https://www.security.nl/posting/426414#posting426526

" Ik kan bijna niet geloven dat iemand die sites zoals deze bezoekt, daadwerkelijk met dit verhaal komt aanzetten. Kan de redactie eens nagaan of deze inzender vanuit meerdere persoonsgedaanten werkt en of de andere bijdragen van deze onder slechts maar één accountnaam opererende bezoeker nog in inhoudelijk wenselijke reactielijn zijn vanwege dit toch wel zeer rudimentaire begrip rondom het geven van "inhoudelijk nuttige, zinvolle, leesbare en begrijpelijke security bijdragen". "

Dagscoreboard
https://www.security.nl/profile?alias=Eric-Jan+H+te+A

Time flies, ik zou willen dat ik ook zoveel vrije tijd had!

OT:
Linkjes or didn't happen. Vooral die .txt die vervolgens een .exe zou downloaden moet je me nog heel even opnieuw uitleggen...

Ik stel niet dat het txt bestand de download uitvoert, maar dat hij de (opdracht voor) download bevat.

Er waart weer wat rond dat aanvankelijk door 53 van de 56 scanners op Virustotal werd gemist. Dat was wat ik wilde aangeven. En dat ik het mechanisme heb onderzocht, met het genoemde resultaat. Inmiddels missen nog 42 van de 56 scanners op Virustotal dit virus.

En "Eric-Jan H te A" is wat het is. En dat is heel iets anders dan Anoniem. Want wat dat is, is voor mij telkens weer een vraag. Mij kun je vanuit andere bijdragen citeren en dat kan ik van veel reagerenden dus niet. Los van het feit dat ik daar op deze manier ook niet zo'n behoefte aan heb.

En de vrije tijd, heb ik helaas tegen wil en dank.

Gebruik die vrije tijd dan eens positief en nuttig :

Positief - door de energie te steken in bijvoorbeeld deze eigen bijdrage en niet een ander te gaan lopen af"""en elders. Krijg je de bal ook niet terug gekaatst met ketel-parodietjes van anderen.

Nuttig - door een topic te starten waar met de nodige zichtbare zorgvuldigheid aan gewerkt is en een begrijpelijk geheel oplevert met een kop, inleiding, middenstuk en staart.
Immers tijd genoeg en dom ben je zeker ook niet (heb ik de indruk).

Nu met node gemist, hoe heet bijvoorbeeld dat virus of wat was de titel van die bijlage, sha?, naar welke ip adressen probeerde de macro malware te verbinden over welke poorten, welke Av sloeg niet aan? Met welk Os werk je eigenlijk?
Allemaal informatie en tijd die je had kunnen stoppen in dit topic om het interessant en leesbaar te maken.

Een anoniem heeft weer niet de voordelen die jij als accounthouder hebt.
De edit functie bijvoorbeeld, het staat je vrij op de topic tekst begrijpelijker en vollediger te maken.

Ik ben benieuwd en wacht in spanning af.

en anders ik wel.. LOL

Los van wie nu wie afzeikt, zinvolle vragen waar ik al over had nagedacht. De conclusie was alleen dat dit weinig toevoegt, omdat dit soort virussen uit naam van diverse legitieme aanbieders in Word documenten van willekeurige inhoud en willekeurige naam kan worden verzonden en verpakt

De bestanden die worden gedownload zijn al weer wat meer identificerend. Dus die zal ik hier geven.
Macro download vanaf deze URL's
- http://1023.co.za/feng/tmp/lns.txt - inhoud: http://91.194.254.241/us28/filet.exe
- http://aktech.in/office/tmp/lns.txt - inhoud: http://91.194.254.241/us28/filet.exe
Inhoud dus identiek
- filet.exe met gevaar voor eigen leven gedownload
- filet aan Virustotal aangeboden (eerste aanbieding) https://www.virustotal.com/en/file/c6cb7dd6ad0eeee9678157b96da8b34e0b3eb94f2d96e49111d14412d5db36f6/analysis/1430313206/
- 0 van de 55 engines vindt iets
- wel interessant is de Behaviourial Information van de Virustotal-scan, die volgens mij wel verdacht gedrag laat zien

" Txt file bevat download van exe." vond ik nogal vreemd, ik maakte daaruit op dat een .txt een .exe zou downloaden.

Mijn post was niet als kritiek bedoeld, "or didn't happen" klinkt wellicht lulliger dan dat ik het bedoeld heb.

De "ongevraagde, goedbedoelde" adviezen over hoe je je tijd zou moeten besteden, tsja, dat is niet mijn stijl.
Ik hoef het ook niet met je eens te zijn, ik waardeer je bijdrage vanuit het idee dat je goede intenties hebt, of het nu klopt wat je zegt of niet. Vervolgens stel ik dus vragen...
Dus dank voor de uitleg, het is en stuk duidelijker zo.

Heb je een linkje naar die .exe op VT? Ben benieuwd.

Een account heeft voor- en nadelen, ik blijf liever anoniem.
Daarbij voeg ik wel vaak het volgende toe, voor de duidelijkheid:

Gr anon 00:26 (de enige échte, hahahahahaha)

Als ik een textfile (.txt) op een windows computer aanklik, dan zal die file niet als executable uitgevoerd worden, maar in een texteditor geopend worden. In dat geval zullen er een aantal rare tekens in staan en de conclusie zal zijn dat de tekst onbruikbaar is. En dus zal de tekst weggegooid worden zonder dat daar verder iets mee gedaan wordt.

Je zou toch wel heel raar bezig zijn als je willens en wetens de extensie van de file verandert in .exe en er dan op dubbelklikt. Ik kan me eigenlijk niet voorstellen dat zelfs de ergste nitwit op computergebied dat zou doen, waarom ook?

Een ander kwestie is het wanneer de Macro zélf de extensie van de .txt file wijzigt in .exe. Maar in feite is er dan al sprake van een besmette PC en wordt alles dat volgt op het activeren van de macro door de malware veroorzaakt. De txt file is dan alleen maar een medium om de .exe file te transporteren, en eigenlijk niks anders dan een .zip bestand.

Vervelend kan zijn dat de .txt bestanden niet door een virusscanner gecontroleerd worden, .exe (en .zip) bestanden wél. Maar dat kan dan al te laat zijn.

Misschien is het daarom beter in de toekomst .txt bestanden óók door het antivirusprogramma te laten detecteren.

Ik heb zelf even een testje gedaan met het bekende Eicar bestand. Als je dat als .txt verplaatst/kopieert, slaat de antivirus geen alarm. Bij een bewuste scan ervan wél.

Staat echt in mijn bijdrage van 15:29 hoor. Maar ik heb er gemakshalve nu ook maar een link van gemaakt.
Dan hoef je in je kostbare tijd niet te koppie/peesten ;-)

Hahahaha, die heb ik dus, in mijn reactie van 15:30, nét gemist.

Merci!

Als ik tijd heb, ga ik nog ff klooien dan: https://malwr.com/analysis/Y2ZkMWM1YzJlNzg2NDgyNWFiOGE2ZGQxYTQ0ZTQ4Yjc/

Kende ik nog niet. Fraai. De echte payload is de gegenereerde exe met random naam. Bij VT had het een andere naam.

Je zou de link uit de text file ook als URL laten scannen. VirusTotal ziet dan dat er ook een bestand gedownloaded wordt die ook gescand kan worden. Op deze manier hoef je het bestand niet eerst zelf te downloaden en weer te uploaden.


Wellicht ken je https://anubis.iseclab.org/ ook nog niet. Via deze dienst kun je naast een upload van een exe/zip wel een url naar een bestand laten scannen (zoals die van filet.exe: https://anubis.iseclab.org/?action=result&task_id=15193c9c364f57a74215673c242efe9f2) maar wordt het bestand niet gestart. Er zijn nog veel meer sites voor een online malware analysis zoals https://www.hybrid-analysis.com/ (zie ook https://www.hybrid-analysis.com/sample/c6cb7dd6ad0eeee9678157b96da8b34e0b3eb94f2d96e49111d14412d5db36f6?environmentId=1), http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx en ??? maar ik ken er zo 123 niet één die een bestand download en ook analyseert. Mogelijk heeft iemand anders een suggestie.

Interessant ik ga morgen eens grasduinen. Tot nu toe hield ik me meer met de procedurele kant van beveiliging en nog niet met de "nuts & bolts" bezig. Maar toen ik gisteren voor het eerst met een aan mij toegestuurd macro-virus werd geconfronteerd werd ik toch iets nieuwsgieriger.

Dat was ook niet de werking.
- Mail bevat Word doc 19/56
- Macro bevat 2x URL van tekstbestand 1/63
- Macro zal dat waarschijnlijk ophalen
- Tekst bestand bevat URL van exe 6/56
- Macro zal dat zeer waarschijnlijk ook weer ophalen
- Macro voert de exe uit 0/56

Deze drietrapsraket is natuurlijk lastig te beoordelen voor een AV-programma. Want ik neem aan dat je niet
gemakkelijk elke macro dat een tekstbestand ophaalt kunt afkeuren. Wat mij meer zorgen baart is het feit
dat filet.exe niet als virus wordt herkend. Dus als de macro was uitgevoerd waren er waarschijnlijk geen
alarmbellen afgegaan.

Het grappige is dat het oorspronkelijke Word document aanvankelijk door 3 en inmiddels door 19 van de 56
engines bij VT wordt herkend. Iets dat op zich niet zo moeilijk moet zijn, omdat de URL van het op te halen
tekstbestand er gewoon in leesbare tekst in staat.
Van de twee leesbare URL's wordt er slechts één door één van de 63 URL-scanners als kwaadaardig aangemerkt
De URL van de exe wordt door 6 van de scanners herkend
En het filet.exe door niet éen.

Niet uit te sluiten valt natuurlijk dat filet.exe slechts een afleidingsmanoeuvre is. Maar het actieve gedrag (genereren en uitvoeren random exe) doet vermoeden dat dat niet het geval is.

Mag ik hieruit afleiden dat het Word programma de bestanden direct ophaalt van het internet?
Waarom heeft je Office standaard direct toegang tot het internet?

Of verloopt het ophalen van de aanvullende malware bestanden via de browser, of een ander proces/programma ?

Welk programma haalt de malware op? (over welke poort?).

Macro's zijn kleine stukjes programma die je aan documenten/spreadsheets/powerpointpresentaties kunt toevoegen. Als zodanig kunnen ze alles wat jij als gebruiker ook kunt. Dus ook iets ophalen van internet.

Standaard staat het uitvoeren van macro's uitgeschakeld. Je krijgt dan een waarschuwing als er een macro aanwezig is. Er zijn mensen die veel met macro's werken en de uitvoering standaard toestaan of automatisch op OK drukken. Niet verstandig dus. Documenten kunnen digitaal verzegeld worden, waardoor het moeilijk wordt om achteraf een kwaadaardige macro toe te voegen.

Oude versies van Office stonden standaard uitvoering dacht ik toe. Ik weet niet eens of het mogelijk was dat uit te zetten. Vraag me niet naar versies.

@Eric-Jan H te A: Misschien kun je het document ook op Malwr.com laten analyseren. Nieuwsgierigen kunnen dan deze zelf downloaden en analyseren. Als het document in een zip ingepakt wordt met het standaard wachtwoord 'infected' zou je het ook ergens anders kunnen uploaden...

Ik ben wel benieuwd wat de python scripts en plugins van Didier Stevens (zie ook http://blog.didierstevens.com/programs/oledump-py/) met dit document kunnen.

Zal waarschijnlijk niet voor maandag worden. Maar ik ga het doen.

Dank voor de uitleg, maar de primaire belangrijke vraag, hoe ogenschijnlijk voorspelbaar misschien ook, was :


Als ik mij niet vergis kunnen met een macro ook andere programma's aangeroepen worden die in dit geval contact zouden kunnen maken met internet.

Dus, simpele vraag: welk programma maakte contact met het internet om de aanvullende malwarecode op te halen en over welke poort gebeurde dat dan?

Via de Word-macro kunnen direct bestanden via HTTP (standaard poort 80 op het target systeem) opgehaald worden. Ik (puur voor de nieuwsgierigheid) en misschien anderen gaan de macro nog verder onderzoeken. Als daar nog wat leuks uitkomt zal ik dat hier vermelden.

De macro in Word maakt bijvoorbeeld een MSXML2.XMLHTTP object aan en gebruikt de functie GET om een bestand te downloaden. In andere gevallen wordt de API Function URLDownloadToFileA aangeroepen een het bestand te downloaden.

Ben ik de enige die een .doc bijlage in e-mail niet opent?

Eén van de weinige ;-) MS Office documenten, spreadsheets en powererpointpresentaties worden in de zakelijke wereld nogal vaak rondgestuurd. De laatste tijd is er wel een trend waarneembaar waarbij Word documenten vaker als Pdf worden verstuurd. Maar of dat nu zo'n verbetering is met al die zwakke plekken in de meest gebruikte Reader van Adobe valt nog te bezien. Het niet toestaan van het openen van macro's zou afdoende beveiliging moeten bieden. Maar zakelijke applicaties maken dit niet altijd mogelijk.

Als ik google op "http://91.194.254.241/us28/filet.exe" vind ik een aantal verwijzingen naar security.nl, een verwijzing een naar anubis.icelabs.org en een verwijzing naar hybrid-analysis.com.

Op de pagina https://www.hybrid-analysis.com/sample/60e58c720cec28cc0f706dbc77d9f125021c52fbc7af9f70080e10abbd68e67a?environmentId=1 vind ik onder het kopje 'informative' iets over 'Contains embedded VBA macros' en de (of een stuk van) de macro. Onder screenshots kun je het Word document zien met de tekst "if your document contains incorrect encoding - enable macro"

@Eric-Jan H: Zag jouw Word document/macro er ook zo uit?

Ja Spu.

Ik heb word document van hybrid-analysis.com gedownloaded en weer ingepakt in een zip file met wachtwoord. Vervolgens ole-dump.py er op los gelaten. Met de plugin plugin_http_heuristics.py werden vier url's weer gevonden.

====================================================================================>oledump.py -p plugin_http_heuristics.py lmi_message.zip
-----------------------------------------------------------------------------------------------
  1:       114 '\x01CompObj'
  2:      4096 '\x05DocumentSummaryInformation'
  3:      4096 '\x05SummaryInformation'
  4:      8677 '1Table'
  5:       542 'Macros/PROJECT'
  6:        89 'Macros/PROJECTwm'
  7: M    4123 'Macros/VBA/Module1'
               Plugin: HTTP Heuristics plugin
                 Module1
                 GET
                 /
                 b64
  8: M     2504 'Macros/VBA/Module2'
               Plugin: HTTP Heuristics plugin
                  Module2
  9: M    9819 'Macros/VBA/ThisDocument'
               Plugin: HTTP Heuristics plugin
                 http://1023.co.za/feng/tmp/1562762.txt
                 http://aktech.in/office/tmp/1562762.txt
                 http://1023.co.za/feng/tmp/lns.txt
                 http://aktech.in/office/tmp/lns.txt
 10:      4289 'Macros/VBA/_VBA_PROJECT'
 11:       587 'Macros/VBA/dir'
 12:      4148 'WordDocument'
====================================================================================
Vervolgens via oledump.py de drie macro modules uit het document uitgepakt, de auto open macro's er uit gesloopt, en de macro modules in een ander document geplakt en en op diverse punten breakpoints gezet. Ik heb daarna stap voor stap de macro doorlopen....

Als ik het zo 123 begrijp wordt de inhoud van 1562762.txt gedownloaded en gelezen (lukt dit niet dan wordt de 2e url gebruikt). Het base64 gecodeerde text bestand wordt gebruikt om drie ?????.[bat/vbs/ps1] scripts te schrijven in c:\temp waarbij de inhoud van lns.txt gebruikt wordt voor het opbouwen van het powershell script.
Het batch bestand wordt uiteindelijk uitgevoerd en die roept het vbs script aan die op zijn beurt het commando "powershell.exe -noexit -ExecutionPolicy bypass -noprofile -file c:\temp\?????.ps1" uitvoert. Het powershell script download een plaatje (hxxp://savepic.su/5619831.png) voor de statistieken en download filet.exe en voert deze uit. Vervolgens worden de drie script bestanden opgeruimd vanuit het powershell script.
Als laatste wordt de 'encoded' tekst van het document vervangen door leesbare? tekst. Aangezien ik niet het originele document gebruikt heb weet ik niet wat de uiteindelijke tekst geworden is.

Gedegen werk.

- Mail van zogenaamd Logmein. Hoe weten ze in hemelsnaam dat ik daar een account heb.

* Wellicht is in het verleden de database van logmein wel gehacked geweest.
* Sinds jan/ februari 2014 kregen wij onze eerste fake LogMeIn Email. Exact ten tijden, wanneer wij eigenlijk ons account moesten verlengen en betalen.
* Dit jaar(2015) januari, kregen wij eerste Logmein Email met betaling van 720euro, werden niet herkend door onze virusscanners en spam filters etc. (spammassian -> clamav -> mcafee -> Exchange) En er nog doorheen. Weekje later waren er maar 3 virusscanner welke het herkende op totalvirus.
* Weekje later, kregen we soort gelijke email met zelfde van Teamviewer binaire code (slechts iets aangepast), na zoeken op internet. Zijn deze email ook maar naar een selecte "groep" mensen gestuurd. (werd niet herkend door totalvirus ook 2weken later zelfs niet..)
* Indien dit naar VEEL mensen was gestuurd, hadden ook meer virusscanner de virussen herkend (aangezien virusscanners definities hebben welke op uitbraken gebaseerd zijn, en geen definities hebben voor kleine uitbraken. > 100 b.v. ( afgezien de generic definties, etc, etc)
* Na Teamviewer kwamen er nog een aantal grote partijen langs, zelfde soort email, vergelijkbare binaira, en ook niet herkend door virusscanners..
* vertrouwen in virusscanners ben ik eind 2014 / begin 2015 geheel kwijt geraakt, omdat zelfs na de uitbraak het nog niet herkend wordt.


Voor al deze virus e-mails, vraag ik mij af, wat de doelgroepen zijn.
- Privé mensen? (ik heb privé niets gehad)
- Zakelijk? (Ja zakelijk krijg ik dit soort email vooral)
- In welke branches hebben mensen deze e-mails ontvangen?
- Zijn de ontvangers werkzaam in een belangrijke branche?