Spam mit Schadcode

Eigentlich bekomme ich schon recht wenig Spam. Aber manchmal kommt doch mal eine durch und folgende Mail sieht, abgesehen von den stümperhaften Tippfehlern und der fast richtigen Rufnummer schon richtig gut aus.

Headeranalyse

Da loht sich doch mal den Header anzuschauen

Return-Path: <lqmsmikey@yahoo.com>
Received: from nm38-vm5.bullet.mail.gq1.yahoo.com ([98.136.217.76]) by
 mx.emig.kundenserver.de (mxeue106 [217.72.192.66]) with ESMTPS (Nemesis) id
 0MJp36-1cecCe1XV6-001BRn for <frank-@carius.de>; Tue, 14 Feb 2017 07:07:40
 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1487052458; bh=ZjWK/07d1+nttEbMqY4ZJkdy4dkYF2OZZhBr8CeYHhw=; h=Date:From:Reply-To:To:Subject:References:From:Subject; b=lBzo7Oz9KxPOxPy1zNvu3tfwReL1BGYH13i91ciXy/G91U6w0TUxQ4qnU8SyNyiCfWAcCU/W6p6Qg+pq+TjBmD++c1vOFdtU2AtaNU/c9uS6yltJ3upm8KxDFQUcpJN2KFczNcmcWRvx0KkQY/e2JuDRoYs9cBIWSL2OvOCZ6YD0/Vf+zXcaRLOSTpB8z/YcANDOe9kFIv9QHQ80TDoUOdscGo6UPWVqUlSdCWnAypU9DCHpiCSRzoiFqcuLooKL2YIK+nc1B0fANyVJ12uYYyjldVgGRKbPw0tpngEGKM/NL1lDgftBi231wiW68Z1wlZPG8a6+g03B5JSv9EDwUQ==
Received: from [127.0.0.1] by nm38.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:07:38 -0000
Received: from [216.39.60.184] by nm38.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000
Received: from [98.139.215.142] by tm20.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000
Received: from [98.139.212.216] by tm13.bullet.mail.bf1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000
Received: from [127.0.0.1] by omp1025.mail.bf1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000
X-Yahoo-Newman-Property: ymail-4
X-Yahoo-Newman-Id: 672578.92819.bm@omp1025.mail.bf1.yahoo.com
X-YMail-OSG: GOYQBwoVM1nimH_dM.I2L7igb0uf35Q_qiWi8f1I_df09_y.ohrdicUsTcTMsk0
 19KnydzbSXVFRAxsd.M2LHZ92rG6syWHLI4ig0TX5Z4tF4FcFnBnwlvaGiB4Qf12Wk0IH0eqCiJB
 8mxY431JFgCdlZ53NQhV81pzwjBEgJSr0NL3h3LCw.xhCjEzLuJvQRkdniaJcz5uj_Pz7XgOUyzZ
 p4q3j.WSWp2NSYiplWXEZHNdP1xug2rY9kb4aSAoZbn6Qog8YMpJNLTcEKq9UNhmxWig8H8RCIf8
 R_FoAgnMFO_pK..tD07t3ONECFOS6cHJh2DGpWt_R45l9e0LFYi83jklhpDc.yP71pJN_qsOh03M
 eLoZMh.PJA1A47aGOcm9aGA7ncVb457Urb5asa7nP.CnZmPt_e2ITz2FsgmxiWtUlqRBHZSyx5.A
 ilVQ77XfbYMTJjoep.NcA5Af6C8j.c6G71UB5dzGr2N7sVRqnhkUJ5Jgb6RP1d.AT0GETg_wUdwJ
 bvU3bNYKPmC6PNCiB4WdbfIyzO.6mevwu
Received: from jws400110.mail.bf2.yahoo.com by sendmailws109.mail.bf1.yahoo.com; Tue, 14 Feb 2017 06:03:09 +0000; 1487052189.441
Date: Tue, 14 Feb 2017 06:03:09 +0000 (UTC)
From: michael flores <lqmsmikey@yahoo.com>
Reply-To: michael flores <lqmsmikey@yahoo.com>
To: "frank-@carius.de" <frank-@carius.de>
Message-ID: <36553138.4267076.1487052189273@mail.yahoo.com>
Subject: Besttellung auf Frank Carius fehlgeschlagen.
MIME-Version: 1.0
Content-Type: multipart/mixed; 
	boundary="----=_Part_4267075_67223149.1487052189273"
References: <36553138.4267076.1487052189273.ref@mail.yahoo.com>
Content-Length: 10021
Envelope-To: <frank-@carius.de>

Also wieder mal der klassische Fall, dass sich hier jemand ein Yahoo-Konto angelegt hat um seinen Schritt zu verteilen. Und Yahoo schafft es nicht über eine ordentliche Personenidentifizierung oder Filterfunktion solchen Missbrauch zu ersticken. Auf der anderen Seite ist schon interessant, durch wie viele Mailsysteme bei einem "Free Provider" die Mails laufen, ehe Sie dann mit einem Hop beim Ziel landen.

Ich werde die folgenden Codes als "Bilder" anzeigen, damit sie nicht irrtümlich ausgeführt werden.

ZIP-Inhalt

Klar, dass das ZIP-File natürlich einen Schadcode enthalten dürfte. Also rein in eine abgesicherte VM und mal auseinander nehmen. Das ZIP-File enthält eine JavaScript-Datei.

Die kann man ja noch gefahrlos auspacken

JS-Inhalt

Natürlich ist der Code darin nicht "lesbar". Er besteht aus fast 400 Zeilen die alle etwas so aussehen.

Da versucht jemand den Schadcode so zu verbergen, dass einfache AV-Scanner diesen übersehen. Erst am Ende steht der Code in einer Weise, dass er diesen ausführt. Ich habe also den JS-Code so angepasst, dass er am Ende das Ergebnisse einfach auf den Bildschirm ausgibt.

Schadcode Teil 1

Was hier aber herauskommt, ist nicht der Code selbst, sondern der Aufruf einer CMD, die ihrerseits bitte die Powershell starten soll. Der dazu gehörige Befehl ist natürlich auch wieder unkenntlich gemacht.

Erst am Ende wird mit einem Invoke-Expression dann der Aufruf gestartet. Also wieder einen Editor starten, und den Code rein kopieren und statt des Aufrufs einfach einen "Write-Host" draus gemacht.

Schadcode Teil 2

Was da dann rausgekommen ist, verwundert natürlich auch nicht.

Ein einfaches PostShell-Script, welches per HTTP-Download eine Datei von einem WebServer lädt, der anhand der IP-Adresse in Russland steht

Dahinter läuft ein NGNIX-Webserver, der aber keine Default-Seit o.ä. hat.

Es ist also zumindest kein "gehacktes Wordpress" o.ä., das hier als Virenschleuder dient. Das macht es aber nicht besser und der DNS-Name, auf den die IP-Adresse auflöst, hilft auch nicht weiter.

Schadcode Teil 3

Die EXE tarnt sich zumindest vom ICON her als Nullsoft Installation System Installationsdatei.

Wenn dem wirklich so ist, dann kann 7-ZIP auch diese EXE "auspacken". Und tatsächlich gelingt das.

PS C:\temp\vkongo> Get-ChildItem -Recurse

    Verzeichnis: C:\temp\Spam\vkongo


Mode                LastWriteTime     Length Name
----                -------------     ------ ----
d----        14.02.2017     19:33            $PluginSDIR
-a---        13.02.2017     17:35       1037 feed140009662.rss+xml
-a---        13.02.2017     17:22        998 print1698901656.css
-a---        14.02.2017     16:30     131737 rolls.jL
-a---        14.02.2017     18:33      52908 Uninstall.exe


    Verzeichnis: C:\temp\Spam\vkongo\$PluginSDIR


Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-a---        14.02.2017     18:33      15872 InstallOptions.dll
-a---        14.11.2007     21:12        211 ioSpecial.ini
-a---        23.09.2003     20:34      26494 modern-wizard.bmp
-a---        14.02.2017     18:33      11776 System.dll

An der Stelle habe ich dann darauf verzichtet, weiter in die DLLs einzusteigen.

Version 2 als DOC-Datei

Wenige Stunden später kommt eine zweite sehr ähnliche Mail bei mir an. Diesmal ist es aber eine DOC-Datei.

Der Versuch die DOC-Datei aber zu speichern wurde von dem Microsoft Virenscanner aber schnell verhindert.

Protokollname: System
Quelle:        Microsoft Antimalware
Datum:         15.02.2017 19:13:17
Ereignis-ID:   1117
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Beschreibung:
Von Microsoft-Antischadsoftware wurden Maßnahmen zum Schutz des Computers vor 
Schadsoftware oder anderer potenziell unerwünschter Software ergriffen.
 Weitere Informationen finden Sie hier:
http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:O97M/Donoff.CD&threatid=2147716804&enterprise=1
        Name: TrojanDownloader:O97M/Donoff.CD
        ID: 2147716804
        Schweregrad: Schwerwiegend
        Kategorie: Downloadtrojaner
        Pfad: file:_C:\Users\User1\AppData\Local\M\W\TempInternetFiles\Content.Outlook\x\y.doc
        Ursprung der Erkennung: Internet
        Typ der Erkennung: Konkret
        Quelle der Erkennung: Echtzeitschutz
        Benutzer: NT-AUTORITÄT\SYSTEM
        Prozessname: C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE
        Aktion: Quarantäne
        Aktionsstatus:  No additional actions required
        Fehlercode: 0x00000000
        Fehlerbeschreibung: Der Vorgang wurde erfolgreich beendet. 
        Signaturversion: AV: 1.235.2855.0, AS: 1.235.2855.0, NIS: 116.72.0.0
        Modulversion: AM: 1.1.13407.0, NIS: 2.1.12706.0

Die EXE aber wurde zur gleichen Zeit noch nicht erkannt.

• OfficeMalScanner.zip
  http://www.reconstructer.org/code.html
  Forensic Tool um Makros aus Office-Dokumenten gefahrlos zu extrahieren.

Einschätzung

Ich nehme mal an, dass beide den gleichen "Schadcode" in sich tragen. Sollte es sich um einen gezielten Versuch handeln, mir einen Schadcode unter zu schieben, dann bin ich schon zu alt aber noch nicht alt genug, um darauf herein zu fallen.