Aktuell schießen Anbieter wie Pilze aus dem Boden, um die neuste Alternative zur Werbung auf Webseiten anzupreisen: Cryptomining.

Aktuell schießen Anbieter wie Pilze aus dem Boden, um die neuste Alternative zur Werbung auf Webseiten anzupreisen: Cryptomining.
Immer wieder gibt es im Internet große und kleine Attacken, bei denen tausende Systeme für einen Angriff auf eine Zielinfrastruktur missbraucht werden. Einer der Gründe sind lasche Passwörter oder Standardpasswörter, die auf etlichen Geräten gleich sind.
das gibt es ein Problem: Gerne würde ich auch genau auf Tarntechniken eingehen. Solche Ausführungen sind allerdings ein zweischneidiges Schwert. Zum Einen dient es der Aufklärung und Information, könnte aber theoretisch als Blaupause genutzt werden, um selbst Malware zu entwickeln. Und ich möchte nicht, dass ich quasi Tutorials zum Malwarebauen bereitstelle. Daher werden Artikel zu diesem Thema auch weiterhin nur Ausschnitte aus den Codes zeigen und auch nicht alle Tarntechniken behandeln. Ich werde trotzdem versuchen, diese Artikel so interessant wie möglich zu gestalten, aber ich muss mich leider an manchen Stellen allgemein halten, um keine Anleitung zu bieten.
Man kann jetzt das Argument nennen, man benötigt ja ohnehin gewisse Kenntnisse, um überhaupt solchen Code zu verstehen. Ja und nein. Skriptkiddies kopieren ja sowieso nur Wild herum und da geht es weniger um Verständnis. Würde ich z. B. auf Tarntechniken eingehen und deren schematischen Aufbau erklären, so würde das möglicherweise schon ausreichen.
Übetreibe ich? Mich würde Deine Meinung hierzu interessieren.
Bild: https://stocksnap.io/photo/D6BZSQ2NM2
Heute mal wieder etwas aus der Rubrik Malware. Vor kurzem trudelte in das Hackerbit-Postfach eine angebliche Bewerbung eines Herrn Schulz.
Im Anhang begrüßen mich das Bewerbungsfoto eines jungen Mannes sowie die angeblichen Bewerbungsunterlagen in einem Zipfile. Ein Grund, mir diese Bewerbung mal genauer zu betrachten.
Wie immer gilt: Ich mache das in einer isolierten Umgebung. Nicht nachmachen.
Im Zipfile begrüßen mich Bewerbung und Lebenslauf – allerdings als *.pdf.js. Somit ist der letzte Zweifel beseitigt – es ist definitiv keine fehlgeleitete Bewerbung – es ist Malware mit zwei Droppern.
Die Erkennungsraten der Virenscanner sind noch relativ gering, der Dropper ist noch recht neu. Aber das es sich um den Dropper von Locky o. ä. handeln könnte, ist klar.
Werfen wir also einen Blick in die Dateien. Der große Buchstabensalat ist keineswegs nutzlos: Es ist das Payload als eine Art Blob kodiert, damit man den Zweck als solches nicht erkennt. Beide Dateien haben den gleichen Aufbau und höchstwahrscheinlich auch den gleichen Zielserver. Daher beschränke ich mir auf die Analyse einer Datei, dem angeblichen Lebenslauf.
Wie erwartet läd das Programm eine angebliche Bilddatei (server.tw/head.jpg
) herunter und legt sie unter %TEMP%
unter einem zufällig generierten Namen ab. Der Dateiname hat 9 Zeichen und keine Erweiterung. Die Datei wird von einem in Russland gehosteten, mit einer Top-Level-Domain von Taiwan versehenen Server heruntergeladen. Auf dem Server läuft eine Installation von DirectAdmin.
In der Datei head.jpg
versteckt sich kein Bild, sondern die Ransomware Cerber.
Die Email wird unter martin.schulz.90[at]t-online.de verschickt. Allerdings kommt die Mail keineswegs von einem t-online-User, sondern wird von einem Server mit IP 144.76.x.x. verschickt. Der Server steht in Deutschland und ist seit 25.08.2016 auch in SPAM-Datenbanken aufgefallen. Der Server hat einen aktiven IIS 7.5-Webserver und läuft damit auf Windows.
Da die Email mit einem Bewerbungsfoto verschickt wurde (das ich an dieser Stelle nicht zeige) muss ja irgendwo eine Person zu dem Bild existieren. Über eine Reverse Image Search habe ich herausgefunden, dass das Bild von der Webseite eines Lübecker Fotostudios entnommen wurde. Das Bild wird sogar über LinkedIn, Xing und Co unter unterschiedlichem Namen verlinkt. Daher ist hier eher vom Missbrauch des Fotos als von Identitätsdiebstahl auszugehen. Der Martin Schulz ist höchstwahrscheinlich erfunden und entstammt aus einem Namensgenerator.
Hinter der vermeintlichen Bewerbung steckt Cerber – und das gleich mehrfach. Die Qualität der Mail in Sachen Deutschkenntnisse ist überraschend gut, Ziel der Attacke sind offensichtlich Unternehmen in Deutschland bzw. deutsprachige Webseiten. Denn das Ziel hier war Hackerb.it, dass eine *.it-Domain hat. Zusammenfassend lässt sich sagen:
Der Server, der den eigentlichen Virus bereithält wurde erst vor kurzem eingerichtet. Dadurch ergeben sich zwei mögliche Gründe:
Wie schützt man sich nun vor so etwas? Eine gute Idee wäre hier auf jeden Fall, die Erweiterungen bei bekannten Dateiformaten hier anzuzeigen. Dann würde, neben dem falschen Icon, die Erweiterung *.pdf.js
direkt auffallen. Zusätzlich sind Spamfilter im Mailserver definitiv eine Idee. SpamAssassin hatte bei der Mail einen Verdacht gemeldet. Zurecht.
Beitragsbild: https://stocksnap.io/photo/7ATM75G1EC
Wir alle kennen Mails wie diese. Man bekommt Rechnungen von Personen und Firmen, die man nicht kennt. Mein Postfach ist voll damit. Grund genug, mir einmal eine der Mails genauer an zu sehen.
Bitte nicht nachmachen. Das hantieren mit Malware in nicht geschützten Umgebungen kann verheerende Folgen haben.
In diesem Falle sollte die Email von einem in Deutschland angesiedelten Onlineshop stammen.
Ein Blick in den Email-Header zeigt ein anderes Bild. Die Mail kam aus Indien, der Onlineshop wurde nur als Verkleidung missbraucht.
Received: from unknown (HELO abts-tn-dynamic-x.x.164.122.airtelbroadband.in)
(122.164.x.x)
Der Anhang besteht aus einem Zip-Archiv mit einem JavaScript-File. Also ist es gut möglich, dass wir hier einen Downloader vor uns haben.
Bitte nicht nachmachen. Das hantieren mit Malware in nicht geschützten Umgebungen kann verheerende Folgen haben.
Das Skript wird nur von 13 von 54 Virenscanner überhaupt als Malware erkannt. Erschreckend finde ich, dass namhafte Hersteller wie Kaspersky diese doch recht schon ein paar Tage alte Malware nicht erkennen. Microsoft Defender findet auch nix, okay, das war nicht weiter verwunderlich.
Auf Basis der vorliegenden Ergebnisse liegt nahe, dass wir einen Downloader für einen Cryptolocker, evtl. auch Locky vor uns haben.
Der Code von Malware wird auf vielfältige Weise unleserlich gemacht. Scheinbar hatte man hier eine vorliebe für das Wort „Pluhi“ zu haben. Pluhi könnte polnisch sein und für „Stecker“ stehen. Auch wenn das keinen wirklichen Sinn macht.
Ich möchte mich jetzt nicht zu sehr in Details vertiefen, daher gehe ich zum Kern des Downloader, von wo wird was heruntergeladen. Der Quelltext (und die Scanner-Ergebnisse) lassen derauf schließen, dass es ein reiner Dropper ist. Im Code deuten Fragmente wie 00M+11SX+22ML
auf das WScript-Objekt
MSXML2.XMLHTTP
hin. Dieses Objekt dient dem Download von Dateien.
Die URL des eigentlichen Downloadziels ist recht lasch verschleiert, nämlich mit Unicode-Schreibweisen, z. B. \u0066
für f
.
Die URL habe ich zensiert, damit sich keiner „aus Versehen“ eine Ransomware herunterläd.
Der eigentliche, vom Dropper heruntergeladene und ausgeführte Virus wird von 37 von 53 Virenscanner erkannt. Auch diese Ergebnisse deuten auf einen Locky-Verschnitt hin.
Dennoch ist es meiner Meinung recht erschreckend, dass nicht alle Virenscanner diese Malware erkennen.
Ich habe hier eine dynamische Analyse durchgeführt. Eine statische analyse durch Assembler-Studium konnte ich noch nicht umsetzen. Vielleicht folgt das noch.
Man merkt direkt, dass die in %TEMP%
abgelegte Datei eine enorme Auslastung verursacht.
Die Malware randaliert in den eigenen Dateien und verschlüsselt die dort abgelegten Dateien nach dem Schema eindeutigeguid.zepto
.
Windows-Dateien fasst die Ransomware nicht an, das Betriebssystem muss als Teil der Erpressung ja weiterhin funktionieren.
Das mir vorliegende Sample benötigt mindestens 2 (eher 3) Opfer, um zu arbeiten.
Die Zepto-Ransomware hat ein Verhalten an den Tag gelegt, was auf folgende Struktur/ Arbeitsweise schließen lässt:
Dies ist das Verhalten durch die dynamische Analyse in einer virtuellen Maschine. Je nach Sample und Ursprung kann das Verhalten dieser Malware jedoch variieren.
Zepto will 2,5 Bitcoins (also etwa 1200 €) von seinem Opfer haben. Gezahlt wird über eine Seite im TOR-Netz.
Die vorliegende Malware will ins Internet. Mittels fakenet
habe ich die Internetkommunikation mitgeschnitten und mit ungültigen Antworten beantwortet; die Malware versucht den Opfer-Rechner zu registrieren, um eine Kennung zu bekommen. Schafft er den ersten Upload nicht, so versucht er eine Reihe weiterer Server. Schafft er dann immer noch keinen Upload, verharrt Zepto in einer Art Starre, beendet sich aber nicht.
83124_Rechnung_2016-861461_20160705.zip
md5 4568DA4758DC10902F6B01F9649C054A
6446_2016-13312_20160705.js
md5 BAA53ACD268E3B39250EA4734C2842D1
guid.zepto
HTTP GET /upload/_dispatch.php