Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Dridex spamruns en bad AV

21-01-2016, 16:40 door Erik van Straten, 3 reacties
Een collega ontving zowel gisteren als vandaag een spammail met kwaadaardige .doc bijlage op zijn (privé) Telfort account. Gezien het aantal uploads naar VirusTotal en dit artikel van IBM: https://securityintelligence.com/dridex-launches-dyre-like-attacks-in-uk-intensifies-focus-on-business-accounts/, lijkt hij niet de enige.

Gisteren
Subject: Your compliment (ref: 398864)
Zendende zombie-PC: 81.213.76.50 (Turkije)
Bijlage: 398864 - Letter to username@example.com.doc (waarbij ik het e-mail adres van de collega heb gewijzigd in username@example.com).
Upload van "398864 - Letter to user@example.com.doc.malware" leverde gisteren op: 0/53. Zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453291439/

Vandaag herkent alleen TrendMicro er W2KM_DRIDEX.DAM in, zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453378687/

Nb. als je dat laatste getal (seconden sinds 1980-01-01 00:00:00) van een VT URL schrapt krijg je het resultaat van de laatste scan te zien, zo dus: https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/

Vandaag
Subject: Your Telephone Bill Invoices & Reports
Zendende PC of server: 43.245.159.98 (India)
Bijlage: Invoice_316103_Jul_2013.doc

Volgens VirusTotal slaan 3 van 52 virusscanners aan op deze docfile: https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/

In de docfile is, plain-text, een URL te vinden: "hxxp://phaleshop.com/8h75f56f/34qwj9kk.exe" (ik heb http veranderd in hxxp om te voorkomen dat je erop klikt).

Die file heb ik gedownload (en hernoemd in 34qwj9kk.exe.malware). Om 15:04 herkende alleen Kaspersky er iets in: https://www.virustotal.com/en/file/ac424d8ef67dbb1ee98568f9a96376370ce0cf1f9d03403d928498a57c54abd9/analysis/1453385041/. Kaspersky op een PC, met virusdefinities van 10:46:00, herkent die file momenteel nog niet als malware.

Kortom, de makers van deze malware lijken probleemloos virusscanners op het verkeerde been te zetten. Vooral in het geval van die laatste doc file vind ik dat opvallend; in het tabblad "File Detail" (in https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453385076/), kun je onder "Macros and VBA code streams" de source code van de macro's "Main.cls", "bronco.bas" en "venus.bas" bekijken, en met "strings" vond ik al heel snel de kwaadaardige URL in de file. Bovendien zie ik de volgende string daarin:
If this document has incorrect encoding - enable macro

Beide doc files (gisteren en vandaag) bevatten een AutoOpen macro, en in beide zie ik exact dezelfde sequence:
[Host Extender Info]
&H00000001={3832D640-CF90-11CF-8E43-00A0C911005A};VBE;&H00000000
[Workspace]
Reacties (3)
21-01-2016, 19:32 door Anoniem
De .DAM toevoeging betekent doorgaans DAMAGED.

Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.

De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.

Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
22-01-2016, 01:23 door Anoniem
Door Anoniem: De .DAM toevoeging betekent doorgaans DAMAGED.

Dit type mso-embedded/ActiveMime macro aanvallen zijn een bedreiging voor veel ontvangers. In de eerste plaats omdat er een exploit wordt gebruikt om scanners te omzeilen.

De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files. Het probleem is niet zozeer dat scanners ze niet als MIME zien, maar dat Microsoft Word veel te onzuiver is in de interpretatie van het bestand. Het bestand voldoet absoluut niet aan de eisen die MIME RFC's eraan stellen, maar toch wordt het gelezen door Microsoft Word. Microsoft is dus de hoofdschuldige. Zij zullen dit waarschijnlijk een feature vinden in plaats van een vulnerability, maar elke weldenkende email security deskundige kan het daar niet mee eens zijn.

Microsoft moet dit gapende gat dichten en deze malformed MIME files niet meer interpreteren als MIME.
1. Of je pusht gewoon een paar group policies om macro's in Word, Excel en Powerpoint definitief uit te schakelen en je cofigureert ASR in EMET 5.x op zo'n manier dat packager.dll niet meer wordt geladen.

2. User awareness is ook een oplossing.

3. Overgaan op het gebruiken van notepad of een typemachine is ook een optie.
22-01-2016, 10:20 door Erik van Straten - Bijgewerkt: 22-01-2016, 10:24
21-01-2016, 19:32 door Anoniem: De .DAM toevoeging betekent doorgaans DAMAGED.
Ah, thanks, dat wist ik niet!

21-01-2016, 19:32 door Anoniem: De doc files zijn in werkelijkheid geen doc files, maar malformed MIME files.
Voor zover ik zie gaat het in deze gevallen niet om ActiveMime files, want ze zijn niet gecomprimeerd; ruim 44% van de bytes in "398864 - Letter to username@example.com.doc" heeft de waarde 0, en strings.exe geeft veel leesbare tekst - maar die file is mogelijk corrupt. In de tweede file, "Invoice_316103_Jul_2013.doc", zitten zelfs meer dan 55% nul-bytes, en van die tweede file geeft VirusTotal aan (onder File Detail):
The file being studied follows the Compound Document File format! More specifically, it is a MS Word Document file.

Checks zojuist:

1) "398864 - Letter to user@example.com.doc.malware" van 20 januari: gisteren nog 2/53, nu 3/53 (zie https://www.virustotal.com/en/file/64daaa5a393eaec479fe17e55f50bd04806b2644b391f30008ec92445531a6ec/analysis/1453451553/)

2) "Invoice_316103_Jul_2013.doc" van 21 januari, gisteren nog 3/52, nu 25/54: (zie https://www.virustotal.com/en/file/627e3a939d0a99cdb47cc2491e79bb34f067340505a745c1a3d33241005efbbd/analysis/1453453447/)

3) "34qwj9kk.exe" van 21 januari, gisteren nog 1/54, nu 25/54: https://www.virustotal.com/en/file/ac424d8ef67dbb1ee98568f9a96376370ce0cf1f9d03403d928498a57c54abd9/analysis/1453454155/
(nog geen detectie door AVG, Avast, ClamAV, Malwarebytes en Panda; deze keer wel door Microsoft).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.