Bei noch neuartiger Malware stellt sich zunächst immer die Frage, welches Ziel diese verfolgt. Wir beobachten derzeit eine neue .NET Spyware, über die bisher noch nicht berichtet wurde. Sie zeichnet sich vor allem durch den Gebrauch hartnäckiger Anti-Analysetechniken aus, die durch die Verwendung des Packers Confuser implementiert wurden. Abgesehen davon investiert sie zur Laufzeit jedoch nicht viel Mühe in ihre Tarnung, und offenbart damit ihre Absichten. Die Spyware sammelt Login-Daten vieler verschiedener Programme und verwendet einen Keylogger, um an Informationen zu gelangen.
Die von uns Camolog getaufte .NET Spyware verbreitet sich über eine derzeit laufende Phishing-Kampagne. Sie bringt einen Keylogger mit und sammelt Login-Daten von Mail-Clients, Browsern, FTP- und Instant-Messenger-Clients. Die so eingesammelten Zugangsdaten werden nach solchen Informationssammelkampagnen in der Regel von den Cyberkriminellen verkauft oder für Folgeangriffe verwendet.
Die Phishing-Mail gaukelt dem Empfänger vor, nach einem Angebot zu fragen und motiviert ihn so dazu, den Anhang zu öffnen. In diesem jedoch befindet sich ein RAR-Archiv mit dem Namen Sample Product 9076_pdf.rar. Das Archiv versteckt die ausführbare .NET-Datei SampleProduct9076_pdf.exe, die als Dropper der Spyware dient und durch eine Variante des öffentlich verfügbaren Verschleierungstools Confuser gesichert wurde.
Die Verwendung von Confuser wird offensichtlich, öffnet man die Malware im .NET Decompiler dotPeek. Auch der verwendete Projektname „dimineata“ ist auffällig und lässt sich zur Identifikation der Malware verwenden. Das zeigt der nachfolgende Screenshot.
Der Einsatz von Anti-Decompiler- und Anti-Debugger-Techniken erschwert jedoch die Analyse der Malware. So stürzt das Analysetool IDA Pro bereits beim Laden der Binärdatei ab, .NET spezifische Decompiler funktionieren nicht richtig und bei dynamischen Analysen verwendete Debugger schlagen fehl, sodass manuelle Analysen kaum Informationen liefern. Das ist wahrscheinlich auch einer der Gründe, weshalb bisher keine Berichte über diese Spyware zu finden sind.
Die Binärdatei der gedroppten Spyware wurde nur durch eine zufällige Umbenennung der Funktionen und Variablen und nicht durch weitere Anti-Analysetechniken verschleiert. Somit lässt sich mit einem .NET Decompiler wieder lesbarer Sourcecode generieren, der das Verhalten der Malware verrät.
Phishing-Mails als „Dosenöffner“
Bei den einzelnen E-Mails der eher moderat großen Spam-Mail-Welle variieren die Betreffzeilen (siehe Screenshot) und Attachments leicht. Die Attachments, mit denen die Malware ausgeliefert wird, hatten meistens eine Größe zwischen 400KB und 1,3MB. In dem folgenden Screenshot ist eine dieser Phishing-Mails zu sehen, wobei die verwendeten Kontaktinformationen geschwärzt sind, da es sich bei diesen häufig um entwendete Informationen echter Personen handelt.
Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.
Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.
Camolog widersetzt sich einer Untersuchung
Erst nach der Ausführung in einer gesicherten und überwachten Umgebung lässt sich ein Überblick über das Verhalten der Malware gewinnen. Dabei ist unter anderem zu beobachten, dass die Malware als Prozess mit Namen „chrome.exe“ und der Beschreibung „Accu-Chek 360˚ diabetes management software“ läuft. Dieser Prozess startet einen weiteren Subprozess mit gleichem Namen. Nach kurzer Zeit legt die ursprüngliche Binärdatei eine Kopie von sich als AppData\Local\Temp\iaq\iaq.exe an, startet ihren Subprozess und löscht sich im Anschluss daran selbst. Zu dem Zeitpunkt, an dem der Subprozess geladen werden soll, müssen dessen Binärdaten vollständig entpackt und entschlüsselt im Speicher vorliegen. Die Übergabe erfolgt in Form eines Bytearrays an die AppDomain.Load()-Funktion. Da diese Funktion zum .NET Framework gehört, ist sie nicht von den Anti-Analysetechniken des Verschleierungstools betroffen und lässt sich im Gegensatz zu den Funktionen der Malware problemlos analysieren. Dadurch ist es mit einem Debugger wie dnSpy möglich, einen Breakpoint auf diese Funktion zu setzen und die Binärdatei der vom Dropper nachgeladenen Malware aus dem Speicher zu dumpen. Diese soll nun nachfolgend etwas genauer untersucht werden.
Untersuchung der Spyware
Welche Informationen sammelt die Spyware?
Die Spyware sammelt etliche Informationen: Neben den in den Favoriten gespeicherten Verbindungsdaten des FTP Clients SmartFTP auch Passwörter des Clients WS_FTP, die zuletzt verwendeten Verbindungen von FileZilla, Verbindungen gespeicherter Sessions von WinSCP, aber auch die Verbindungsdaten von FTPWare.
Zusätzlich werden die in dem Instant Messenger Pidgin gespeicherten Accountdaten sowie die Passwörter des Video Chat Tools Paltalk ausgelesen. Camolog sammelt außerdem fleißig die Account-Daten der Mail-Clients Outlook und Thunderbird sowie die Login-Daten der Browser YandexBrowser, ChromePlus und Chromium. Mit einem Keylogger kann die Spyware zudem eingegebene Informationen und Passwörter jeglicher Art mitschneiden.
Die Spyware nistet sich im System ein, indem sie Registry Keys für Windows Autorun anlegt (siehe Indikatorenliste). Durch diese Registry Keys und den laufenden Prozess „chrome.exe“ ist die Malware sehr gut im System zu identifizieren.
Alles gut mit Hornetsecurity ATP
Mit unseren ausgeklügelten Spamfiltermechanismen erkennen wir E-Mails dieser Kampagne seit dem ersten Auftreten und filtern diese bereits in der Cloud heraus. So hat die Spyware keine Chance, in die Nähe der Unternehmensinfrastruktur unserer Kunden zu gelangen. Durch Hornetsecurity Advanced Threat Protection genießen unsere Kunden zudem den Schutz vor jeglichen Variationen dieser Malware. Durch den Einsatz von Verhaltensanalysen liegt der Schutz von Hornetsecurity ATP weit über dem eines herkömmlichen Spamfilters. Hier ein Auszug der ATP-Verhaltensanalyse:
Die detaillierte Auswertung der Sandbox-Analyse
Liste der Indikatoren zur Erkennung der Malware:
Phishing-Mails:
Betreffzeilen, die in der Kampagne verwendet werden:- Quotation request
- Quote-Bid Identifier: ITB-0011-0-2018/AM
- Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
- Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
- Quotation required
Attachment der Phishing-Mail – Win32 RAR Archive:
- Dateiname: Sample Product 9076_pdf.rar
- SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
- Attachments anderer E-Mails dieser Kampagne:
- 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5 Product sample 0015_pdf.rar
- 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f product sample 0019_pdf.rar
- a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5 Sample product 0011_pdf.rar
- c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee Sample Product 0014_pdf.rar
- 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6 Sample Product 0016_pdf.rar
- 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6 Sample Product 9076_pdf.rar
- Dateityp: RAR archive data, v4, os: Win32
- Größe: 331K
- Inhalt des Archivs, SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
Dropper aus dem Archiv:
- Dateiname: SampleProduct9076_pdf.exe
- SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
- Andere Dropper der Kampagne:
- 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1 Product sample 0015_pdf.exe
- 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45 product sample 0019_pdf.exe
- 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877 Sample product 0011_pdf.exe
- 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3 Sample Product 0014_pdf.exe
- 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a Sample Product 0016_pdf.exe
- 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6 Sample Product 9076_pdf.exe
- Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
- Größe: 429K
- Prozessname: chrome.exe
- Beschreibung: Accu-Chek 360˚ diabetes management software
- Droppt die Datei, SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
- Signifikanter String: dimineata.exe
- Legt außerdem eine Kopie von sich unter C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab
Nachgeladene Spyware:
- Dateiname: impartial.exe
- SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
- Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
- Größe: 58K
- Prozessname: chrome.exe
Registry Keys, von denen Informationen gesammelt wurden:
- HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
- HKEY_CURRENT_USER\Software\Paltalk
- HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
- HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites
Dateien, von denen Informationen gesammelt wurden:
- C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
- C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
- C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
- C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
- C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
- C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
- C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
- C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data
Registry Keys, die angelegt wurden, um Persistenz herzustellen:
- Autoruneintrag des Droppers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
- reg_value C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
- Autoruneintrag der Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
- reg_value C:\Users\Administrator\Desktop\chrome.exe -boot
