Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Dridex spamruns en bad AV
21-01-2016, 16:40 door Erik van Straten, 3 reacties
Een collega ontving zowel gisteren als vandaag een spammail met kwaadaardige .doc bijlage op zijn (privé) Telfort account. Gezien het aantal uploads naar VirusTotal en dit artikel van IBM: https://securityintelligence.com/dridex-launches-dyre-like-attacks-in-uk-intensifies-focus-on-business-accounts/, lijkt hij niet de enige.
Gisteren
Subject: Your compliment (ref: 398864)
Zendende zombie-PC: 81.213.76.50 (Turkije)
Bijlage: 398864 - Letter to username@example.com.doc (waarbij ik het e-mail adres van de collega heb gewijzigd in username@example.com).
Upload van "398864 - Letter to user@example.com.doc.malware" leverde gisteren op: 0/53. Zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453291439/
Vandaag herkent alleen TrendMicro er W2KM_DRIDEX.DAM in, zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453378687/
Nb. als je dat laatste getal (seconden sinds 1980-01-01 00:00:00) van een VT URL schrapt krijg je het resultaat van de laatste scan te zien, zo dus: https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/
Vandaag
Subject: Your Telephone Bill Invoices & Reports
Zendende PC of server: 43.245.159.98 (India)
Bijlage: Invoice_316103_Jul_2013.doc
Volgens VirusTotal slaan 3 van 52 virusscanners aan op deze docfile: https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/
In de docfile is, plain-text, een URL te vinden: "hxxp://phaleshop.com/8h75f56f/34qwj9kk.exe" (ik heb http veranderd in hxxp om te voorkomen dat je erop klikt).
Die file heb ik gedownload (en hernoemd in 34qwj9kk.exe.malware). Om 15:04 herkende alleen Kaspersky er iets in: https://www.virustotal.com/en/file/ac424d8ef67dbb1ee98568f9a96376370ce0cf1f9d03403d928498a57c54abd9/analysis/1453385041/. Kaspersky op een PC, met virusdefinities van 10:46:00, herkent die file momenteel nog niet als malware.
Kortom, de makers van deze malware lijken probleemloos virusscanners op het verkeerde been te zetten. Vooral in het geval van die laatste doc file vind ik dat opvallend; in het tabblad "File Detail" (in https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/), kun je onder "Macros and VBA code streams" de source code van de macro's "Main.cls", "bronco.bas" en "venus.bas" bekijken, en met "strings" vond ik al heel snel de kwaadaardige URL in de file. Bovendien zie ik de volgende string daarin:
Beide doc files (gisteren en vandaag) bevatten een AutoOpen macro, en in beide zie ik exact dezelfde sequence:
Gisteren
Subject: Your compliment (ref: 398864)
Zendende zombie-PC: 81.213.76.50 (Turkije)
Bijlage: 398864 - Letter to username@example.com.doc (waarbij ik het e-mail adres van de collega heb gewijzigd in username@example.com).
Upload van "398864 - Letter to user@example.com.doc.malware" leverde gisteren op: 0/53. Zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453291439/
Vandaag herkent alleen TrendMicro er W2KM_DRIDEX.DAM in, zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453378687/
Nb. als je dat laatste getal (seconden sinds 1980-01-01 00:00:00) van een VT URL schrapt krijg je het resultaat van de laatste scan te zien, zo dus: https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/
Vandaag
Subject: Your Telephone Bill Invoices & Reports
Zendende PC of server: 43.245.159.98 (India)
Bijlage: Invoice_316103_Jul_2013.doc
Volgens VirusTotal slaan 3 van 52 virusscanners aan op deze docfile: https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/
In de docfile is, plain-text, een URL te vinden: "hxxp://phaleshop.com/8h75f56f/34qwj9kk.exe" (ik heb http veranderd in hxxp om te voorkomen dat je erop klikt).
Die file heb ik gedownload (en hernoemd in 34qwj9kk.exe.malware). Om 15:04 herkende alleen Kaspersky er iets in: https://www.virustotal.com/en/file/ac424d8ef67dbb1ee98568f9a96376370ce0cf1f9d03403d928498a57c54abd9/analysis/1453385041/. Kaspersky op een PC, met virusdefinities van 10:46:00, herkent die file momenteel nog niet als malware.
Kortom, de makers van deze malware lijken probleemloos virusscanners op het verkeerde been te zetten. Vooral in het geval van die laatste doc file vind ik dat opvallend; in het tabblad "File Detail" (in https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/), kun je onder "Macros and VBA code streams" de source code van de macro's "Main.cls", "bronco.bas" en "venus.bas" bekijken, en met "strings" vond ik al heel snel de kwaadaardige URL in de file. Bovendien zie ik de volgende string daarin:
If this document has incorrect encoding - enable macro
Beide doc files (gisteren en vandaag) bevatten een AutoOpen macro, en in beide zie ik exact dezelfde sequence:
[Host Extender Info]
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000
[Workspace]
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000
[Workspace]
Reacties (3)
De .DAM toevoeging betekent doorgaans DAMAGED.
Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.
De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.
Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.
De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.
Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
Door Anoniem: De .DAM toevoeging betekent doorgaans DAMAGED.
Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.
De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.
Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
1. Of je pusht gewoon een paar group policies om macro's in Word, Excel en Powerpoint definitief uit te schakelen en je cofigureert ASR in EMET 5.x op zo'n manier dat packager.dll niet meer wordt geladen.Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.
De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.
Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
2. User awareness is ook een oplossing.
3. Overgaan op het gebruiken van notepad of een typemachine is ook een optie.
21-01-2016, 19:32 door Anoniem: De .DAM toevoeging betekent doorgaans DAMAGED.
Ah, thanks, dat wist ik niet!21-01-2016, 19:32 door Anoniem: De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files.
Voor zover ik zie gaat het in deze gevallen niet om ActiveMime files, want ze zijn niet gecomprimeerd; ruim 44% van de bytes in "398864 - Letter to username@example.com.doc" heeft de waarde 0, en strings.exe geeft veel leesbare tekst - maar die file is mogelijk corrupt. In de tweede file, "Invoice_316103_Jul_2013.doc", zitten zelfs meer dan 55% nul-bytes, en van die tweede file geeft VirusTotal aan (onder File Detail): The file being studied follows the Compound Document File format! More specifically, it is a MS Word Document file.
Checks zojuist:
1) "398864 - Letter to user@example.com.doc.malware" van 20 januari: gisteren nog 2/53, nu 3/53 (zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453451553/)
2) "Invoice_316103_Jul_2013.doc" van 21 januari, gisteren nog 3/52, nu 25/54: (zie https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453453447/)
3) "34qwj9kk.exe" van 21 januari, gisteren nog 1/54, nu 25/54: https://www.virustotal.com/en/file/ac424d8ef67dbb1ee98568f9a96376370ce0cf1f9d03403d928498a57c54abd9/analysis/1453454155/
(nog geen detectie door AVG, Avast, ClamAV, Malwarebytes en Panda; deze keer wel door Microsoft).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.