Windows PowerShell infiziert Word- und Excel-Dateien

Originalartikel von Alvin John Nieto, Threat Response Engineer

Schadsoftware, die Word und Excel anvisiert, ist nichts Neues. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro eine neue Familie, CRIGENT (auch als „Power Worm“ bekannt), die mehrere zusätzliche Techniken mitbringt.

Die dafür verantwortlichen Dateien konnten als W97M_CRIGENT.JER und X97M_CRIGENT.A identifiziert werden.

Am auffälligsten ist die Tatsache, dass CRIGENT Windows PowerShell für die Ausführung seiner Routinen einsetzt, anstatt ausführbaren Code einzubinden. PowerShell ist ein mächtiges, interaktives Shell-/Scripting-Werkzeug, das für alle aktuellen Windows-Versionen (ab Windows 7 automatisch dabei) verfügbar ist. IT-Administratoren, die auf der Suche nach bösartigen Binaries sind, könnten dieses übersehen, denn die genutzte Technik ist nicht sehr verbreitet.

Verbreitung und zusätzliche Komponenten

Die Bedrohung kommt als infiziertes Word- oder Excel-Dokument, das möglicherweise von einer anderen Schadsoftware abgelegt oder von Nutzern heruntergeladen wird. Beim Öffnen des Dokuments werden zwei zusätzliche Komponenten aus den berüchtigten zwei Anonymitätsprojekten – Tor-Netzwerk und Polipo, ein persönlicher Web-Cache/-Proxy – heruntergeladen.

Der Angreifer verschleiert durch die Namensänderung die wahre Natur dieser Dateien und über Verbergen der Information in DNS-Einträge auch den Ort, wo sie gehostet werden. Kopien dieser Dateien werden in legitimen Cloud-Dateihosts (in diesem Fall Dropbox und OneDrive) gespeichert. Die URLs verstecken sich in DNS-Einträge.

Der Angreifer hatte Zugriff auf die DNS-Einträge zweier separater Domänen und erzeugte für jede eine Unterdomäne. Doch ließ er diese Unterdomänen nicht auf eine bestimmte IP-Adresse zeigen, sondern speicherte Text in den DNS-Einträgen und startete Abfragen nach TXT-Records. Um das lokale Blockieren von DNS-Einträgen zu vermeiden, stellte er die Abfragen dirket an öffentliche Google DNS-Server. Der Befehl in Windows könnte lauten:

  • nslookup -querytype=TXT {malicious domain} 8.8.8.8

Jede der Abfragen gibt eine Textzeichenfolge mit einer URL zurück, die auf einen legitimen Cloud-Speicheranbieter zeigt. Einer der Links ging an Dropbox, der andere an Microsofts OneDrive. Für jemand, der den Netzwerkverkehr untersucht, ohne die tatsächlichen Dateien zu prüfen, zeigt sich ein Paar aus DNS-Abfragen an Googles öffentlche DNS-Server und eine Datei, die aus den beiden wohlbekannten Clouddiensten heruntergeladen wird. Nichts Verdächtiges also!

Command and Control

Über Tor- und Polipo-Software erfolgt der Zugriff auf die C&C-Server mit einer URL, die zwei GUIDs nutzt:

  • {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Seltsamerweise liefern die C&C-Server eine profane Nachricht auf Deutsch, wenn auf obige Website mit fehlerhaften GUIDs zugegriffen wird:

Bild 1. C&C-Server

Sind jedoch die Felder korrekt, so wird eine PowerShell (VBS_CRIGENT.LK oder VBS_CRIGENT.SM) heruntergeladen, die den erforderlichen Code beinhaltet, um die bösartigen Routinen auszuführen. Beim ersten Mal werden die folgenden Informationen über das Nutzersystem an den C&C-Server zurückgegeben:

  • IP-Adresse
  • Landescode
  • Namen des Landes
  • Regionaler Code
  • Regionsname
  • Stadt
  • Postleitzahl
  • Breitengrad
  • Berechtigungen für das Nutzerkonto
  • Betriebssystemversion
  • Betriebssystemarchitektur
  • Domäne
  • Betriebssystemsprache
  • Microsoft Office-Anwendungen
  • Microsoft Office-Versionen

Außerdem kommuniziert das Skript bei jedem Systemstart mit dem Server und wartet auf Befehle. Auch werden Ports für Polipo und Tor geöffnet.

Infizieren von Word- und Excel-Dateien

Das PowerShell-Skript enthält auch den benötigten Code, um Word- und Excel-Dokumente mit dem bösartigen CRIGENT-Code zu infizieren. PowerShell-Skripts ändern dafür Registry-Einträge, die die Sicherheitskonfiguration von Microsoft Office „lockern“.

Bild 2. Skript modifiziert Registry-Eintgräge

Danach sucht es in allen Laufwerken nach allen Word- beziehungsweise Excel-Dokumenten (*.DOC, *.DOCX, *.XLS und *.XLSX). Es deaktiviert auch die „Alerts“ und „Makros“ der Dateien, um zu verhindern, dass die Nutzer benachrichtigt werden.

Jede vorhandene .DOCX- und .XLSX-Datei wird in die früheren .DOC- und .XLS-Formate umgewandelt und die Originale gelöscht. Ein Visual Basic-Modul (das das bösartige Makro enthält) wird erstellt und zusammen mit allen .DOC- und .XLS-Dateien gespeichert. Das Öffnen irgendeiner dieser Dateien startet die Infektionskette erneut.

Bild 3. Skript sucht nach Word-/Excel-Dateien

Abgesehen davon, dass die Sicherheit des infizierten Systems auf dem Spiel steht, infiziert CRIGENT auch unter Umständen kritische Dokumente, die infolge ihres „neuen“ Formats wertlos sind.

Aufspüren von CRIGENT

Es gibt mehrere Möglichkeiten, CRIGENT in einem Netzwerk zu entdecken. Bereits das Vorhandensein von Tor und Polipo innerhalb eines internen Netzwerks sollte Misstrauen wecken. Wie Tor-Verkehr erkannt und blockiert wird, können Administratoren hier nachlesen.

Ein weiteres Indiz sind die Datei-Extensions .DOC und .XLS, die es als Default Dateityp nicht mehr gibt. Die Versionen von Office 2007 an nutzen standardmäßig .DOCX und .XLSX, unterstützen allerdings auch die früheren Dateiformate. Eine größere Anzahl Dateien mit dem alten Format ist dennoch ungewöhnlich.

Trend Micro hat in den Sicherheitsvorhersagen für 2014 bereits festgehalten, dass Cyberkriminelle häufiger auf Tor zurückgreifen werden, um ihre Aktivitäten zu verschleiern. Das trifftt auch in diesem Fall zu. Trend Micro kann vor dieser Schadsoftware schützen, denn die Lösungen blockieren alle damit in Zusammenhang stehenden URLs und erkennen auch die darin eingesetzte Schadsoftware.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*