Aktuell schießen Anbieter wie Pilze aus dem Boden, um die neuste Alternative zur Werbung auf Webseiten anzupreisen: Cryptomining.
Kategorie: Malware
Immer wieder gibt es im Internet große und kleine Attacken, bei denen tausende Systeme für einen Angriff auf eine Zielinfrastruktur missbraucht werden. Einer der Gründe sind lasche Passwörter oder Standardpasswörter, die auf etlichen Geräten gleich sind.
das gibt es ein Problem: Gerne würde ich auch genau auf Tarntechniken eingehen. Solche Ausführungen sind allerdings ein zweischneidiges Schwert. Zum Einen dient es der Aufklärung und Information, könnte aber theoretisch als Blaupause genutzt werden, um selbst Malware zu entwickeln. Und ich möchte nicht, dass ich quasi Tutorials zum Malwarebauen bereitstelle. Daher werden Artikel zu diesem Thema auch weiterhin nur Ausschnitte aus den Codes zeigen und auch nicht alle Tarntechniken behandeln. Ich werde trotzdem versuchen, diese Artikel so interessant wie möglich zu gestalten, aber ich muss mich leider an manchen Stellen allgemein halten, um keine Anleitung zu bieten.
Man kann jetzt das Argument nennen, man benötigt ja ohnehin gewisse Kenntnisse, um überhaupt solchen Code zu verstehen. Ja und nein. Skriptkiddies kopieren ja sowieso nur Wild herum und da geht es weniger um Verständnis. Würde ich z. B. auf Tarntechniken eingehen und deren schematischen Aufbau erklären, so würde das möglicherweise schon ausreichen.
Übetreibe ich? Mich würde Deine Meinung hierzu interessieren.
Bild: https://stocksnap.io/photo/D6BZSQ2NM2
Heute mal wieder etwas aus der Rubrik Malware. Vor kurzem trudelte in das Hackerbit-Postfach eine angebliche Bewerbung eines Herrn Schulz.
Im Anhang begrüßen mich das Bewerbungsfoto eines jungen Mannes sowie die angeblichen Bewerbungsunterlagen in einem Zipfile. Ein Grund, mir diese Bewerbung mal genauer zu betrachten.
Wie immer gilt: Ich mache das in einer isolierten Umgebung. Nicht nachmachen.
Was ist im Anhang?
Im Zipfile begrüßen mich Bewerbung und Lebenslauf – allerdings als *.pdf.js. Somit ist der letzte Zweifel beseitigt – es ist definitiv keine fehlgeleitete Bewerbung – es ist Malware mit zwei Droppern.
Die Erkennungsraten der Virenscanner sind noch relativ gering, der Dropper ist noch recht neu. Aber das es sich um den Dropper von Locky o. ä. handeln könnte, ist klar.
Werfen wir also einen Blick in die Dateien. Der große Buchstabensalat ist keineswegs nutzlos: Es ist das Payload als eine Art Blob kodiert, damit man den Zweck als solches nicht erkennt. Beide Dateien haben den gleichen Aufbau und höchstwahrscheinlich auch den gleichen Zielserver. Daher beschränke ich mir auf die Analyse einer Datei, dem angeblichen Lebenslauf.
Wie erwartet läd das Programm eine angebliche Bilddatei (server.tw/head.jpg) herunter und legt sie unter %TEMP% unter einem zufällig generierten Namen ab. Der Dateiname hat 9 Zeichen und keine Erweiterung. Die Datei wird von einem in Russland gehosteten, mit einer Top-Level-Domain von Taiwan versehenen Server heruntergeladen. Auf dem Server läuft eine Installation von DirectAdmin.
Der eigentliche Virus
In der Datei head.jpg versteckt sich kein Bild, sondern die Ransomware Cerber.
Ursprung der Mail
Die Email wird unter martin.schulz.90[at]t-online.de verschickt. Allerdings kommt die Mail keineswegs von einem t-online-User, sondern wird von einem Server mit IP 144.76.x.x. verschickt. Der Server steht in Deutschland und ist seit 25.08.2016 auch in SPAM-Datenbanken aufgefallen. Der Server hat einen aktiven IIS 7.5-Webserver und läuft damit auf Windows.
Wer ist „Martin Schulz“?
Da die Email mit einem Bewerbungsfoto verschickt wurde (das ich an dieser Stelle nicht zeige) muss ja irgendwo eine Person zu dem Bild existieren. Über eine Reverse Image Search habe ich herausgefunden, dass das Bild von der Webseite eines Lübecker Fotostudios entnommen wurde. Das Bild wird sogar über LinkedIn, Xing und Co unter unterschiedlichem Namen verlinkt. Daher ist hier eher vom Missbrauch des Fotos als von Identitätsdiebstahl auszugehen. Der Martin Schulz ist höchstwahrscheinlich erfunden und entstammt aus einem Namensgenerator.
Zusammenfassung
Hinter der vermeintlichen Bewerbung steckt Cerber – und das gleich mehrfach. Die Qualität der Mail in Sachen Deutschkenntnisse ist überraschend gut, Ziel der Attacke sind offensichtlich Unternehmen in Deutschland bzw. deutsprachige Webseiten. Denn das Ziel hier war Hackerb.it, dass eine *.it-Domain hat. Zusammenfassend lässt sich sagen:
Zur Email
- Die Email stammt nicht von einem t-online-Server
- Die Email wird aus Deutschland versendet
- Der Email-Server läuft auf Windows und ist nicht fertig konfiguriert
- Das Bewerbungsfoto ist von einem Fotostudio gestohlen
Zum Malware-Server
Der Server, der den eigentlichen Virus bereithält wurde erst vor kurzem eingerichtet. Dadurch ergeben sich zwei mögliche Gründe:
- Der Betreiber ist gleichzeitig der Malware-Verteiler
- Der Betreiber hat seine Software nicht sauber konfiguriert und wurde gehackt
Wie schützt man sich nun vor so etwas? Eine gute Idee wäre hier auf jeden Fall, die Erweiterungen bei bekannten Dateiformaten hier anzuzeigen. Dann würde, neben dem falschen Icon, die Erweiterung *.pdf.js direkt auffallen. Zusätzlich sind Spamfilter im Mailserver definitiv eine Idee. SpamAssassin hatte bei der Mail einen Verdacht gemeldet. Zurecht.
Beitragsbild: https://stocksnap.io/photo/7ATM75G1EC
Kategorien
Ransomware zerpflücken
Wir alle kennen Mails wie diese. Man bekommt Rechnungen von Personen und Firmen, die man nicht kennt. Mein Postfach ist voll damit. Grund genug, mir einmal eine der Mails genauer an zu sehen.
Bitte nicht nachmachen. Das hantieren mit Malware in nicht geschützten Umgebungen kann verheerende Folgen haben.
Von wo kommt die Mail?
In diesem Falle sollte die Email von einem in Deutschland angesiedelten Onlineshop stammen.
Ein Blick in den Email-Header zeigt ein anderes Bild. Die Mail kam aus Indien, der Onlineshop wurde nur als Verkleidung missbraucht.
Received: from unknown (HELO abts-tn-dynamic-x.x.164.122.airtelbroadband.in)
(122.164.x.x)Was ist im Anhang?
Der Anhang besteht aus einem Zip-Archiv mit einem JavaScript-File. Also ist es gut möglich, dass wir hier einen Downloader vor uns haben.
Bitte nicht nachmachen. Das hantieren mit Malware in nicht geschützten Umgebungen kann verheerende Folgen haben.
Mit wem spreche ich?
Das Skript wird nur von 13 von 54 Virenscanner überhaupt als Malware erkannt. Erschreckend finde ich, dass namhafte Hersteller wie Kaspersky diese doch recht schon ein paar Tage alte Malware nicht erkennen. Microsoft Defender findet auch nix, okay, das war nicht weiter verwunderlich.
Auf Basis der vorliegenden Ergebnisse liegt nahe, dass wir einen Downloader für einen Cryptolocker, evtl. auch Locky vor uns haben.
PluhiPluhiShickPick
Der Code von Malware wird auf vielfältige Weise unleserlich gemacht. Scheinbar hatte man hier eine vorliebe für das Wort „Pluhi“ zu haben. Pluhi könnte polnisch sein und für „Stecker“ stehen. Auch wenn das keinen wirklichen Sinn macht.
Ich möchte mich jetzt nicht zu sehr in Details vertiefen, daher gehe ich zum Kern des Downloader, von wo wird was heruntergeladen. Der Quelltext (und die Scanner-Ergebnisse) lassen derauf schließen, dass es ein reiner Dropper ist. Im Code deuten Fragmente wie 00M+11SX+22ML auf das WScript-Objekt MSXML2.XMLHTTP hin. Dieses Objekt dient dem Download von Dateien.
Die URL des eigentlichen Downloadziels ist recht lasch verschleiert, nämlich mit Unicode-Schreibweisen, z. B. \u0066 für f.
Die URL habe ich zensiert, damit sich keiner „aus Versehen“ eine Ransomware herunterläd.
Der eigentliche Virus
Der eigentliche, vom Dropper heruntergeladene und ausgeführte Virus wird von 37 von 53 Virenscanner erkannt. Auch diese Ergebnisse deuten auf einen Locky-Verschnitt hin.
Dennoch ist es meiner Meinung recht erschreckend, dass nicht alle Virenscanner diese Malware erkennen.
Arbeitsweise
Ich habe hier eine dynamische Analyse durchgeführt. Eine statische analyse durch Assembler-Studium konnte ich noch nicht umsetzen. Vielleicht folgt das noch.
Man merkt direkt, dass die in %TEMP% abgelegte Datei eine enorme Auslastung verursacht.
Die Malware randaliert in den eigenen Dateien und verschlüsselt die dort abgelegten Dateien nach dem Schema eindeutigeguid.zepto.
Windows-Dateien fasst die Ransomware nicht an, das Betriebssystem muss als Teil der Erpressung ja weiterhin funktionieren.
Das mir vorliegende Sample benötigt mindestens 2 (eher 3) Opfer, um zu arbeiten.
- Opfer 1 betreibt eine Webseite, auf der die Ransomware abgelegt wird (oft Webshops).
- Opfer 2 hat eine Email-Adresse, die missbraucht wird (hier ebenfalls von einem Onlineshop), keine Verbindung zu Opfer 1.
- Opfer 3 (möglicherweise) hat einen Mailserver, der benutzt wird. Es ist aber auch möglich, dass Opfer 3 nicht existiert und der Mailserver vom Ransomware-Entwickler betrieben wird
Die Zepto-Ransomware hat ein Verhalten an den Tag gelegt, was auf folgende Struktur/ Arbeitsweise schließen lässt:
Dies ist das Verhalten durch die dynamische Analyse in einer virtuellen Maschine. Je nach Sample und Ursprung kann das Verhalten dieser Malware jedoch variieren.
Zahlen, bitte!
Zepto will 2,5 Bitcoins (also etwa 1200 €) von seinem Opfer haben. Gezahlt wird über eine Seite im TOR-Netz.
Nach Hause telefonieren
Die vorliegende Malware will ins Internet. Mittels fakenet habe ich die Internetkommunikation mitgeschnitten und mit ungültigen Antworten beantwortet; die Malware versucht den Opfer-Rechner zu registrieren, um eine Kennung zu bekommen. Schafft er den ersten Upload nicht, so versucht er eine Reihe weiterer Server. Schafft er dann immer noch keinen Upload, verharrt Zepto in einer Art Starre, beendet sich aber nicht.
Zusammenfassung
- Name
- Zepto
- Art
- Ransomware („Crypto-Locker“)
- Angriffsvektor: Email
- Zip-Archiv
83124_Rechnung_2016-861461_20160705.zipmd54568DA4758DC10902F6B01F9649C054A - JavaScript-Dropper
6446_2016-13312_20160705.jsmd5BAA53ACD268E3B39250EA4734C2842D1
- Zip-Archiv
- Aktivität
- Erzeugt Anwendung in %TEMP%
- Erstellt rekursive Dateiliste -> verursacht hohe Last
- Verschlüsselt eigene Dateien nach dem Schema
guid.zepto - Legt in jedem verschlüsselten Verzeichnis eine HTML-Datei mit Forderungen ab
- Ändert das Wallpaper
- Netzwerk-Aktionen:
- versucht auf eltiche .ru, .biz und *.pl – Domains zuzugreifen (Necurs-Botnet)
- Ziel
HTTP GET /upload/_dispatch.php