Diese Woche beobachteten die Proofpoint Forscher mehrere beachtenswerte Veränderungen in den Makros, die ein Akteur verwendet, den wir TA530 nennen, und der bereits früher in Verbindung mit breit angelegten, personalisierten Malware-Kampagnen [4][5] untersucht wurde. Diese neue Kampagne umfasst neue, schwer erfassbare Makros und zeigt eine fortlaufende Weiterentwicklung ihrer Tools und Techniken, die eine Anpassung des Angreifers an sich weiterentwickelnde Abwehrmaßnahmen und die verbreitete Nutzung von Sandboxen in der Computer Security demonstriert.
Wir haben zuvor beschrieben, auf welche Weise das Makro beim Dokumentenangriff die öffentliche IP-Adresse des infizierten Geräts mithilfe von MaxMind [3] ausfindig macht und die Anzahl der jüngst aufgerufenen Microsoft Word Dateien prüft. Am 19. September beobachteten wir mehrere Ergänzungen zu diesen Sandbox-Umgehungsprüfungen. Durch diese Prüfungen erreicht das Makro folgendes:
- Prüft, ob der Dateiname vor der Erweiterung nur Hexadezimalzeichen enthält.
- Stellt mithilfe von Application.Tasks.Count [1] sicher, dass mindestens 50 laufende Prozesse mit einer grafischen Oberfläche vorhanden sind.
- Schließt mithilfe von Application.Tasks [2] eine Prozess-Ausschlussliste ein.
- Erweitert die Liste der geprüften Zeichenfolgen mit MaxMind.
Eine weitere beachtenswerte Veränderung ist die Nutzung einer Painted Event [3] Kontrolle namens Img_Painted, die ausgeführt wird, wenn das Dokument geöffnet wird. Es handelt sich um eine ActiveX-Kontrolle unter den größeren „Microsoft Inkpicture Control“-Optionen. Diese Methode unterscheidet sich von den üblichen Autorun-Optionen für die Makroausführung, wie Document_Open(). Ende August beschrieb Joe Security ein ähnliches Makro, das eine vergleichbare Technik anwendete.
E-Mail-Kampagne
Am 19. September sendete TA530 gemäß ihres üblichen Verhaltens [2] personalisierte Nachrichten (Abb. 1) unter Nutzung von Unternehmensnamen, Personennamen, Titeln usw., um die Word Dokumente (Abb. 2) zu liefern. Der Dokumentenköder verwendet eine ziemlich allgemeine, doch übliche Methode, um den Benutzer dazu zu verleiten, die Makros zu aktivieren, mit der Nachricht: „Dieses Dokument ist vor unbefugter Nutzung geschützt. Aktivieren Sie ‚Bearbeitung und Inhalt‘, um den Inhalt zu lesen.“ Bei dieser Kampagne ist die gelieferte Nutzlast „30030“, deren Infizierung [6] auf australische Bankseiten ausgerichtet ist.
Abb. 1: E-Mail liefert das schädliche Dokument
Abb. 2: Schädliches Dokument mit Makros
Makroanalyse
Die erste einer Reihe neuer Prüfungen im Makro sucht nach dem Microsoft Word-Dateinamen selbst. Sie prüft, ob der Dateiname vor der Erweiterung nur Hexadezimalzeichen enthält (aus dem Satz „0123456789ABCDEFabcdef“). In diesem Fall infiziert das Makro das Opfer nicht. Dies kommt bei Dateien, die an Sandboxen gesendet wurden, häufig vor, da diese oft SHA256 oder MD5 Hash als Dateinamen verwenden, die nur Hexadezimalzeichen verwenden. Sind noch andere Zeichen vorhanden, wie andere Buchstaben nach „f“, Unterstrich oder Leerstellen, dann wird die Prüfung als erfolgreich angesehen und das Makro wird fortgesetzt. Zusätzlich müssen die Dateinamen einen „.“ enthalten, dem eine Erweiterung folgt.
Abb. 3: Prüfung nach Hexadezimalzeichen im Dateinamen
Die zweite Prüfung in diesem Makro sorgt dafür, dass mindestens 50 laufende Prozesse mit einer grafischen Benutzeroberfläche über die Microsoft Word-Eigenschaft Application.Tasks.Count [1] vorhanden sind. Eine kurze Prüfung eines realen Systems zeigt, dass mehr als 50 Aufgaben üblich sind, während Sandbox-Systeme mit so wenigen wie möglich optimiert sind.
Abb. 4: Prüfung nach Anzahl laufender Prozesse
Das Makro führt dann mithilfe der Microsoft Word-Eigenschaft Application.Tasks [2] eine fallintensive Prüfung gegen eine Ausschlussliste von Prozessen durch, die auf dem Hostsystem ausgeführt werden können. Die Prozessnamen auf der schwarzen Liste umfassen derzeit übliche Analyse-Tools und andere Prozesse, die in einer Sandbox-Umgebung möglicherweise ausgeführt werden: „fiddler“, „vxstream“, „vbox“, „tcpview“, „vmware“, „process explorer“, „vmtools“, „autoit“, „wireshark“, „visual basic“ und „process monitor“.
Abb. 5: Prüfung gegen Prozess-Ausschlussliste
In unserem vorhergehenden Post zeigten wir, dass dieses Makro MaxMind, ein wohlbekannter Geopositionsdienst, abfragt und seine Ergebnisse überprüft. Diese spezielle Kampagne zielt auf Australien ab, daher baut das aktualisierte Makro eine Prüfung ein, die sicherstellt, dass es in der richtigen Region ausgeführt wird. Das Makro prüft insbesondere, dass die Ergebnisse „OCEANIA“ (Ozeanien) umfassen, eine Region, die sich auf Inseln des tropischen Pazifik sowie auf Australien konzentriert.
Abb. 6: MaxMind-Abfrage und Prüfung, ob sie die Zeichenfolge „OCEANIA“ enthält.
Und schließlich werden die Ergebnisse der MaxMind Abfrage gegen eine (fallintensive) erweiterte Liste von Netzwerken auf der schwarzen Liste geprüft. Zeigt das MaxMind-Ergebnis, dass dieses Dokument in einem Netzwerk geöffnet wurde, das einem dieser Anbieter gehört, wird die Maschine nicht infiziert. Logischerweise umfasst diese Liste viele Sicherheitsanbieter, doch interessanterweise werden auch keine Netzwerke infiziert, die zu „Krankenhaus“, „Universität“, „Schule“, „Wissenschaft“, „Armee“, „Veteranen“, „Regierung“ und „Nuklear“ gehören. Wir sind uns zwar der genauen Gründe hierfür nicht bewusst, es ist jedoch plausibel, dass dies ein Versuch ist, die Entdeckung durch Forscher und Militär oder staatliche Einrichtungen einzuschränken.
Abb. 7: Schwarze Liste der Netzwerk-Einheiten
Fazit
TA530, der Akteur hinter einer Vielzahl groß angelegter, personalisierter Angriffe, baut immer neue Ausweichtechniken in die schädlichen Makros ein, die in den jüngsten Kampagnen verwendet wurden. Die neuesten Techniken, die wir beobachtet haben, beschäftigen sich hauptsächlich damit, die Ausführung von Sandboxsystemen zu verhindern, mit Geopositionierung und der Vermeidung von Netzwerken, die mit Sicherheitsanbietern verbunden sind (sowie akademische, Gesundheits- und staatliche Einrichtungen). In den vergangenen Jahren wurden Malware-Sandboxen ein üblicher Bestandteil der Abwehr, die Organisationen einsetzen, um ihre Benutzer und Daten zu schützen. Wie die Beispiele dieser Analyse zeigen, konzentrieren sich die Bedrohungsakteure bei ihrer Forschung und Innovation auf die Umgehung von Malware-Sandboxen, um der Abwehr ihrer Opfer voraus zu bleiben.
Indicators of Compromise (IOCs – Anzeichen einer Gefährdung)
|
IOC |
IOC-Typ |
Beschreibung |
|
6464cf93832a5188d102cce498b4f3be0525ea1b080fec9c4e12fae912984057 |
SHA256 |
Dokument-Anlage |
|
hxxp://deekayallday[.]com/data/office |
URL |
Heruntergeladene Nutzlast |
|
0b05fb5b97bfc3c82f46b8259a88ae656b1ad294e4c1324d8e8ffd59219005ac |
SHA256 |
Ursnif/Dreambot Loader (von Doc heruntergeladen) |
|
hxxp://62.138.9[.]11/30030u |
URL |
Ursnif-Aktualisierung |
|
hxxp://62.138.9[.]11/vnc32.dll |
URL |
Ursnif VNC |
|
hxxp://62.138.9[.]11/vnc64.dll |
URL |
Ursnif VNC |
|
62.138.9[.]9 |
IP |
Ursnif Loader C2 |
|
62.75.195[.]103 |
IP |
Ursnif C2 |
|
62.75.195[.]117 |
IP |
Ursnif C2 |
|
ca-tda[.]com |
Domäne |
Ursnif Webinjects C2 |
|
au-tdc[.]com |
Domäne |
Ursnif Webinjects C2 |
|
au-tda[.]com |
Domäne |
Ursnif Webinjects C2 |
|
109.236.87[.]82:443 |
IP |
Ursnif Socks |
Verweise:
[1]https://msdn.microsoft.com/en-us/library/office/ff198203.aspx
[2]https://msdn.microsoft.com/en-us/library/office/ff839740.aspx
[3]https://msdn.microsoft.com/en-us/library/aa510893.aspx
[4]https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs
[5]https://www.proofpoint.com/us/threat-insight/post/malicious-macros-add-to-sandbox-evasion-techniques-to-distribute-new-dridex
[6]https://www.proofpoint.com/us/threat-insight/post/ursnif-variant-dreambot-adds-tor-functionality