “seziert” ein Algorithmus die Datei im wahrsten Sinne des Wortes, um möglichst viele Informationen zu gewinnen und daraus eine Basis zur Entwicklung von Virensignaturen zu erhalten. Diese Signaturen werden dazu verwendet, um Viren an bestimmten Mustern eindeutig zu identifizieren.

 

Der folgende Screenshot zeigt einen Teil des Codes eines Office-Makros in der statischen Analyse.

 

 

 

Die Sandbox-Analyse

 

In der dynamischen Analyse wird die Datei in der Sandbox ausgeführt. An diesem Punkt analysiert die Sandbox-Engine alle Systemveränderungen bei der Ausführung der Datei – also zur Laufzeit. Dazu protokolliert sie das Verhalten der Systemprozesse, die Systemaufrufe und Veränderungen an der Registry und wertet sie anschließend nach Abnormitäten aus (Screenshot 2). Zusätzlich wird der komplette Netzwerkverkehr des Systems mitgeschnitten, um auffällige Verbindungen zu ermitteln. Versucht die Datei mit einem Command-and-Control-Server zu kommunizieren und weiteren Schadcode nachzuladen, fängt die Sandbox diesen Vorgang auf und die Malware ab. Während die Datei ausgeführt wird, fertigt das System automatisch Screenshots aller Programmaufrufe an.

 

Nachdem die dynamische Analyse abgeschlossen ist, wird die virtuelle Sandbox-Umgebung, in der die Datei ausgeführt wurde, wieder auf einen früheren Stand zurückgesetzt. Somit lässt sich bei einer Infizierung das System von der Malware bereinigen.

 

 

Auf der Grundlage aller vorliegenden Analysen beurteilt die Sandbox die Datei nach ihrer potentiellen Gefahr. Als Ergebnis erhält sie einen Wert zwischen 0 und 10.

 

Neuer ATP-Report

 

Mit dem Update der Sandbox auf die Version 2.0 erhielt der ATP-Report eine grundsätzliche Überarbeitung. Hier finden ATP-Benutzer umfangreiche Informationen über die analysierte Datei.

 

In der Übersicht werden die wichtigsten Punkte der Analyse zusammengefasst. Neben der Gefährlichkeitsbewertung der Datei (Screenshot 3), zeigt der Report die zutreffenden Virensignaturen an und teilt sie nach ihrer Bedrohung in die drei Kategorien Achtung, Warnung und Gefahr ein (Screenshot 4). Zudem führt er auch die in der Sandbox entstandenen Screenshot auf (Screenshot 5).

 

 

 

 

Unter den weiteren Menüpunkten des ATP-Reports sind die Ergebnisse der detaillierten Analysen aufgelistet.

 

ATP-Sandbox-Analyse in neuem Gewand

 

Zusätzlich zur Überarbeitung des ATP-Reports erhielt die Sandbox mit dem neusten Update viele Verbesserungen. Unter anderem werden nun alle 64-Bit-Anwendungen vollständig analysiert. Zudem überarbeiteten die Hornetsecurity-Spezialisten das Bewertungssystem und pflegten neue Signaturen zur Verhaltensweise von Viren ein. Auch die statische Analyse erweiterten sie durch verbesserte Parsing-Mechanismen für JavaScript in PDF-Dateien. Außerdem wurden wesentliche Verbesserungen an der Infrastruktur durchgeführt und neue Sandbox-Systeme hinzugefügt, um die Leistung und den Durchsatz der Analysen erheblich zu steigern.

 

Kontinuierliche Weiterentwicklung

 

Das Security Lab von Hornetsecurity arbeitet kontinuierlich an der Verbesserung der Sandbox, damit die Sandbox auch die neuesten und raffiniertesten Bedrohungen findet. Um jederzeit auf neue Angriffe reagieren zu können, werden die bestehenden Virensignaturen verbessert und neue Signaturen hinzugefügt. Zudem lassen sich die Mitschnitte des Netzwerkverkehrs und des allgemeinen Verhaltens dafür verwenden, generelle Regeln abzuleiten, mit deren Hilfe auch neuartige Malware zu erkennen sind.

 

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

UPDATE: EMOTET WEIHNACHTSWELLE

 

Am 26.12. haben wir eine neue Welle an Emotet Phishingmails beobachtet, die ihre Opfer dazu animierte, auf einen Link zu klicken, um eine Weihnachtskarte zu erhalten. Statt der versprochenen Karte verbarg sich hinter dem Link jedoch ein weiteres gefährliches Dokument, das per VBA Makro Emotet herunterlädt. Die Angreifer nutzten die Festtage, um die Mails ihrer Campagne glaubwürdiger aussehen zu lassen.

 

Ein Screenshot der Betreffzeilen einiger Mails, die alle zur gleichen Emotet Malware führten, zeigt die Kreativität der Angreifer:

 

 

Zudem variierte auch die durchaus glaubwürdig erscheinende Nachricht mit dem Link. Wir haben die Namen in den Screenshots hinter der Grußfloskel entfernt, da Emotet häufig echte, dem Opfer bekannte Namen, verwendet:

 

 

 

 

 

 

 

Die gefährlichen Dokumente wurden von folgenden Servern heruntergeladen:

 

  • httX://family.mikemccully.com/Holidays-Card/
  • httX://slatersf.com/Your-Christmas-Card/

 
Wir freuen uns, unsere Kunden sicher durch die Feiertage gebracht zu haben! 🙂

 

+++

 

Die seit dem Jahr 2014 als Banking-Trojaner bekannt gewordene Malware “Emotet” tritt in immer wieder neuen Variationen auf. In der zweiten Hälfte dieses Jahres haben wir eine neue und zudem sehr aktive Angriffswelle beobachtet, die sich vorzugsweise über Links in Phishing-E-Mails verbreitet. In diesem Beitrag erklären wir den Angriffsvektor und Infektionsweg von “Emotet”, die Verbreitungsmethoden, Ziele und seine Anti-Analysetricks anhand eines statisch und dynamisch analysierten Samples.

 

Angriffsvektor Phishing-Mails

 

Wir konnten sehr einfache aber effizient gestaltete Phishing-Mails beobachten, die die Identität einer Person aus einem geleakten Adressbuch verwendeten. Mit diesen versenden die Angreifer einen Link, über den ein Officedokument heruntergeladen wird, an andere Personen des Adressbuches. Die Adressbücher wurden von anderen mit “Emotet” infizierten Rechnern gestohlen.

 

Laut eines Berichtes von Kaspersky Lab über die letzte große Welle 2015 ist “Emotet” modular aufgebaut und kann dadurch mit einem integrierten Downloader beliebigen Payload von einem  Command and Control (C&C ) Server auf das infizierte System nachladen. Zudem enthält der Trojaner ein Modul zum Stehlen der Adressbücher aus Microsoft Outlook des infizierten Rechners. Dieses Verhalten konnten wir auch bei der neuen “Emotet”-Variante beobachten.

 

Über den Link in der versendeten Phishing-Mail laden sich die Opfer eine Office-Datei mit einem bösartigen Makro herunter, welches sich beispielsweise als Rechnung tarnt. Öffnet der Benutzer die Datei, wird er durch einen Phishing-Trick dazu animiert, die Ausführung von Makros zu aktivieren.

 

Betrugsversuch durch gefälschte Officeanweisung

Fällt das Opfer auf den Trick rein und führt die in dem Screenshot gezeigten Anweisungen aus, wird das in dem Dokument enthaltene VBA-Makro gestartet, das einen PowerShell-Befehl ausgeführt, um “Emotet” herunterzuladen und auszuführen. Für die Angreifer hat das den Vorteil, dass sie jederzeit den heruntergeladenen Payload ändern oder die Server herunterfahren können. Diese zeitliche Komponente erschwert es, die Folgen einer Infektion vorherzusagen.

 

 

Analyse von Emotet

Wir haben das Malware-Sample, das für die Infektion und das Nachladen neuer Module verantwortlich ist, genauer analysiert. Das von uns analysierte Sample wurde über das Makro eines Office-Dokuments heruntergeladen und hat folgenden sha256-Hashwert, über das es eindeutig identifiziert werden kann: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Durch Reverse Engineering und dynamische Analysen konnten wir beobachten, dass “Emotet” vier Stadien durchläuft:

 

1. Stadium

 

In diesem Stadium sieht die Malware recht harmlos aus, denn sie importiert vergleichsweise wenige Funktionen. Zusammen mit Sektionen einer auffällig hohen Entropie ist das ein Zeichen dafür, dass die Binärdatei verpackte Inhalte enthält.

 

Die Libraries, die für die Ausführung des ersten Stadiums der Malware benötigt werden, werden geladen. Anschließend sammelt die Malware grundlegende Informationen über das System, so zum Beispiel Benutzernamen, Computernamen, Umgebungsvariable und den Windows-Pfad. Dieser Pfad wird mit dem String “\system32\calc.exe” zusammengefügt, sodass letzendlich “C:\Windows\system32\calc.exe” entsteht. Danach wird überprüft, ob dies eine ausführbare Datei ist, wie im nachfolgenden Screenshot auch in der dynamischen Analyse zu sehen ist. Auf diesem Weg versucht die Malware herauszufinden, ob sie sich in einer echten Windows-Umgebung befindet.

 

 

Am Ende des ersten Stadiums wird das zweite Stadium entschlüsselt, entpackt und ausgeführt.

2. Stadium

 

In diesem Stadium werden mitgelieferte Programmbibliotheken entpackt und benötigte Funktionen dynamisch nachgeladen, die im weiteren Verlauf indirekt aufgerufen werden. Im nachfolgenden Screenshot befindet sich im EAX Register (zu sehen in der Ecke rechts oben) ein Zeiger auf die Funktion VirtualAlloc der Bibliothek kernel32.dll. Im disassemblierten Binärcode ist an Adresse 00402122 der dazugehörige indirekte Call des Registers EAX zu sehen.

 

Diese Technik wird verwendet, um Analysen zu erschweren. Durch statische Analysen allein ist es schwer vorherzusagen, was sich im EAX Register befindet und somit nachzuvollziehen, welche Funktion dort aufgerufen wird. Erst eine dynamische Analyse lädt die richtigen Werte in die Register und zeigt die eigentliche Funktion.

 

Danach werden einige Techniken ausgeführt, um Sandbox-Analysen zu erschweren. Im nachfolgenden Screenshot ist zu sehen, wie der NetBIOS Computername des Systems durch einen indirekten Call der Funktion GetComputerNameExA abgefragt wird und dann durch einen weiteren indirekten Call der Funktion lstrcmp mit dem String “TEQUILABOOMBOOM” verglichen wird.

 

Dieser String ist sehr signifikant. In einem Blogbeitrag beschreibt Malwarebytes Labs, dass der String in dem Neutrino Botnet Builder Toolkit verwendet wird, um bekannte Sandboxen zu erkennen. In den Kommentaren wird erwähnt, dass sich diese Überprüfung auf die VirusTotal Sandbox bezieht. Dort wird allerdings der Benutzername und nicht der Computername mit dem String verglichen. Wir gehen davon aus, dass dies nur eine lustige Referenz ist, oder sich die Entwickler bei der Funktion schlicht vertippt haben. Es wäre jedenfalls eine interessante lokale Mitigationsstrategie, den Computernamen entsprechend abzuändern.

 

Wie auch in den folgenden Screenshots der API-Calls zu sehen ist, werden weitere Anti-Sandbox-Checks durchgeführt. Sollte einer dieser Checks erfolgreich sein, beendet die Malware ihre Ausführung.

 

Überprüfung nach bekannten Namen:

 

 

Überprüfung, ob bekannte Sandbox-Dateien existieren:

 

 

Unter anderem werden folgende Checks ausgeführt, um einer Sandbox-Analyse zu entgehen:

 

  • Ist der Benutzername “Wilbert” und eine weitere Variable “SC” oder “CW”?
  • Ist der Benutzername “admin” und der Computername “SystemIT” und kann die Datei “C:\Symbols\aagmmc.pdb” gelesen werden?
  • Ist der Benutzername “admin” und der Computername “KLONE_X64-PC”?
  • Ist der Benutzername “John Doe” und eine weitere Variable “BEA-CHI”?
  • Ist der Benutzername “John” und existiert eine der Dateien “C:\take_screenshot.ps1” oder “C:\loaddll.exe”?
  • Existieren die Dateien “C:\email.htm” und “C:\123\email.doc”, sowie vielleicht “C:\123\email.docx”?
  • Existieren die Dateien “C:\a\foobar.bmp” und “C:\a\foobar.doc”, sowie vielleicht “C:\a\foobar.gif”?
  • Wurde die Malwaredatei mit den Namen “sample”, “mlwr_smpl” oder “artifact.exe” benannt?

Sind die Checks überstanden, wird das dritte Stadium der Malware entpackt und ausgeführt.

 

3. Stadium

 

In diesem Stadium überprüft die Malware mit der Mutex MC01935C3, ob sie schon auf dem System läuft.

 

Durch das Erstellen eines Registry-Eintrages wird Persistenz hergestellt, wobei wir ein unterschiedliches Verhalten auf verschiedenen Windows-Versionen beobachten konnten. Unter Windows XP 32bit läuft “Emotet” unter dem ursprünglichen Namen der ausführbaren Datei, zum Zeitpunkt der Ausführung, weiter.

Unter Windows 7 32bit und Windows 10 64bit löscht “Emotet” seine ursprüngliche Datei und kopiert sich zuvor an einen anderen Ort. Zudem werden folgende Registry-Einträge erstellt:

 

  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASAPI32
  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASMANCS

4. Stadium

 

“Emotet” läuft unter Windows 10 im Pfad C:\Users\username\AppData\Local\Microsoft\Windows\eventshedule.exe als Kopie von sich selbst und als Subprozess von explorer.exe weiter. Stellt die Malware fest, dass sie unter Beobachtung steht, löscht sie sich von diesem Ort und legt erneut eine Kopie von sich unter C:\Windows\SysWOW64\eventshedule.exe ab. Wird “Emotet” erneut unter Beobachtung gestellt, beendet sich der aktuelle Prozess und startet sich von der gleichen Lokation erneut.

 

Wir konnten unter allen Windows Versionen beobachten, dass “Emotet” unter dem Namen “Web DAV Client DLL” läuft. Der folgende Screenshot zeigt den Prozess unter Windows 7.

 

 

Die Malware beginnt anschließend, ihre C&C Server zu kontaktieren und neue Module nachzuladen. Wir haben Kontaktversuche zu den folgenden C&C Servern beobachtet:

 

  • http: //162.243.154.25:443/
  • http: //136.243.202.133:8080/
  • http: //66.234.234.36:8080/
  • http: //212.83.146.230:8080/
  • http: //209.126.105.250:8080/
  • http: //66.175.215.16:8080/
  • http: //178.254.33.12:8080/
  • http: //46.4.67.203:7080/
  • http: //147.135.209.118:443/

“Emotets” Cyber Kill Chain

 

Das Ziel von “Emotet” ist es, den Angreifern Geld zu verschaffen. Somit lässt sich die Malware unter der Kategorie “Crimeware” eingeordnen. Das theoretische Modell der “Pyramid of Pain” beschreibt, dass sich die von den Angreifern verwendeten Techniken und Taktiken am seltensten ändern. Dies ist auch bei “Emotet” im Vergleich zu den älteren Versionen zu beobachten. Auch wenn das Nachladen von neuen, unbekannten Modulen und immer wieder neuen Varianten dieser Malware eine Ungewissheit bezüglich der direkten Absichten mit sich bringt, ist davon auszugehen, dass sich die Zielsetzung, Geld zu beschaffen auch in zukünftigen Versionen der Malware nicht ändern wird.

 

Mit voranschreitender Analyse fügen sich die Puzzleteile zu einem großen Ganzen zusammen. In dem nachfolgenden Diagramm haben wir abschließend die einzelnen Angriffsschritte von “Emotet” im Modell der Cyber Kill Chain dargestellt.

 

Hornetsecurity Sandbox

Schlussendlich haben wir noch einen Screenshot des “Emotet”-Samples aus der Sandbox-Analyse von Hornetsecurity, die es eindeutig (mit der höchstmöglichen Punktzahl) als bösartig identifiziert:

 

 

Schutz vor Malware mit Advanced Threat Protection

Die Malware „Emotet“ ist nur eine von vielen Möglichkeiten, Ihnen oder Ihrem Unternehmen finanzielle Schäden zuzufügen. Auch der Verlust von wichtigen Daten kann Ihnen durch Malware, Viren und Ransomware bevorstehen. Advanced Threat Protection ist ein intelligenter Spamfilter, der gefährliche E-Mail-Inhalte frühzeitig erkennt. Im Gegensatz zu normalen Spamfiltern kann Advanced Threat Protection bereits Gefahren erkennen, die dem Spamfilter noch nicht bekannt sind. Erfahren Sie mehr über Advanced Threat Protection.

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Vor kurzem entdeckten Forscher die Sicherheitslücke CVE-2017-11882 in Microsoft Office. Microsoft handelte entsprechend schnell und schloss die Schwachstelle mit einem Sicherheitsupdate. Durch die Veröffentlichung des Exploits wurden nun jedoch Angreifer auf die Lücke aufmerksam und versuchen nun, diese auf noch nicht gepatchten Systemen auszunutzen.

 

Von der Sicherheitslücke sind alle Office Versionen betroffen. Der Exploit im Equation Editor von Microsoft, einer alten Version des Formeleditors, nutzt einen Pufferüberlauf, der es dem Angreifer ermöglicht, beliebigen Code auf dem System des Benutzers auszuführen. Dadurch ist es beispielsweise möglich, eine Schadsoftware aus dem Internet herunterzuladen und auszuführen.

 

Schwachstelle besteht seit 17 Jahren

 

Der Equation Editor wurde 2000 kompiliert und seitdem nicht generalüberholt. Dadurch entspricht er nicht den aktuellen Sicherheitsvorkehrungen und macht die Ausnutzung von Pufferüberläufen erst möglich. Auch wenn der Formeleditor in Office 2007 ersetzt wurde, wurde er noch mitgeliefert, um die Abwärtskompatibilität zu älteren Dokumenten zu gewährleisten, bei denen das 17 Jahre alte Programm zum Anzeigen und Bearbeiten von mathematischen Formeln dient.

 

Öffnet ein User ein Dokument, das den Exploit nutzt, ist keine weitere Interaktion mehr notwendig, um den Schadcode auszuführen. Nur die geschützte Ansicht, die Sandbox der Office-Programme, verhindert noch die Ausführung.

 

Hornetsecurity erkennt Exploit in Dokumenten

 

Seitdem die Sicherheitslücke bekannt geworden ist, versuchen Angreifer vermehrt, schädliche Office-Dokumente zu verteilen, die den Exploit verwenden. Hornetsecurity hat die Filter entsprechend angepasst, sodass diese Dokumente direkt erkannt und gefiltert werden, bevor sie im E-Mail-Postfach landen. Dennoch raten wir dazu, das Sicherheitsupdate möglichst bald durchzuführen.

Angriff des Verschlüsselungstrojaners Bad Rabbit

Angriff des Verschlüsselungstrojaners Bad Rabbit

Seit der letzten Welle von Ransomware-Attacken durch NotPetya ist etwas Zeit vergangen. Doch jetzt taucht eine neue Form auf und richtet große Schäden an. Besonders in Russland und Osteuropa hat der Kryptotrojaner zugeschlagen und mehrere Unternehmen infiziert. Aber auch in Deutschland wurde er bereits gesichtet.

Bad Rabbit, benannt nach der Seite im Darknet, auf der Betroffene Ihre Zahlung tätigen sollen, verschlüsselt Daten und verlangt eine Gebühr von 0.05 Bitcoins um sie wieder freizugeben. Nach dem aktuellen Kurs der Kryptowährung sind das rund 240 Euro.

Kopfüber ins Kaninchenloch

Die Verbreitung des Kryptotrojaners geschieht hauptsächlich über kompromittierte Nachrichtenseiten. Durch diesen Watering-Hole-Angriff können die Angreifer gezielte Attacken auf bestimmte Benutzergruppen und Unternehmen ausüben. Gehen Benutzer auf eine infizierte Webseite wird automatisch ein Drive-by-Download angestoßen, der ein gefälschtes Adobe Flash-Update herunterlädt. Wird diese Datei ausgeführt, ist Bad Rabbit im System und die Daten sind nach dem erzwungenen Neustart verschlüsselt.

 

 

Bad Rabbit Trojaner

Zahlungsseite im TOR-Netzwerk

 

Zum Vergrößern auf die Abbildung klicken

 

 

Wie schon WannaCry und NotPetya, kann sich Bad Rabbit im Netzwerk verbreiten. Dafür verwendet die Malware aber nicht den EternalBlue Exploit, um Schwachstellen in der Version 1.0 des SMB-Protokolls auszunutzen, sondern infiziert andere Rechner über Windows Management Instrumentation (WMI). Um der Verteilung im lokalen Netzwerk vorzubeugen, ist es ratsam WMI auszuschalten, wenn es nicht gebraucht wird.

Hornetsecurity erkennt die Malware und schützt mit URL-Rewriting

Mit der URL-Rewriting-Engine der Advanced Threat Protection von Hornetsecurity wird Bad Rabbit auf kompromittierten Seiten erkannt und blockiert. So können Sie weiterhin verlinkte News-Seiten aus Ihren E-Mails aufrufen und sind vor einem Angriff sicher. Sollte sich die Ransomware doch noch über E-Mails weiterverbreiten, sind unsere Systeme vorbereitet und erkennen den Angriff sofort.

 

Unsere Empfehlungen

Um auf der sicheren Seite zu sein, ist es wichtig, regelmäßige Backups der Daten zu machen und keine unbekannten Dateien herunterzuladen oder auszuführen. Besonders Aktualisierungen von Adobe Flash sollten nur direkt vom Hersteller bezogen werden.

 

Im Falle einer Infizierung raten wir davon ab eine Zahlung an die Erpresser zu tätigen, denn ob sie den notwendigen Schlüssel herausgeben, um die Daten wieder nutzbar zu machen, ist nicht sicher.