\n
![\"01_Virenmail\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/01_Virenmail-300x99.png\")
<\/p>\nLetzte Woche habe ich nach meiner Sklavenarbeit eine SMS auf meinem Telefon vorgefunden und mich etwas gewundert. Wer schreibt denn heute noch SMS? Es war Ernst, Susis Grossvater. Er hatte Probleme mit seinem Postfinancelogin und wollte meine Hilfe.<\/p>\n
Nach einem kurzen Anruf waren bei mir alle Alarmglocken am bimmeln. Er hatte eine E-Mail von Postfinance erhalten und ca. seit dann funktioniert sein Postfinance Login nicht mehr. F\u00fcr mich war klar hier ist etwas fishy!<\/p>\n
Susi und ich sind beide gleich ins Auto gehobst und haben uns das Thema angeschaut. Ich liess mir von Ernst zeigen was er genau getan hatte und welches E-Mail er meinte. So sah das aus:
\n<\/p>\n
Anschliessend war f\u00fcr mich klar, was los war, in diesem Word-Dokument war mit hoher wahrscheinlichkeit ein Virusdownload integriert. Ich entschied mich zuerst mit den Banken von Ernst Kontakt auf zu nehmen und ab zu sichern dass noch nicht passiert ist. Diese haben mir klar Befehl erteilt den PC neu auf zu setzen, da man nicht sicher sein kann ob der Virus wegger\u00e4umt wurde. Da sein Computer bereits ein stolzes alter hatte, habe ich Ihm ein neues Ger\u00e4t besorgt und anschliessend die Chance genutzt mir an zu schauen wie das genau ablief mit dem Virus.<\/p>\n
Userinteraktion<\/strong> Vireninstallation<\/strong> Es blieb mir also nichts anderes \u00fcbrig als offensichtliche Ver\u00e4nderungen am System zu finden anstatt im Script zu erkennen was alles gemacht wurde.<\/p>\n System Impact<\/strong> Auf dem Portal konnte man seine Postfinance Logindaten eingeben, anschliessend wurde eine Sanduhr angezeigt welche f\u00fcr 3 Minuten lief um dann in einem Fehler zu landen welcher das Opfer\u00a0wieder auf das initiale Portal brachte. Ernst hat mir noch erz\u00e4hlt, dass er einmal nach der Telefonnummer gefragt wurde. Ich kann mir vorstellen, dass das Portal auch dazu genutzt wird, die Sicherheitsfragen des Opfers heraus zu finden quasi als Versuch eines Social Engineering um sich den Zugang zum Konto langfristig sichern zu k\u00f6nnen.<\/p>\n Ich hoffe diese Infos zeigen einigen von euch mit welchen bescheidenen Mitteln solche Cracker ein effektives Phishing aufbauen k\u00f6nnen.<\/p>\n P.S: F\u00fcr alle die sich fragen wieso ich Code als Bild eingef\u00fcgt habe: Mein Hoster erlaubt die meisten Code-Bits welche ich zu posten Versuchte nicht deshalb musste ich diese als Grafik integrieren.<\/p>\n","protected":false},"excerpt":{"rendered":" Letzte Woche habe ich nach meiner Sklavenarbeit eine SMS auf meinem Telefon vorgefunden und mich etwas gewundert. Wer schreibt denn heute noch SMS? Es war Ernst, Susis Grossvater. Er hatte Probleme mit seinem Postfinancelogin und wollte meine Hilfe. Nach einem kurzen Anruf waren bei mir alle Alarmglocken am bimmeln. Er hatte eine E-Mail von Postfinance…<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,9,10,5,11],"tags":[],"class_list":["post-156","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-it","category-security","category-transfer","category-www"],"_links":{"self":[{"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=\/wp\/v2\/posts\/156","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=156"}],"version-history":[{"count":0,"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=\/wp\/v2\/posts\/156\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=156"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=156"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.raphaeleymann.ch\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=156"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nWie im Bild oben gezeigt, hat alles damit begonnen, dass der Benutzer mit einem E-Mail auf eine Rechnung hingewiesen wurde. Zwar hat der Text nur Richtung E-Bankingportal gewiesen aber nichts von der Rechnung erw\u00e4hnt. Trotzdem wird der User dazu verleitet die Rechnung zu \u00f6ffnen. Da der Rechner sowieso schon den Virus hatte, habe ich mir angeschaut was im Word drin ist. Da es ein .docx war, war ich davon \u00fcberzeugt, dass kein Macro integriert wurde da Macros nur noch in .docm Files funktionieren. Folgendes habe ich vorgefunden:
\n![\"InhaltVirenDokument1\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/InhaltVirenDokument1-300x90.png\")
\nNun wird es etwas peinlich f\u00fcr Ernst, obwohl es sich hier um Word 2003 handelte, hat Word das Problem erkannt und Ernst noch darauf hingewiesen…
\n![\"InhaltVirenDokument2\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/InhaltVirenDokument2-300x41.png\")
\nAnscheinend war dies nicht eine ausreichende Warnung, nach dem Klick auf Ja erschien wiederum ein weiteres Fenster welches zum \u00f6ffnen eines Links aufforderte:
\n![\"InhaltVirenDokument3\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/InhaltVirenDokument3-300x235.png\")
\nNach dem Klick auf “\u00f6ffnen” ploppte kurz ein Powershell-Fenster auf und anschliessend war es alles was der User tun musste.<\/p>\n
\nMeine bisherigen Erfahrungen mit solchen “Word-Viren” war dass diese nur als Download-Esel f\u00fcr den effektiven Virus dienen. Dies war auch bei diesem Virus der Fall. Das im Word Dokument integrierte File war eine .LNK Datei also ein Shortcut. Das “Target” des Links war dabei aber Powershell.
\n![\"PowershellBefehlEncoded\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/PowershellBefehlEncoded-300x95.png\")
\nIch bin selber noch nie einem “EncodedCommand” bei Powershell begegnet und musste dies Googeln.
\nWie sich herausstellte, handelt es sich hierbei um normale Unicode Powershell Befehle welche in Base64 codiert wurden. So ist es m\u00f6glich, in einem Link ein recht Langes Powershell Script zu integrieren. Wie man beim Code oben Sehen kann, ist der Windows Explorer nicht F\u00e4hig Target-Paths in LNK Dateien welche l\u00e4nger als 260 Zeichen lang sind dar zu stellen. Das heisst ich hatte gar nicht das ganze encodierte Script zur Verf\u00fcgung (da muss ich mich mal noch hinter klemmen, verschiedene Versuche haben es mir nicht erm\u00f6glicht den ganzen Code raus zu holen), konnte aber trotzdem hilfreiche Informationen aus dem decodierten Script gewinnen:
\n![\"PowershellBefehldecoded\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/PowershellBefehldecoded-300x18.png\")
\nIch wusste nun ich sollte in C:\\Users\\Ernst\\AppData\\Local nach einem File f.js suchen. Und tats\u00e4chlich, ich habe so eine Datei gefunden. Die Datei enth\u00e4lt \u00fcber 54’000 Buchstaben. Ich war noch nicht f\u00e4hig raus zu finden was das JS genau macht, dies werde ich mir aber nochmal anschauen.<\/p>\n
\nDer erste Impact den ich sofort vermutete und der sich schnell best\u00e4tigte war ein Proxy der gesetzt worden war:
\n![\"ProxySetting\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/ProxySetting.png\")
\nergibt folgende URL wenn man es rauskopiert
\n![\"ProxyURL\"](\"http:\/\/thinkadvantage.ch\/wp-content\/uploads\/2017\/01\/ProxyURL-300x14.png\")
\nDer Link zeigt auf auf einen Server im DeepWeb, dies erkennt man an der “onion” Topleveldomain. Zus\u00e4tzlich wurde die \u00f6ffentliche IP des Internetrouter (von Ernsts Internetrouter, in dem Bild Anonymisiert) an ein JS welches auf dem Server l\u00e4uft \u00fcbergeben. Dies dient entweder als eine Sicherheitsfunktion oder als “personalisierung” um klar zu wissen welche Informationen die auf dem Server aufschlagen zu welchem Opfer geh\u00f6ren. Wie sich herausstellte, wurde der Proxy daf\u00fcr benutzt um eine Phishing Seite des Postfinanceportal an Ernst zu liefern wenn er “www.postfinance.ch” aufrufen wollte. Leider habe ich keinen Printscreen vom Portal gemacht. Das Portal wurde perfekt nachgebaut, nur leider das alte Portal welches vor ca. 6 Monaten ersetzt worden war.\u00a0Wenn die “b\u00f6sen Jungs” es irgendwie h\u00e4tten einrichten k\u00f6nnen, dass man nach der eingabe der Logindaten auf ihrem Portal wieder auf dem normalen Postfinance Portal landet, h\u00e4tte man kaum rausfinden k\u00f6nnen dass man hier auf einer Phishingseite gelandet ist. Wenn das Portal denn aktuell gewesen w\u00e4re!<\/p>\n