Allgemein IT Security WWW

Phishingvirus analysiert

Letzte Woche habe ich nach meiner Sklavenarbeit eine SMS auf meinem Telefon vorgefunden und mich etwas gewundert. Wer schreibt denn heute noch SMS? Es war Ernst, Susis Grossvater. Er hatte Probleme mit seinem Postfinancelogin und wollte meine Hilfe.

Nach einem kurzen Anruf waren bei mir alle Alarmglocken am bimmeln. Er hatte eine E-Mail von Postfinance erhalten und ca. seit dann funktioniert sein Postfinance Login nicht mehr. Für mich war klar hier ist etwas fishy!

Susi und ich sind beide gleich ins Auto gehobst und haben uns das Thema angeschaut. Ich liess mir von Ernst zeigen was er genau getan hatte und welches E-Mail er meinte. So sah das aus:
01_Virenmail

Anschliessend war für mich klar, was los war, in diesem Word-Dokument war mit hoher wahrscheinlichkeit ein Virusdownload integriert. Ich entschied mich zuerst mit den Banken von Ernst Kontakt auf zu nehmen und ab zu sichern dass noch nicht passiert ist. Diese haben mir klar Befehl erteilt den PC neu auf zu setzen, da man nicht sicher sein kann ob der Virus weggeräumt wurde. Da sein Computer bereits ein stolzes alter hatte, habe ich Ihm ein neues Gerät besorgt und anschliessend die Chance genutzt mir an zu schauen wie das genau ablief mit dem Virus.

Userinteraktion
Wie im Bild oben gezeigt, hat alles damit begonnen, dass der Benutzer mit einem E-Mail auf eine Rechnung hingewiesen wurde. Zwar hat der Text nur Richtung E-Bankingportal gewiesen aber nichts von der Rechnung erwähnt. Trotzdem wird der User dazu verleitet die Rechnung zu öffnen. Da der Rechner sowieso schon den Virus hatte, habe ich mir angeschaut was im Word drin ist. Da es ein .docx war, war ich davon überzeugt, dass kein Macro integriert wurde da Macros nur noch in .docm Files funktionieren. Folgendes habe ich vorgefunden:
InhaltVirenDokument1
Nun wird es etwas peinlich für Ernst, obwohl es sich hier um Word 2003 handelte, hat Word das Problem erkannt und Ernst noch darauf hingewiesen…
InhaltVirenDokument2
Anscheinend war dies nicht eine ausreichende Warnung, nach dem Klick auf Ja erschien wiederum ein weiteres Fenster welches zum öffnen eines Links aufforderte:
InhaltVirenDokument3
Nach dem Klick auf “öffnen” ploppte kurz ein Powershell-Fenster auf und anschliessend war es alles was der User tun musste.

Vireninstallation
Meine bisherigen Erfahrungen mit solchen “Word-Viren” war dass diese nur als Download-Esel für den effektiven Virus dienen. Dies war auch bei diesem Virus der Fall. Das im Word Dokument integrierte File war eine .LNK Datei also ein Shortcut. Das “Target” des Links war dabei aber Powershell.
PowershellBefehlEncoded
Ich bin selber noch nie einem “EncodedCommand” bei Powershell begegnet und musste dies Googeln.
Wie sich herausstellte, handelt es sich hierbei um normale Unicode Powershell Befehle welche in Base64 codiert wurden. So ist es möglich, in einem Link ein recht Langes Powershell Script zu integrieren. Wie man beim Code oben Sehen kann, ist der Windows Explorer nicht Fähig Target-Paths in LNK Dateien welche länger als 260 Zeichen lang sind dar zu stellen. Das heisst ich hatte gar nicht das ganze encodierte Script zur Verfügung (da muss ich mich mal noch hinter klemmen, verschiedene Versuche haben es mir nicht ermöglicht den ganzen Code raus zu holen), konnte aber trotzdem hilfreiche Informationen aus dem decodierten Script gewinnen:
PowershellBefehldecoded
Ich wusste nun ich sollte in C:\Users\Ernst\AppData\Local nach einem File f.js suchen. Und tatsächlich, ich habe so eine Datei gefunden. Die Datei enthält über 54’000 Buchstaben. Ich war noch nicht fähig raus zu finden was das JS genau macht, dies werde ich mir aber nochmal anschauen.

Es blieb mir also nichts anderes übrig als offensichtliche Veränderungen am System zu finden anstatt im Script zu erkennen was alles gemacht wurde.

System Impact
Der erste Impact den ich sofort vermutete und der sich schnell bestätigte war ein Proxy der gesetzt worden war:
ProxySetting
ergibt folgende URL wenn man es rauskopiert
ProxyURL
Der Link zeigt auf auf einen Server im DeepWeb, dies erkennt man an der “onion” Topleveldomain. Zusätzlich wurde die öffentliche IP des Internetrouter (von Ernsts Internetrouter, in dem Bild Anonymisiert) an ein JS welches auf dem Server läuft übergeben. Dies dient entweder als eine Sicherheitsfunktion oder als “personalisierung” um klar zu wissen welche Informationen die auf dem Server aufschlagen zu welchem Opfer gehören. Wie sich herausstellte, wurde der Proxy dafür benutzt um eine Phishing Seite des Postfinanceportal an Ernst zu liefern wenn er “www.postfinance.ch” aufrufen wollte. Leider habe ich keinen Printscreen vom Portal gemacht. Das Portal wurde perfekt nachgebaut, nur leider das alte Portal welches vor ca. 6 Monaten ersetzt worden war. Wenn die “bösen Jungs” es irgendwie hätten einrichten können, dass man nach der eingabe der Logindaten auf ihrem Portal wieder auf dem normalen Postfinance Portal landet, hätte man kaum rausfinden können dass man hier auf einer Phishingseite gelandet ist. Wenn das Portal denn aktuell gewesen wäre!

Auf dem Portal konnte man seine Postfinance Logindaten eingeben, anschliessend wurde eine Sanduhr angezeigt welche für 3 Minuten lief um dann in einem Fehler zu landen welcher das Opfer wieder auf das initiale Portal brachte. Ernst hat mir noch erzählt, dass er einmal nach der Telefonnummer gefragt wurde. Ich kann mir vorstellen, dass das Portal auch dazu genutzt wird, die Sicherheitsfragen des Opfers heraus zu finden quasi als Versuch eines Social Engineering um sich den Zugang zum Konto langfristig sichern zu können.

Ich hoffe diese Infos zeigen einigen von euch mit welchen bescheidenen Mitteln solche Cracker ein effektives Phishing aufbauen können.

P.S: Für alle die sich fragen wieso ich Code als Bild eingefügt habe: Mein Hoster erlaubt die meisten Code-Bits welche ich zu posten Versuchte nicht deshalb musste ich diese als Grafik integrieren.