URSNIF Spam Mail mit neuen Taktiken für bösartige Makros

Originalartikel von John Anthony Bañes

Bösartige Makros werden häufig dazu genutzt, um Schadsoftware-Payloads zu verteilen. Dabei werden die Opfer zumeist über eine Spam-Mail dazu gebracht, das Makro zu aktivieren. Das Makro führt dann ein PowerShell-Skript aus, um Ransomware oder andere Schadsoftware herunterzuladen. Nun hat kürzlich im September EMOTET, eine ältere Banking-Schadsoftware, diese Methode in einer Kampagne aufgenommen.


Bild 1. Infektionsdiagramm für EMOTET-Malware zeigt den Einsatz von Makro-PowerShell

Aufgrund der Effizienz der Methode nutzen Angreifer diese immer wieder und entwickeln sie auch stetig weiter. Die Bedrohungen auf Basis von bösartigen Makros ändern sich ständig, um Sicherheitsmaßnahmen, die sie entdecken und blocken könnten, zu umgehen. In Spam-Mails, die URSNIF verbreiteten, eine für den Einsatz neuer Tools berüchtigte Malware, fanden die Forscher einfache Checks, die die Malware nutzt, um Sandbox-Erkennung zu vermeiden.

AutoClose

Makros, die AutoClose einsetzen, können nach dem Schließen des Dokuments bösartige PowerShell-Skripts ausführen und so Sandbox-Erkennung durch die Analyse des Makros vermeiden. Diese Methode wird immer häufiger in bösartigen Makros eingesetzt, weil sie einfach zu implementieren ist.

Bild 2. Beispiel des AutoClose-Codes für die Makros

Nachdem das Opfer Makros aktiviert hat, wartet das Makro, bis das potenzielle Opfer das Dokument geschlossen hat und führt dann PowerShell aus. Der Sandbox-Erkennung kann das bösartige Verhalten entgehen, da die bösartigen Routinen erst nach dem Schließen des Dokuments laufen.

Aufzählungsvariablen

Microsoft Office liefert den Nutzern einige Aufzählungsvariablen für die Makros, die vordefinierte Werte enthalten. Doch sind einige dieser Variablen erst in späteren Versionen von Microsoft Office vorhanden. So kann der Vergleich einer Aufzählungsvariablen mit einem bestimmten Wert indirekt zum Prüfen der Office-Version verwendet werden. Einige Sandboxen aber nutzen nur Microsoft Office 2007 für die automatisierte Analyse. Daher wird ein Angreifer, der Office 2007 findet, das Makro nicht installieren.

Länge des Dateinamens

Bei der automatisierten Analyse einer Datei in einer Sandbox wird die Datei manchmal umbenannt in MD5, SHA-1 oder SHA-256. Angreifer nutzen dies für eine Überprüfung der Dateinamenlänge im VBScript, bevor eine bösartige Aktion angestoßen wird. Weitere Details bietet der Originalartikel.

Die meisten analysierten Samples wiesen eine Gemeinsamkeit auf – sie führen ein PowerShell Skript aus, das eine weitere Schadsoftware herunterlädt und ausführt. In diesem Fall ist es eine Variante von URSNIF (TSPY_URSNIF). Es könnte aber auch eine andere sein.

Lösungen von Trend Micro Solutions

Endpoint-Lösungen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced können Anwender vor diesen Bedrohungen schützen, weil sie die bösartigen Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden URLs blockieren. Trend Micro Deep Discovery Inspector hat eine Mail-Überpüfungs-Layer, der Unternehmen schützt, weil er bösartige Anhänge und URLs erkennt.

Trend Micro™ Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Netzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale E-Mail-Lösungen. E-Mail-Verschlüsselung ist in der Basisversion bereits enthalten.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Damit im Zusammenhang stehende SHA256

954a94f43987df21094853b8e7b7de11e5f1d8c2ea0369e80ce44d04e84382ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*