Spam mit Schadcode
Eigentlich bekomme ich schon recht wenig Spam. Aber manchmal kommt doch mal eine durch und folgende Mail sieht, abgesehen von den stümperhaften Tippfehlern und der fast richtigen Rufnummer schon richtig gut aus.
Headeranalyse
Da loht sich doch mal den Header anzuschauen
Return-Path: <lqmsmikey@yahoo.com> Received: from nm38-vm5.bullet.mail.gq1.yahoo.com ([98.136.217.76]) by mx.emig.kundenserver.de (mxeue106 [217.72.192.66]) with ESMTPS (Nemesis) id 0MJp36-1cecCe1XV6-001BRn for <frank-@carius.de>; Tue, 14 Feb 2017 07:07:40 +0100 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1487052458; bh=ZjWK/07d1+nttEbMqY4ZJkdy4dkYF2OZZhBr8CeYHhw=; h=Date:From:Reply-To:To:Subject:References:From:Subject; b=lBzo7Oz9KxPOxPy1zNvu3tfwReL1BGYH13i91ciXy/G91U6w0TUxQ4qnU8SyNyiCfWAcCU/W6p6Qg+pq+TjBmD++c1vOFdtU2AtaNU/c9uS6yltJ3upm8KxDFQUcpJN2KFczNcmcWRvx0KkQY/e2JuDRoYs9cBIWSL2OvOCZ6YD0/Vf+zXcaRLOSTpB8z/YcANDOe9kFIv9QHQ80TDoUOdscGo6UPWVqUlSdCWnAypU9DCHpiCSRzoiFqcuLooKL2YIK+nc1B0fANyVJ12uYYyjldVgGRKbPw0tpngEGKM/NL1lDgftBi231wiW68Z1wlZPG8a6+g03B5JSv9EDwUQ== Received: from [127.0.0.1] by nm38.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:07:38 -0000 Received: from [216.39.60.184] by nm38.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000 Received: from [98.139.215.142] by tm20.bullet.mail.gq1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000 Received: from [98.139.212.216] by tm13.bullet.mail.bf1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000 Received: from [127.0.0.1] by omp1025.mail.bf1.yahoo.com with NNFMP; 14 Feb 2017 06:04:49 -0000 X-Yahoo-Newman-Property: ymail-4 X-Yahoo-Newman-Id: 672578.92819.bm@omp1025.mail.bf1.yahoo.com X-YMail-OSG: GOYQBwoVM1nimH_dM.I2L7igb0uf35Q_qiWi8f1I_df09_y.ohrdicUsTcTMsk0 19KnydzbSXVFRAxsd.M2LHZ92rG6syWHLI4ig0TX5Z4tF4FcFnBnwlvaGiB4Qf12Wk0IH0eqCiJB 8mxY431JFgCdlZ53NQhV81pzwjBEgJSr0NL3h3LCw.xhCjEzLuJvQRkdniaJcz5uj_Pz7XgOUyzZ p4q3j.WSWp2NSYiplWXEZHNdP1xug2rY9kb4aSAoZbn6Qog8YMpJNLTcEKq9UNhmxWig8H8RCIf8 R_FoAgnMFO_pK..tD07t3ONECFOS6cHJh2DGpWt_R45l9e0LFYi83jklhpDc.yP71pJN_qsOh03M eLoZMh.PJA1A47aGOcm9aGA7ncVb457Urb5asa7nP.CnZmPt_e2ITz2FsgmxiWtUlqRBHZSyx5.A ilVQ77XfbYMTJjoep.NcA5Af6C8j.c6G71UB5dzGr2N7sVRqnhkUJ5Jgb6RP1d.AT0GETg_wUdwJ bvU3bNYKPmC6PNCiB4WdbfIyzO.6mevwu Received: from jws400110.mail.bf2.yahoo.com by sendmailws109.mail.bf1.yahoo.com; Tue, 14 Feb 2017 06:03:09 +0000; 1487052189.441 Date: Tue, 14 Feb 2017 06:03:09 +0000 (UTC) From: michael flores <lqmsmikey@yahoo.com> Reply-To: michael flores <lqmsmikey@yahoo.com> To: "frank-@carius.de" <frank-@carius.de> Message-ID: <36553138.4267076.1487052189273@mail.yahoo.com> Subject: Besttellung auf Frank Carius fehlgeschlagen. MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_Part_4267075_67223149.1487052189273" References: <36553138.4267076.1487052189273.ref@mail.yahoo.com> Content-Length: 10021 Envelope-To: <frank-@carius.de>
Also wieder mal der klassische Fall, dass sich hier jemand ein Yahoo-Konto angelegt hat um seinen Schritt zu verteilen. Und Yahoo schafft es nicht über eine ordentliche Personenidentifizierung oder Filterfunktion solchen Missbrauch zu ersticken. Auf der anderen Seite ist schon interessant, durch wie viele Mailsysteme bei einem "Free Provider" die Mails laufen, ehe Sie dann mit einem Hop beim Ziel landen.
Ich werde die folgenden Codes als "Bilder" anzeigen, damit sie nicht irrtümlich ausgeführt werden.
ZIP-Inhalt
Klar, dass das ZIP-File natürlich einen Schadcode enthalten dürfte. Also rein in eine abgesicherte VM und mal auseinander nehmen. Das ZIP-File enthält eine JavaScript-Datei.
Die kann man ja noch gefahrlos auspacken
JS-Inhalt
Natürlich ist der Code darin nicht "lesbar". Er besteht aus fast 400 Zeilen die alle etwas so aussehen.
Da versucht jemand den Schadcode so zu verbergen, dass einfache AV-Scanner diesen übersehen. Erst am Ende steht der Code in einer Weise, dass er diesen ausführt. Ich habe also den JS-Code so angepasst, dass er am Ende das Ergebnisse einfach auf den Bildschirm ausgibt.
Schadcode Teil 1
Was hier aber herauskommt, ist nicht der Code selbst, sondern der Aufruf einer CMD, die ihrerseits bitte die Powershell starten soll. Der dazu gehörige Befehl ist natürlich auch wieder unkenntlich gemacht.
Erst am Ende wird mit einem Invoke-Expression dann der Aufruf gestartet. Also wieder einen Editor starten, und den Code rein kopieren und statt des Aufrufs einfach einen "Write-Host" draus gemacht.
Schadcode Teil 2
Was da dann rausgekommen ist, verwundert natürlich auch nicht.
Ein einfaches PostShell-Script, welches per HTTP-Download eine Datei von einem WebServer lädt, der anhand der IP-Adresse in Russland steht
Dahinter läuft ein NGNIX-Webserver, der aber keine Default-Seit o.ä. hat.
Es ist also zumindest kein "gehacktes Wordpress" o.ä., das hier als Virenschleuder dient. Das macht es aber nicht besser und der DNS-Name, auf den die IP-Adresse auflöst, hilft auch nicht weiter.
Schadcode Teil 3
Die EXE tarnt sich zumindest vom ICON her als Nullsoft Installation System Installationsdatei.
Wenn dem wirklich so ist, dann kann 7-ZIP auch diese EXE "auspacken". Und tatsächlich gelingt das.
PS C:\temp\vkongo> Get-ChildItem -Recurse Verzeichnis: C:\temp\Spam\vkongo Mode LastWriteTime Length Name ---- ------------- ------ ---- d---- 14.02.2017 19:33 $PluginSDIR -a--- 13.02.2017 17:35 1037 feed140009662.rss+xml -a--- 13.02.2017 17:22 998 print1698901656.css -a--- 14.02.2017 16:30 131737 rolls.jL -a--- 14.02.2017 18:33 52908 Uninstall.exe Verzeichnis: C:\temp\Spam\vkongo\$PluginSDIR Mode LastWriteTime Length Name ---- ------------- ------ ---- -a--- 14.02.2017 18:33 15872 InstallOptions.dll -a--- 14.11.2007 21:12 211 ioSpecial.ini -a--- 23.09.2003 20:34 26494 modern-wizard.bmp -a--- 14.02.2017 18:33 11776 System.dll
An der Stelle habe ich dann darauf verzichtet, weiter in die DLLs einzusteigen.
Version 2 als DOC-Datei
Wenige Stunden später kommt eine zweite sehr ähnliche Mail bei mir an. Diesmal ist es aber eine DOC-Datei.
Der Versuch die DOC-Datei aber zu speichern wurde von dem Microsoft Virenscanner aber schnell verhindert.
Protokollname: System Quelle: Microsoft Antimalware Datum: 15.02.2017 19:13:17 Ereignis-ID: 1117 Aufgabenkategorie:Keine Ebene: Informationen Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Beschreibung: Von Microsoft-Antischadsoftware wurden Maßnahmen zum Schutz des Computers vor Schadsoftware oder anderer potenziell unerwünschter Software ergriffen. Weitere Informationen finden Sie hier: http://go.microsoft.com/fwlink/?linkid=37020&name=TrojanDownloader:O97M/Donoff.CD&threatid=2147716804&enterprise=1 Name: TrojanDownloader:O97M/Donoff.CD ID: 2147716804 Schweregrad: Schwerwiegend Kategorie: Downloadtrojaner Pfad: file:_C:\Users\User1\AppData\Local\M\W\TempInternetFiles\Content.Outlook\x\y.doc Ursprung der Erkennung: Internet Typ der Erkennung: Konkret Quelle der Erkennung: Echtzeitschutz Benutzer: NT-AUTORITÄT\SYSTEM Prozessname: C:\Program Files (x86)\Microsoft Office\Office15\OUTLOOK.EXE Aktion: Quarantäne Aktionsstatus: No additional actions required Fehlercode: 0x00000000 Fehlerbeschreibung: Der Vorgang wurde erfolgreich beendet. Signaturversion: AV: 1.235.2855.0, AS: 1.235.2855.0, NIS: 116.72.0.0 Modulversion: AM: 1.1.13407.0, NIS: 2.1.12706.0
Die EXE aber wurde zur gleichen Zeit noch nicht erkannt.
- OfficeMalScanner.zip
http://www.reconstructer.org/code.html
Forensic Tool um Makros aus Office-Dokumenten gefahrlos zu extrahieren.
Einschätzung
Ich nehme mal an, dass beide den gleichen "Schadcode" in sich tragen. Sollte es sich um einen gezielten Versuch handeln, mir einen Schadcode unter zu schieben, dann bin ich schon zu alt aber noch nicht alt genug, um darauf herein zu fallen.