Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Bei noch neuartiger Malware stellt sich zunächst immer die Frage, welches Ziel diese verfolgt. Wir beobachten derzeit eine neue .NET Spyware, über die bisher noch nicht berichtet wurde. Sie zeichnet sich vor allem durch den Gebrauch hartnäckiger Anti-Analysetechniken aus, die durch die Verwendung des Packers Confuser implementiert wurden. Abgesehen davon investiert sie zur Laufzeit jedoch nicht viel Mühe in ihre Tarnung, und offenbart damit ihre Absichten. Die Spyware sammelt Login-Daten vieler verschiedener Programme und verwendet einen Keylogger, um an Informationen zu gelangen.

 

Die von uns Camolog getaufte .NET Spyware verbreitet sich über eine derzeit laufende Phishing-Kampagne. Sie bringt einen Keylogger mit und sammelt Login-Daten von Mail-Clients, Browsern, FTP- und Instant-Messenger-Clients. Die so eingesammelten Zugangsdaten werden nach solchen Informationssammelkampagnen in der Regel von den Cyberkriminellen verkauft oder für Folgeangriffe verwendet.

 

Phishing-Mails als “Dosenöffner”

 

Bei den einzelnen E-Mails der eher moderat großen Spam-Mail-Welle variieren die Betreffzeilen (siehe Screenshot) und Attachments leicht. Die Attachments, mit denen die Malware ausgeliefert wird, hatten meistens eine Größe zwischen 400KB und 1,3MB. In dem folgenden Screenshot ist eine dieser Phishing-Mails zu sehen, wobei die verwendeten Kontaktinformationen geschwärzt sind, da es sich bei diesen häufig um entwendete Informationen echter Personen handelt.

 

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

 

Die Phishing-Mail gaukelt dem Empfänger vor, nach einem Angebot zu fragen und motiviert ihn so dazu, den Anhang zu öffnen. In diesem jedoch befindet sich ein RAR-Archiv mit dem Namen Sample Product 9076_pdf.rar. Das Archiv versteckt die ausführbare .NET-Datei SampleProduct9076_pdf.exe, die als Dropper der Spyware dient und durch eine Variante des öffentlich verfügbaren Verschleierungstools Confuser gesichert wurde.

 

Die Verwendung von Confuser wird offensichtlich, öffnet man die Malware im .NET Decompiler dotPeek. Auch der verwendete Projektname “dimineata” ist auffällig und lässt sich zur Identifikation der Malware verwenden. Das zeigt der nachfolgende Screenshot.

 

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

 

Der Einsatz von Anti-Decompiler- und Anti-Debugger-Techniken erschwert jedoch die Analyse der Malware. So stürzt das Analysetool IDA Pro bereits beim Laden der Binärdatei ab, .NET spezifische Decompiler funktionieren nicht richtig und bei dynamischen Analysen verwendete Debugger schlagen fehl, sodass manuelle Analysen kaum Informationen liefern. Das ist wahrscheinlich auch einer der Gründe, weshalb bisher keine Berichte über diese Spyware zu finden sind.

 

Camolog widersetzt sich einer Untersuchung

 

Erst nach der Ausführung in einer gesicherten und überwachten Umgebung lässt sich ein Überblick über das Verhalten der Malware gewinnen. Dabei ist unter anderem zu beobachten, dass die Malware als Prozess mit Namen “chrome.exe” und der Beschreibung “Accu-Chek 360˚ diabetes management software” läuft. Dieser Prozess startet einen weiteren Subprozess mit gleichem Namen. Nach kurzer Zeit legt die ursprüngliche Binärdatei eine Kopie von sich als AppData\Local\Temp\iaq\iaq.exe an, startet ihren Subprozess und löscht sich im Anschluss daran selbst.

 

Zu dem Zeitpunkt, an dem der Subprozess geladen werden soll, müssen dessen Binärdaten vollständig entpackt und entschlüsselt im Speicher vorliegen. Die Übergabe erfolgt in Form eines Bytearrays an die AppDomain.Load()-Funktion. Da diese Funktion zum .NET Framework gehört, ist sie nicht von den Anti-Analysetechniken des Verschleierungstools betroffen und lässt sich im Gegensatz zu den Funktionen der Malware problemlos analysieren. Dadurch ist es mit einem Debugger wie dnSpy möglich, einen Breakpoint auf diese Funktion zu setzen und die Binärdatei der vom Dropper nachgeladenen Malware aus dem Speicher zu dumpen. Diese soll nun nachfolgend etwas genauer untersucht werden.

 

Untersuchung der Spyware

Untersuchung der Spyware

 

Die Binärdatei der gedroppten Spyware wurde nur durch eine zufällige Umbenennung der Funktionen und Variablen und nicht durch weitere Anti-Analysetechniken verschleiert. Somit lässt sich mit einem .NET Decompiler wieder lesbarer Sourcecode generieren, der das Verhalten der Malware verrät.
 

Welche Informationen sammelt die Spyware?

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die Spyware sammelt etliche Informationen: Neben den in den Favoriten gespeicherten Verbindungsdaten des FTP Clients SmartFTP auch Passwörter des Clients WS_FTP, die zuletzt verwendeten Verbindungen von FileZilla, Verbindungen gespeicherter Sessions von WinSCP, aber auch die Verbindungsdaten von FTPWare.

 

Zusätzlich werden die in dem Instant Messenger Pidgin gespeicherten Accountdaten sowie die Passwörter des Video Chat Tools Paltalk ausgelesen. Camolog sammelt außerdem fleißig die Account-Daten der Mail-Clients Outlook und Thunderbird sowie die Login-Daten der Browser YandexBrowser, ChromePlus und Chromium. Mit einem Keylogger kann die Spyware zudem eingegebene Informationen und Passwörter jeglicher Art mitschneiden.

 

Die Spyware nistet sich im System ein, indem sie Registry Keys für Windows Autorun anlegt (siehe Indikatorenliste). Durch diese Registry Keys und den laufenden Prozess “chrome.exe” ist die Malware sehr gut im System zu identifizieren.

 

Alles gut mit Hornetsecurity ATP

 

Mit unseren ausgeklügelten Spamfiltermechanismen erkennen wir E-Mails dieser Kampagne seit dem ersten Auftreten und filtern diese bereits in der Cloud heraus. So hat die Spyware keine Chance, in die Nähe der Unternehmensinfrastruktur unserer Kunden zu gelangen. Durch Hornetsecurity Advanced Threat Protection genießen unsere Kunden zudem den Schutz vor jeglichen Variationen dieser Malware. Durch den Einsatz von Verhaltensanalysen liegt der Schutz von Hornetsecurity ATP weit über dem eines herkömmlichen Spamfilters. Hier ein Auszug der ATP-Verhaltensanalyse:

 

Die detaillierte Auswertung der Sandbox-Analyse

Die detaillierte Auswertung der Sandbox-Analyse

 

Liste der Indikatoren zur Erkennung der Malware:

 

Phishing-Mails:

 

Betreffzeilen, die in der Kampagne verwendet werden:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Attachment der Phishing-Mail – Win32 RAR Archive:

 

  • Dateiname: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Attachments anderer E-Mails dieser Kampagne:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Dateityp: RAR archive data, v4, os: Win32
  • Größe: 331K
  • Inhalt des Archivs, SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Dropper aus dem Archiv:

 

  • Dateiname: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Andere Dropper der Kampagne:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 429K
  • Prozessname: chrome.exe
  • Beschreibung: Accu-Chek 360˚ diabetes management software
  • Droppt die Datei, SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Signifikanter String:  dimineata.exe
  • Legt außerdem eine Kopie von sich unter C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Nachgeladene Spyware:

 

  • Dateiname: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 58K
  • Prozessname: chrome.exe

 

Registry Keys, von denen Informationen gesammelt wurden:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Dateien, von denen Informationen gesammelt wurden:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Registry Keys, die angelegt wurden, um Persistenz herzustellen:

 

  • Autoruneintrag des Droppers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Autoruneintrag der Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot
NanoCore – Kreative Verbreitung eines alten Bekannten

NanoCore – Kreative Verbreitung eines alten Bekannten

 

Es müssen nicht immer neu entwickelte Schadcodes sein, die Angreifer verwenden. Oftmals nutzen sie auch erprobte Malware für ihre Zwecke, wenn es für sie passend erscheint. Ungleich wichtiger in einem solchen Fall ist es dann natürlich, den Verbreitungsweg so zu wählen, dass sich die Schadsoftware unbemerkt beim Opfer platzieren lässt. Wir haben uns ein solches Vorgehen einmal etwas genauer am Beispiel NanoCore angeschaut.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

NanoCore ist ein Remote Access Trojaner, der seit 2013 in verschiedenen Versionen als  vergleichsweise günstiges Fertigprodukt zu erwerben ist. Remote Access Trojaner sind eine sehr gefährliche Malwareart, die es Angreifern erlaubt, infizierte Systeme komplett aus der Ferne zu steuern und zu überwachen. 2015 wurde die Vollversion von NanoCore mit allen Plugins gecracked und ist seitdem in Untergrundforen kostenlos erhältlich.

 

Der Entwickler von NanoCore wurde letztes Jahr festgenommen und in einem spannenden Verfahren zu 3 Jahren Haft verurteilt. Von besonderer Bedeutung ist der Fall vor allem deshalb, da erstmals ein Entwickler eines Dual-Use-Tools verurteilt wurde, der das Tool nicht “für den Eigenbedarf” zum Hacken verwendet hat. Entscheidend für die Verurteilung war, dass der Entwickler die Software in Hackerforen angeboten hatte und wusste, dass manche seiner Kunden das Tool für illegale Zwecke einsetzen würden.

NanoCore ist noch immer nicht aus der Mode gekommen und treibt weiterhin sein Unwesen. Da das Tool jedoch sehr gut analysiert ist und daher leicht von Antivirenprodukten aufgespürt werden kann, müssen die Angreifer oft kreativ werden, um den Trojaner auszuliefern. Hierfür denken sie sich ausgefeilte Verschleierungsmethoden aus.

 

In der vergangenen Woche konnten wir einen Cyberangriff mit NanoCore beobachten, in dem auf kreative Art und Weise verschiedene Techniken kombiniert wurden, um den Remote Access Trojaner auszuliefern und zu installieren. Hierfür verwendeten die Angreifer eine Kombination aus Phishing, einem selbstextrahierenden Winrar-Archiv sowie dem legitim nutzbaren Administrationswerkzeug AutoIT.

 

Auslieferung per Phishingmail

 

Die initiale Phishingmail gaukelt dem Empfänger ein besonderes Geschäftsangebot vor, das in einem mitgelieferten PDF namens “inquiry.pdf” im Anhang stehen soll. Durch die Verwendung vollständiger Kontaktinformationen soll die Mail überzeugender wirken. Da diese Informationen häufig echt sind, haben wir sie im nachfolgenden Screenshot ausgeschwärzt.

 

Beispiel Phishing Mail

Beispiel für eine Phishing Mail

 

Das anhängende Phishing-PDF sieht aus wie ein Link zu Dropbox, beinhaltet aber eine URL, über die eine Archivdatei aus einer anderen Quelle heruntergeladen wird.

 

Fake Dropbox-Seite zu Malware-Link

Fake Dropbox-Seite zu Malware-Link

 

In diesem “inquiry.zip” ZIP-Archiv befindet sich die Datei “inquiry.scr”. Die Dateiendung “scr” ist nur eine Alternative zu “exe” und wurde früher für ausführbare PE-Dateien verwendet, die Bildschirmschoner installieren. In diesem Fall handelt es sich um ein selbstextrahierendes Winrar-Archiv, das als Malwaredropper missbraucht wird.

 

Verwendung eines selbstextrahierenden Archives

 

Die in der Datei enthaltenen Strings zeigen, dass es sich bei der scr-Datei um ein selbstextrahierendes Winrar-Archiv handelt. Signifikante Strings sind beispielsweise:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

Das Archiv ließ sich manuell nicht fehlerfrei extrahieren. Erst eine Ausführung der Datei zeigt den unbeschädigten Inhalt des Archives, bestehend aus:

 

  • 42 zufällig benannten Dateien mit unterschiedlicher Endung, die nur um die 500 Byte groß sind und ASCII Daten enthalten
  • Das legitime Administrationstool AutoIT, umbenannt als “mta.exe”
  • Eine ASCII Datei “qoa.docx”, die 951K groß ist und die Konfiguration für AutoIT enthält
  • Eine ASCII Datei “stt=dsr”, die 3MB groß ist und ein obfuskiertes Script in der AutoIT-eigenen VBA-ähnlichen Scriptsprache enthält

 

Im August 2015 berichtete TALOS über einen ähnlichen Angriff , der die Kombination eines selbstextrahierenden Archives mit AutoIT verwendendete, um NanoCore auszuliefern. Der Angriff hat weitere Ähnlichkeiten zu der von uns beobachteten Attacke, was eine Verbindung zwischen den Vorfällen vermuten lassen. So stoppt beispielsweise der Angriff für 20 Sekunden, wenn ein laufender Avast Prozess detektiert wird. 2015 wurde jedoch ein Officemakro in der Phishingmail verwendet, während in dem hier untersuchten Fall ein PDF zum Einsatz kam. Auch bei den ausgelieferten Payloads gibt es Unterschiede, wie beispielsweise die Auslieferung weiterer Malware in dem 2015 von Talos untersuchten Angriff.

 

Angreifer missbrauchen Automatisierungstool AutoIT

 

AutoIT ist ein legales Werkzeug, das zur Automatisierung von Administrationsaufgaben verwendet wird. Es stellt hierfür eine eigene Scriptsprache bereit, die an VBA angelehnt ist. Das Tool ist frei erhältlich und wurde leider schon öfter von Kriminellen zur Installation von Malware verwendet, so dass es manchmal fälschlicherweise als gefährlich eingestuft wird.

 

Das AutoIT-Script in der Datei “stt=dsr” aus dem ZIP-Archiv hat eine AntiAV-Technik eingebaut, die die Ausführung schlafen legt, falls der Prozess “avastui.exe” auf dem System läuft. Es liest aus der “qoa.docx” Konfigurationsdatei verschiedene Werte aus der Sektion “Setting” aus. Danach wird eine zufällig benannte Datei erstellt, in die einer der ausgelesenen Strings geschrieben wird. Diese Datei ist ebenfalls ein obfuskiertes AutoIT-Script, 272K groß, und heißt in unserem Fall “DIENU”. In dieser Datei wird der String “Settings File Name” mit dem Namen der Konfigurationsdatei “qoa.docx” überschrieben. Anschließend setzt das Script die Attribute aller extrahierten Dateien auf “hidden” und “read only”, um sie möglichst unscheinbar werden zu lassen. AutoIT wird gestartet und das erstellte “DIENU”-Script, das “qoa.docx” als Konfigurationsdatei verwendet, wird AutoIT übergeben.

 

Intelligente Systemprüfung vor Installation von NanoCore

 

Das “DIENU”-Script nimmt einige Änderungen am System vor, so zum Beispiel das Ändern der Systemkonfiguration und von Registryeinträgen. Es versucht herauszufinden, ob es in einer VMware oder Virtualbox Sandbox läuft – falls dies der Fall ist, bricht das Script ab, um einer möglichen Analyse zu entgehen. Im weiteren Verlauf wird der Remote Access Trojaner installiert, indem Schadcode in den Prozessspeicher von “RegSvcs.exe” injiziert wird – ein .NET Tool, das zur Installation von Services gedacht ist. Diese Technik wird gerne verwendet, um Malware in legitimen Programmen zu verstecken.

 

Funktionsablauf des NanoCore-Angriffes

Funktionsablauf des NanoCore-Angriffes

 

Flexibilität von NanoCore durch modularen Aufbau

 

NanoCore ist modular aufgebaut. Die jeweiligen Plugins, die sich unabhängig voneinander ein- und ausschalten lassen, hat DigiTrust in einem Artikel ausführlich beschrieben. Bei diesem Angriff wurden zwei Plugins verwendet: Das Client Plugin in Version 1.2.0.0 und das Surveillance Plugin mit der Produktversionsnummer 1.0.1.7.

 

Die Plugins wurden als Bibliotheksdateien “ClientPlugin.dll” und “SurveillanceExClientPlugin.dll” für .NET geschrieben und mit dem Tool “Eazfuscator.NET 3.3” verschleiert. Um Analysen mit einem Debugger zu erschweren, sind die Methoden mit den Attributen “DebuggerHiddenAttribute” und “DebuggerNonUserCode” versehen. Hierdurch wird ein Debugging dieser Methoden und das Setzen von Breakpoints verboten.

 

Client-Plugin

 

Das Client-Plugin ist der Grundbaustein, der sich um die Kommunikation mit dem Command-and-Control-Server und die Verwaltung der gesammelten Informationen in einer Key/Value-Sammlung kümmert. Die Informationen lassen sich optional komprimiert per Pipe an den C2-Server senden. Der Client hat des Weiteren Optionen, um Einstellungen zu ändern, Plugins und sich selber zu deinstallieren und den Hostcomputer zu steuern, also diesen zum Beispiel herunterzufahren, neu zu starten, oder Sicherheitsmechanismen zu deaktivieren.

 

Surveillance-Plugin

 

Das Surveillance-Plugin bringt allerlei Features für die Überwachung des Opfers mit. So kann der Angreifer Passwörter, Logs und DNS Records sammeln. Der Hostcomputer ist per Remote-Desktop steuerbar, und es können Mitschnitte von Tasteneingaben, dem Mikrofon oder der Webcam aufgenommen werden.

 

Das Surveillance Plugin kann vier Kommandos empfangen:

 

  1. Password: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

Im Großen und Ganzen zeigt sich ein umfangreicher Werkzeugkasten, um den infizierten Rechner aus der Ferne komplett zu steuern und zu überwachen.

 

Kein Durchkommen dank Hornetsecurity ATP

 

So ausgefeilt die Verschleierungsmethoden dieses NanoCore-Angriffes auch sind, die wahre Absicht des Tools wird durch die Verhaltensanalysen der Hornetsecurity ATP Sandbox erkannt. Diese erkennt sowohl das Entpacken der Dateien, das Erstellen der neuen Dateien, die Prozessinjektion der NanoCore DLLs in einen legitimen Prozess, die Modifikation der Registyeinträge als auch die Netzwerkkommunikation.

 

Analysetätigkeiten von Hornetsecurity ATP

Analysetätigkeiten von Hornetsecurity ATP

 

Indicators of Compromise

 

Die folgenden Dateien mit ihren sha256-Hashwerten wurden in dem Angriff verwendet. Da AutoIT eine legitime Software ist, führen wir das Tool hier nicht mit auf.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Domain, von der das zip-Archiv heruntergeladen wurde: htXp://ibeitou.com/inquiry.zip

 

Nicht auf Sand gebaut

Nicht auf Sand gebaut

Die Hornetsecurity Sandbox geht schädlichen Dateien bis auf den Grund.

 

Eines der Haupteinfallstore von Malware ist nach wie vor die E-Mail. Egal, ob direkt als Dateianhang oder über einen Downloadlink – befinden sich die Schadcodes erst einmal auf lokalen Geräten, haben die üblichen Abwehrmaßnahmen versagt. Und das Wettrüsten zwischen Angreifern und IT-Security-Anbietern dauert an. Auch Hornetsecurity entwickelt seine Verteidigungsmaßnahmen daher immer weiter.
 
Ein Teil davon ist die Sandbox von Hornetsecurity Advanced Threat Protection (ATP): Diese durchleuchtet alle potentiell gefährlichen E-Mail-Anhänge und verdächtigen Dateien, die während des URL Rewritings überprüft werden, in einer von anderen Systemen abgeschirmten Umgebung auf Herz und Nieren. Um diese Dateien genau zu analysieren, kommen unterschiedliche Techniken zur Anwendung.

 

Statische Analyse

 

Vor der Untersuchung in der Sandbox werden die Dateien in der statischen Analyse unter die Lupe genommen, ohne diese auszuführen. Hierbei schaut sich das Erkennungssystem allgemeine Metadaten der Datei wie das Erstellungsdatum, das Änderungsdatum und den Autor ganz genau an.
 
Außerdem findet eine Analyse von Makros aus Office-Dateien und JavaScript-Code aus PDF-Dateien statt. Die einzelnen Abschnitte von Portable Executables – unter Windows ausführbare Dateien – werden nach kritischen Inhalten durchsucht. Dabei trägt das System Informationen zu den genutzten Libraries zusammen, anhand denen sich beispielsweise erkennen lässt, ob die Datei mit dem Internet kommuniziert.
 
Zudem werden auslesbare Zeichen, die in der Datei ausgegeben werden, analysiert. So lassen sich zum Beispiel auffällige Webseitenaufrufe schon vor der Ausführung der Datei finden. Zur statischen Analyse zählt auch die Überprüfung der Datei anhand ihres Hash-Wertes durch eine Vielzahl von Antivirenprogrammen.

 

Während der statischen Analyse “seziert” ein Algorithmus die Datei im wahrsten Sinne des Wortes, um möglichst viele Informationen zu gewinnen und daraus eine Basis zur Entwicklung von Virensignaturen zu erhalten. Diese Signaturen werden dazu verwendet, um Viren an bestimmten Mustern eindeutig zu identifizieren.

 

Der folgende Screenshot zeigt einen Teil des Codes eines Office-Makros in der statischen Analyse.

 

 

 

Die Sandbox-Analyse

 

In der dynamischen Analyse wird die Datei in der Sandbox ausgeführt. An diesem Punkt analysiert die Sandbox-Engine alle Systemveränderungen bei der Ausführung der Datei – also zur Laufzeit. Dazu protokolliert sie das Verhalten der Systemprozesse, die Systemaufrufe und Veränderungen an der Registry und wertet sie anschließend nach Abnormitäten aus (Screenshot 2).
 
Zusätzlich wird der komplette Netzwerkverkehr des Systems mitgeschnitten, um auffällige Verbindungen zu ermitteln. Versucht die Datei mit einem Command-and-Control-Server zu kommunizieren und weiteren Schadcode nachzuladen, fängt die Sandbox diesen Vorgang auf und die Malware ab. Während die Datei ausgeführt wird, fertigt das System automatisch Screenshots aller Programmaufrufe an.

 

Nachdem die dynamische Analyse abgeschlossen ist, wird die virtuelle Sandbox-Umgebung, in der die Datei ausgeführt wurde, wieder auf einen früheren Stand zurückgesetzt. Somit lässt sich bei einer Infizierung das System von der Malware bereinigen.

 

 

Auf der Grundlage aller vorliegenden Analysen beurteilt die Sandbox die Datei nach ihrer potentiellen Gefahr. Als Ergebnis erhält sie einen Wert zwischen 0 und 10.

 

Neuer ATP-Report

 

Mit dem Update der Sandbox auf die Version 2.0 erhielt der ATP-Report eine grundsätzliche Überarbeitung. Hier finden ATP-Benutzer umfangreiche Informationen über die analysierte Datei.

 

In der Übersicht werden die wichtigsten Punkte der Analyse zusammengefasst. Neben der Gefährlichkeitsbewertung der Datei (Screenshot 3), zeigt der Report die zutreffenden Virensignaturen an und teilt sie nach ihrer Bedrohung in die drei Kategorien Achtung, Warnung und Gefahr ein (Screenshot 4). Zudem führt er auch die in der Sandbox entstandenen Screenshot auf (Screenshot 5).

 

 

 

 

Unter den weiteren Menüpunkten des ATP-Reports sind die Ergebnisse der detaillierten Analysen aufgelistet.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

ATP-Sandbox-Analyse in neuem Gewand

 

Zusätzlich zur Überarbeitung des ATP-Reports erhielt die Sandbox mit dem neusten Update viele Verbesserungen. Unter anderem werden nun alle 64-Bit-Anwendungen vollständig analysiert. Zudem überarbeiteten die Hornetsecurity-Spezialisten das Bewertungssystem und pflegten neue Signaturen zur Verhaltensweise von Viren ein.
 
Auch die statische Analyse erweiterten sie durch verbesserte Parsing-Mechanismen für JavaScript in PDF-Dateien. Außerdem wurden wesentliche Verbesserungen an der Infrastruktur durchgeführt und neue Sandbox-Systeme hinzugefügt, um die Leistung und den Durchsatz der Analysen erheblich zu steigern.
 

Kontinuierliche Weiterentwicklung

 

Das Security Lab von Hornetsecurity arbeitet kontinuierlich an der Verbesserung der Sandbox, damit die Sandbox auch die neuesten und raffiniertesten Bedrohungen findet.

Um jederzeit auf neue Angriffe reagieren zu können, werden die bestehenden Virensignaturen verbessert und neue Signaturen hinzugefügt. Zudem lassen sich die Mitschnitte des Netzwerkverkehrs und des allgemeinen Verhaltens dafür verwenden, generelle Regeln abzuleiten, mit deren Hilfe auch neuartige Malware zu erkennen sind.

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

UPDATE: EMOTET WEIHNACHTSWELLE

 

Am 26.12. haben wir eine neue Welle an Emotet Phishingmails beobachtet, die ihre Opfer dazu animierte, auf einen Link zu klicken, um eine Weihnachtskarte zu erhalten. Statt der versprochenen Karte verbarg sich hinter dem Link jedoch ein weiteres gefährliches Dokument, das per VBA Makro Emotet herunterlädt. Die Angreifer nutzten die Festtage, um die Mails ihrer Campagne glaubwürdiger aussehen zu lassen.

 

Ein Screenshot der Betreffzeilen einiger Mails, die alle zur gleichen Emotet Malware führten, zeigt die Kreativität der Angreifer:

 

 

Zudem variierte auch die durchaus glaubwürdig erscheinende Nachricht mit dem Link. Wir haben die Namen in den Screenshots hinter der Grußfloskel entfernt, da Emotet häufig echte, dem Opfer bekannte Namen, verwendet:

 

 

 

 

 

 

 

Die gefährlichen Dokumente wurden von folgenden Servern heruntergeladen:

 

  • httX://family.mikemccully.com/Holidays-Card/
  • httX://slatersf.com/Your-Christmas-Card/

 
Wir freuen uns, unsere Kunden sicher durch die Feiertage gebracht zu haben! 🙂

 

+++

 

Die seit dem Jahr 2014 als Banking-Trojaner bekannt gewordene Malware “Emotet” tritt in immer wieder neuen Variationen auf. In der zweiten Hälfte dieses Jahres haben wir eine neue und zudem sehr aktive Angriffswelle beobachtet, die sich vorzugsweise über Links in Phishing-E-Mails verbreitet. In diesem Beitrag erklären wir den Angriffsvektor und Infektionsweg von “Emotet”, die Verbreitungsmethoden, Ziele und seine Anti-Analysetricks anhand eines statisch und dynamisch analysierten Samples.

 

Angriffsvektor Phishing-Mails

 

Wir konnten sehr einfache aber effizient gestaltete Phishing-Mails beobachten, die die Identität einer Person aus einem geleakten Adressbuch verwendeten. Mit diesen versenden die Angreifer einen Link, über den ein Officedokument heruntergeladen wird, an andere Personen des Adressbuches. Die Adressbücher wurden von anderen mit “Emotet” infizierten Rechnern gestohlen.

 

Laut eines Berichtes von Kaspersky Lab über die letzte große Welle 2015 ist “Emotet” modular aufgebaut und kann dadurch mit einem integrierten Downloader beliebigen Payload von einem  Command and Control (C&C ) Server auf das infizierte System nachladen. Zudem enthält der Trojaner ein Modul zum Stehlen der Adressbücher aus Microsoft Outlook des infizierten Rechners. Dieses Verhalten konnten wir auch bei der neuen “Emotet”-Variante beobachten.

 

Über den Link in der versendeten Phishing-Mail laden sich die Opfer eine Office-Datei mit einem bösartigen Makro herunter, welches sich beispielsweise als Rechnung tarnt. Öffnet der Benutzer die Datei, wird er durch einen Phishing-Trick dazu animiert, die Ausführung von Makros zu aktivieren.

 

Betrugsversuch durch gefälschte Officeanweisung

Fällt das Opfer auf den Trick rein und führt die in dem Screenshot gezeigten Anweisungen aus, wird das in dem Dokument enthaltene VBA-Makro gestartet, das einen PowerShell-Befehl ausgeführt, um “Emotet” herunterzuladen und auszuführen. Für die Angreifer hat das den Vorteil, dass sie jederzeit den heruntergeladenen Payload ändern oder die Server herunterfahren können. Diese zeitliche Komponente erschwert es, die Folgen einer Infektion vorherzusagen.

 

 

Analyse von Emotet

Wir haben das Malware-Sample, das für die Infektion und das Nachladen neuer Module verantwortlich ist, genauer analysiert. Das von uns analysierte Sample wurde über das Makro eines Office-Dokuments heruntergeladen und hat folgenden sha256-Hashwert, über das es eindeutig identifiziert werden kann: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Durch Reverse Engineering und dynamische Analysen konnten wir beobachten, dass “Emotet” vier Stadien durchläuft:

 

1. Stadium

 

In diesem Stadium sieht die Malware recht harmlos aus, denn sie importiert vergleichsweise wenige Funktionen. Zusammen mit Sektionen einer auffällig hohen Entropie ist das ein Zeichen dafür, dass die Binärdatei verpackte Inhalte enthält.

 

Die Libraries, die für die Ausführung des ersten Stadiums der Malware benötigt werden, werden geladen. Anschließend sammelt die Malware grundlegende Informationen über das System, so zum Beispiel Benutzernamen, Computernamen, Umgebungsvariable und den Windows-Pfad. Dieser Pfad wird mit dem String “\system32\calc.exe” zusammengefügt, sodass letzendlich “C:\Windows\system32\calc.exe” entsteht. Danach wird überprüft, ob dies eine ausführbare Datei ist, wie im nachfolgenden Screenshot auch in der dynamischen Analyse zu sehen ist. Auf diesem Weg versucht die Malware herauszufinden, ob sie sich in einer echten Windows-Umgebung befindet.

 

 

Am Ende des ersten Stadiums wird das zweite Stadium entschlüsselt, entpackt und ausgeführt.

2. Stadium

 

In diesem Stadium werden mitgelieferte Programmbibliotheken entpackt und benötigte Funktionen dynamisch nachgeladen, die im weiteren Verlauf indirekt aufgerufen werden. Im nachfolgenden Screenshot befindet sich im EAX Register (zu sehen in der Ecke rechts oben) ein Zeiger auf die Funktion VirtualAlloc der Bibliothek kernel32.dll. Im disassemblierten Binärcode ist an Adresse 00402122 der dazugehörige indirekte Call des Registers EAX zu sehen.

 

Diese Technik wird verwendet, um Analysen zu erschweren. Durch statische Analysen allein ist es schwer vorherzusagen, was sich im EAX Register befindet und somit nachzuvollziehen, welche Funktion dort aufgerufen wird. Erst eine dynamische Analyse lädt die richtigen Werte in die Register und zeigt die eigentliche Funktion.

 

Danach werden einige Techniken ausgeführt, um Sandbox-Analysen zu erschweren. Im nachfolgenden Screenshot ist zu sehen, wie der NetBIOS Computername des Systems durch einen indirekten Call der Funktion GetComputerNameExA abgefragt wird und dann durch einen weiteren indirekten Call der Funktion lstrcmp mit dem String “TEQUILABOOMBOOM” verglichen wird.

 

Dieser String ist sehr signifikant. In einem Blogbeitrag beschreibt Malwarebytes Labs, dass der String in dem Neutrino Botnet Builder Toolkit verwendet wird, um bekannte Sandboxen zu erkennen. In den Kommentaren wird erwähnt, dass sich diese Überprüfung auf die VirusTotal Sandbox bezieht. Dort wird allerdings der Benutzername und nicht der Computername mit dem String verglichen. Wir gehen davon aus, dass dies nur eine lustige Referenz ist, oder sich die Entwickler bei der Funktion schlicht vertippt haben. Es wäre jedenfalls eine interessante lokale Mitigationsstrategie, den Computernamen entsprechend abzuändern.

 

Wie auch in den folgenden Screenshots der API-Calls zu sehen ist, werden weitere Anti-Sandbox-Checks durchgeführt. Sollte einer dieser Checks erfolgreich sein, beendet die Malware ihre Ausführung.

 

Überprüfung nach bekannten Namen:

 

 

Überprüfung, ob bekannte Sandbox-Dateien existieren:

 

 

Unter anderem werden folgende Checks ausgeführt, um einer Sandbox-Analyse zu entgehen:

 

  • Ist der Benutzername “Wilbert” und eine weitere Variable “SC” oder “CW”?
  • Ist der Benutzername “admin” und der Computername “SystemIT” und kann die Datei “C:\Symbols\aagmmc.pdb” gelesen werden?
  • Ist der Benutzername “admin” und der Computername “KLONE_X64-PC”?
  • Ist der Benutzername “John Doe” und eine weitere Variable “BEA-CHI”?
  • Ist der Benutzername “John” und existiert eine der Dateien “C:\take_screenshot.ps1” oder “C:\loaddll.exe”?
  • Existieren die Dateien “C:\email.htm” und “C:\123\email.doc”, sowie vielleicht “C:\123\email.docx”?
  • Existieren die Dateien “C:\a\foobar.bmp” und “C:\a\foobar.doc”, sowie vielleicht “C:\a\foobar.gif”?
  • Wurde die Malwaredatei mit den Namen “sample”, “mlwr_smpl” oder “artifact.exe” benannt?

Sind die Checks überstanden, wird das dritte Stadium der Malware entpackt und ausgeführt.

 

3. Stadium

 

In diesem Stadium überprüft die Malware mit der Mutex MC01935C3, ob sie schon auf dem System läuft.

 

Durch das Erstellen eines Registry-Eintrages wird Persistenz hergestellt, wobei wir ein unterschiedliches Verhalten auf verschiedenen Windows-Versionen beobachten konnten. Unter Windows XP 32bit läuft “Emotet” unter dem ursprünglichen Namen der ausführbaren Datei, zum Zeitpunkt der Ausführung, weiter.

Unter Windows 7 32bit und Windows 10 64bit löscht “Emotet” seine ursprüngliche Datei und kopiert sich zuvor an einen anderen Ort. Zudem werden folgende Registry-Einträge erstellt:

 

  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASAPI32
  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASMANCS

4. Stadium

 

“Emotet” läuft unter Windows 10 im Pfad C:\Users\username\AppData\Local\Microsoft\Windows\eventshedule.exe als Kopie von sich selbst und als Subprozess von explorer.exe weiter. Stellt die Malware fest, dass sie unter Beobachtung steht, löscht sie sich von diesem Ort und legt erneut eine Kopie von sich unter C:\Windows\SysWOW64\eventshedule.exe ab. Wird “Emotet” erneut unter Beobachtung gestellt, beendet sich der aktuelle Prozess und startet sich von der gleichen Lokation erneut.

 

Wir konnten unter allen Windows Versionen beobachten, dass “Emotet” unter dem Namen “Web DAV Client DLL” läuft. Der folgende Screenshot zeigt den Prozess unter Windows 7.

 

 

Die Malware beginnt anschließend, ihre C&C Server zu kontaktieren und neue Module nachzuladen. Wir haben Kontaktversuche zu den folgenden C&C Servern beobachtet:

 

  • http: //162.243.154.25:443/
  • http: //136.243.202.133:8080/
  • http: //66.234.234.36:8080/
  • http: //212.83.146.230:8080/
  • http: //209.126.105.250:8080/
  • http: //66.175.215.16:8080/
  • http: //178.254.33.12:8080/
  • http: //46.4.67.203:7080/
  • http: //147.135.209.118:443/

“Emotets” Cyber Kill Chain

 

Das Ziel von “Emotet” ist es, den Angreifern Geld zu verschaffen. Somit lässt sich die Malware unter der Kategorie “Crimeware” eingeordnen. Das theoretische Modell der “Pyramid of Pain” beschreibt, dass sich die von den Angreifern verwendeten Techniken und Taktiken am seltensten ändern. Dies ist auch bei “Emotet” im Vergleich zu den älteren Versionen zu beobachten. Auch wenn das Nachladen von neuen, unbekannten Modulen und immer wieder neuen Varianten dieser Malware eine Ungewissheit bezüglich der direkten Absichten mit sich bringt, ist davon auszugehen, dass sich die Zielsetzung, Geld zu beschaffen auch in zukünftigen Versionen der Malware nicht ändern wird.

 

Mit voranschreitender Analyse fügen sich die Puzzleteile zu einem großen Ganzen zusammen. In dem nachfolgenden Diagramm haben wir abschließend die einzelnen Angriffsschritte von “Emotet” im Modell der Cyber Kill Chain dargestellt.

 

Hornetsecurity Sandbox

Schlussendlich haben wir noch einen Screenshot des “Emotet”-Samples aus der Sandbox-Analyse von Hornetsecurity, die es eindeutig (mit der höchstmöglichen Punktzahl) als bösartig identifiziert:

 

 

Schutz vor Malware mit Advanced Threat Protection

Die Malware „Emotet“ ist nur eine von vielen Möglichkeiten, Ihnen oder Ihrem Unternehmen finanzielle Schäden zuzufügen. Auch der Verlust von wichtigen Daten kann Ihnen durch Malware, Viren und Ransomware bevorstehen. Advanced Threat Protection ist ein intelligenter Spamfilter, der gefährliche E-Mail-Inhalte frühzeitig erkennt. Im Gegensatz zu normalen Spamfiltern kann Advanced Threat Protection bereits Gefahren erkennen, die dem Spamfilter noch nicht bekannt sind. Erfahren Sie mehr über Advanced Threat Protection.

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Vor kurzem entdeckten Forscher die Sicherheitslücke CVE-2017-11882 in Microsoft Office. Microsoft handelte entsprechend schnell und schloss die Schwachstelle mit einem Sicherheitsupdate. Durch die Veröffentlichung des Exploits wurden nun jedoch Angreifer auf die Lücke aufmerksam und versuchen nun, diese auf noch nicht gepatchten Systemen auszunutzen.

 

Von der Sicherheitslücke sind alle Office Versionen betroffen. Der Exploit im Equation Editor von Microsoft, einer alten Version des Formeleditors, nutzt einen Pufferüberlauf, der es dem Angreifer ermöglicht, beliebigen Code auf dem System des Benutzers auszuführen. Dadurch ist es beispielsweise möglich, eine Schadsoftware aus dem Internet herunterzuladen und auszuführen.

 

Schwachstelle besteht seit 17 Jahren

 

Der Equation Editor wurde 2000 kompiliert und seitdem nicht generalüberholt. Dadurch entspricht er nicht den aktuellen Sicherheitsvorkehrungen und macht die Ausnutzung von Pufferüberläufen erst möglich. Auch wenn der Formeleditor in Office 2007 ersetzt wurde, wurde er noch mitgeliefert, um die Abwärtskompatibilität zu älteren Dokumenten zu gewährleisten, bei denen das 17 Jahre alte Programm zum Anzeigen und Bearbeiten von mathematischen Formeln dient.

 

Öffnet ein User ein Dokument, das den Exploit nutzt, ist keine weitere Interaktion mehr notwendig, um den Schadcode auszuführen. Nur die geschützte Ansicht, die Sandbox der Office-Programme, verhindert noch die Ausführung.

 

Hornetsecurity erkennt Exploit in Dokumenten

 

Seitdem die Sicherheitslücke bekannt geworden ist, versuchen Angreifer vermehrt, schädliche Office-Dokumente zu verteilen, die den Exploit verwenden. Hornetsecurity hat die Filter entsprechend angepasst, sodass diese Dokumente direkt erkannt und gefiltert werden, bevor sie im E-Mail-Postfach landen. Dennoch raten wir dazu, das Sicherheitsupdate möglichst bald durchzuführen.