Emotetverdacht

Am 30.11.2021 habe ich noch abends im Hotel meine "PowerPoint" etwas schickt gemacht, als mein Windows Defender lapidar meinte, dass er was gefunden und geheilt hätte. Da musst ich dann doch mal nachschauen.

Als Privatanwender sollten Sie den PC vieleicht ganz schnell abschalten und mit einem Offline Scanner prüfen. Ich habe auf Defender, der diese Variante blockiert hat.

Mittlerweile hat sich der Thread als "False Positive" heraus gestellt. Aber es hat mir schön gezeigt, wie Windows Defender hier agiert hat.

Defender schlägt Alarm

Ein Klick auf die Benachrichtigung lieferte folgende beiden Informationen.

Es bleibt wohl das Geheimnis von Microsoft, dann schon für die Anzeige ein UAC-Dialog zu bestätigen ist. Aber da haben zwei Prozesse versucht, etwas zu starten was Defender als "PowEmotet.SB" bewertet hat. Der Link geht auf:

Full Scan

Zur Sicherheit habe ich erst einmal die Pattern-Dateien des Virenscanners aktualisiert und einen kompletten Scan gestartet. Der hat nach einiger Zeit aber keine Bedrohungen gefunden:

Wenn die Malware mit dem aktuellen Patternfile erkennt werden würde, dann sollte ich nichts "statisch" auf dem Computer habe. ich frage mich dann aber, woran Defender den Alarm dann fest gemacht hat. In der Warnung steht ja nur erst mal "Behaviour", d.h. Defender glaubt ein komisches Verhalten entdeckt zu haben.

War es der Browser?

Da ich in der Zeit keine Mails bearbeitet habe, war mein erster Verdacht natürlich eine Aktion im Browser. Zu dem Zeitpunkt war aber hier nichts verdächtiges zu sehen. Ich habe halt nach einer Umstellung der Sprache für alle PowerPoint-Folien gesucht, was leider wohl immer noch nicht geht. So war es auch in der die Browser-History protokolliert:

Hier hat es also keinen Download einer irgendwie verdächtigen Datei gegeben.

Schotten dicht

Vielleicht hat es ja jemand auf meinem PC abgesehen. Unwahrscheinlich ist es nicht, seit dem Printer Nightmare und andere Lücke immer wieder einen Windows Desktop und Server gefährden. Daher empfiehlt Microsoft ja auch die Aktivierung der Firewall.

Leider finde ich bei Kunden immer wieder Desktops aber auch Server, bei denen zwar Der Firewall-Dienst läuft aber die Funktion "abgeschaltet" ist. Angeblich weil es damit so viele Probleme geben würde. Nur als Tipp: Jedes "Runs with Windows"-zertifiziertes Programm, welches einen Service über Netzwerk anbietet, muss die entsprechende Regel in der Firewall eintragen. Alle anderen Produkte sollten sie sehr deutlich hinterfragen.

Ich habe bei mir zur "Sicherheit" noch einmal nachgeschaut aber wie erwartet war alles richtig konfiguriert. Die Firewall war aktiv und das WLAN auch als "Öffentlich" klassifiziert.

Damit sollte immer ein Basisschutz gewährleistet sein. Aber ich habe natürlich auch die Firewall-Überwachung aktiv:

So protokolliert die Firewall alle Verbindungen. Die Datei landet bei mir auf "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" und ein Klick auf den Link öffnet direkt Notepad. Interessant sind dabei natürlich "Receive"-Pakete, die ein ALLOW bekommen haben und von anderen Systemen initiiert wurden. Dann muss ich noch ein paar Pakete zu dem UPNP-Port (1900/UDP), DHCP (67/68 UDP) etc. ausblenden. Unterm Strich habe ich dann keine eingehende oder ausgehende Verbindung gefunden, die unerklärbar war. Damit ist auch dies eine tote Spur und ich konnte den prophylaktisch gestarteten Wireshark wieder beenden, mit dem ich auf Vorrat schon mitgeschnitten habe und auch ein Scan mit NMAP gegen einen möglichen "Angreifer" konnte ich mir sparen.

Eventlog

Windows Defender blendet in der "Benachrichtigungsleiste" von Windows und auf der GUI nur relativ wenige Daten ein. Interessanter sind da schon die Einträge im Eventlog. Im eigenständigen Windows Defender Eventlog gab es Meldungen mit der EventID 1116 und 1117.

Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         30.11.2021 22:40:02
Ereignis-ID:   1117
Aufgabenkategorie:Keine
Ebene:         Informationen
Schlüsselwörter:
Benutzer:      SYSTEM
Beschreibung:
Microsoft Defender Antivirus hat Maßnahmen ergriffen, um den Computer vor Schadsoftware 
   oder anderer potenziell unerwünschter Software zu schützen.
 Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Behavior:Win32/PowEmotet.SB&threatid=2147805329&enterprise=1
 	Name: Behavior:Win32/PowEmotet.SB
 	ID: 2147805329
 	Schweregrad: Schwerwiegend
 	Kategorie: Verdächtiges Verhalten
 	Pfad: behavior:_pid:20552:82135149762278; process:_pid:20552,ProcessStart:132827819943366192
 	Erkennungsursprung: Unbekannt
 	Erkennungstyp: Konkret
 	Erkennungsquelle: Unbekannt
 	Benutzer: NT-AUTORITÄT\SYSTEM
 	Prozessname: C:\Windows\splwow64.exe
 	Aktion: Entfernen
 	Aktionsstatus: No additional actions required
	Fehlercode: 0x00000000
 	Fehlerbeschreibung: Der Vorgang wurde erfolgreich beendet. 
 	Sicherheitsversion: AV: 1.353.1874.0, AS: 1.353.1874.0, NIS: 1.353.1874.0
 	Modulversion: AM: 1.1.18700.4, NIS: 1.1.18700.4

Die Daten sind damit schon mal per Skript o.ä. lesbar aber welches Verhalten genau aufgefallen ist, bleibt auch hier im Dunkeln. Allerdings alarmiert natürlich schon der Prozess "splwow64.exe" mit der Dateibeschreibung "Print driver host for applications" schon eine Assoziation zu "Printer Nightmare" herstellt.

Eine zweite Meldung im gleichen Eventlog verwiest auf eine Aktion, die eine Softwarekomponente von "Azure Information Protection" betrifft, was auch erst mal nicht beruhigender ist, da beide Programme in Pfaden liegen, die ein normaler Anwender, als der ich auch regulär arbeite, nicht beschreiben kann.

Protokollname: Microsoft-Windows-Windows Defender/Operational
Quelle:        Microsoft-Windows-Windows Defender
Datum:         30.11.2021 22:40:02
Ereignis-ID:   1116
Aufgabenkategorie:Keine
Ebene:         Warnung
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      FC-T480S.netatwork.de
Beschreibung:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
 Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Behavior:Win32/PowEmotet.SB&threatid=2147805329&enterprise=1
 	Name: Behavior:Win32/PowEmotet.SB
 	ID: 2147805329
 	Schweregrad: Schwerwiegend
 	Kategorie: Verdächtiges Verhalten
 	Pfad: behavior:_pid:39844:82135149762278; process:_pid:39844,ProcessStart:132827819955994760
 	Erkennungsursprung: Unbekannt
 	Erkennungstype: Konkret
 	Erkennungsquelle: Unbekannt
 	Benutzer: 
 	Prozessname: C:\Program Files (x86)\Microsoft Azure Information Protection\MSIP.ExecutionHost32.exe
 	Sicherheitsversion: AV: 1.353.1874.0, AS: 1.353.1874.0, NIS: 1.353.1874.0
 	Modulversion: AM: 1.1.18700.4, NIS: 1.1.18700.4

Das Eventlog kann aber nur als erste Quelle einer Meldung dienen. Weitere Details habe ich nicht erhalten.

Defender for Endpoint

Dank einem Microsoft 365 E5 Deployment habe ich aber einen erweiterten Defender und über die URL https://security.microsoft.com/ kann ich den Incident weiter untersuchen. Defender meldet solche Vorgänge mit Details in die Cloud und hier wird es dann interessant, denn die Informationsmenge ist hier deutlich größer als der lapidate Eintrag im Eventlog. Ich sehe nicht nur den verdächtigen Prozess sondern z.B. die komplette Kette. So war meine Vermutung dann schon berechtigt, dass PowerPoint beim öffnen einer Datei anscheinend den splwow64 einbindet. Ich tippe darauf, dass PowerPoint sich vom aktuellen Drucker einige physikalische Eigenschaften wie Farbe/Schwarzweiss, Auflösung, mögliche Schriftarten etc., holt.

Genau hier schreitet aber Defender ein, da ihm das "Verhalten" des Prozess dann doch komisch vorkommt. Bei einem realen Incident könnte ich als Administrator nun vermutlich weiter sehen, was der Prozess noch gemacht hat. Aber hier ist es "nur" ein False Positive-Meldung. Sie sehen aber auch, dass PowerPoint den vorherigen Eingriff wohl nicht "überlebt" hat und daher mit der Option "/Restore" gestartet wurde.

Microsoft Defender for Cloud Apps

Neben dem Security Center kann ich über Defender for Cloud Apps auch kontrollieren, welche Aktivitäten ich in der fraglichen Zeit auf dem Gerät durchgeführt habe. Sie sehen hier wohl, dass ich gegen 10:17PMnoch eine Mail in Exchange gelöscht habe sonst keine Aktivitäten protokolliert wurden.

Allerdings protokolliert diese Funktion nur Aktionen in der Cloud. Aber auch wenn es hier nicht akut weiter geholfen hat, kann diese Funktion durchaus hilfreich sein. Wenn ein realer Schädling mit den Berechtigungen des Benutzers arbeitet, kann so sicher gut die Spur verfolgt werden und welche Dateien gelöscht oder verändert wurden.

Auflösung

Nachdem ich den PC komplett gescannt habe und es keine Treffer in einer Datei gab, wollte ich mit meiner Arbeit weitermachen. Ich starten also PowerPoint mit dem Vortrag und sofort schlägt Defender wieder an. Ich habe dann die PPT-Datei untereinem anderen Namen gespeichert und PowerPoint wieder beendet. Nun habe ich die neu gespeichert Datei ohne Fehler geöffnet. Aber auch die vorherige unveränderte Datei konnte ich dann wieder öffnen.

Meine ganze Analyse hat aber schon ca. zwei Stunden gedauert. Ich habe ja nicht nur meinen eigenen Computer analysiert sondern über einen separaten Admin-Client mir die Rechte gegeben und mit administrativen Berechtigungen angemeldet. All das dauert etwas, wenn man mitten in der Nacht eigentlich nur eine PowerPoint für einen Vortrag auf dem "European Collaboration Summit" vorbereiten will. Zudem mussten all die Erkenntnisse auch hier als Blog-Artikel festgehalten werden.

Das führte aber dann auch dazu, dass mein Client in der Zwischenzeit eine neue Pattern-Datenbank für Windows Defender erhalten hat. Denn zum Ende konnte auch auch die angeblich "schadhafte" Datei wieder problemlos öffnen. Etwas viel Aufregung aber besser so einmal den Ernstfall durchspielen als im echten Moment nicht zu wissen, wo man hinschauen muss. Ich würde nämlich als Administrator mit gar nicht mit dem Client aufhalten und schon gar nicht auf einem "suspekten Client" anmelden, sondern direkt mit "Defender for Endpoint" starten. Ein Admin auf einem infizierten Client wäre das Dümmste, was ein privilegierter Benutzer tun sollte.

Weitere Links