Wir nähern uns dem entscheidenden Teil, aber es gibt noch mehr zu berichten ;)
Bisher sahen wir stupide Emotet-Mails, deren Text bei genauerem Lesen und ein wenig Nachdenken eigentlich niemanden dazu animieren sollte, auf den Anhang zu klicken und dann auch noch die Makros darin zu aktivieren. Wir erinnern uns: es passiert trotzdem. Daneben gab es aber auch immer wieder gut aufgemachte Phishing-Mail-Wellen, die sogar auf einzelne Universitäten oder Unternehmen angepasst wurden oder im Privat-Bereich natürlich Paypal oder Amazon betrafen. Neu war dieses Jahr, dass beides kombiniert wurde. Texte von Emotet-Mails wurden an Unternehmen, Branchen, Marken oder auch betreffende Hobbies angepasst.
Dazu wurde auch Bezug auf alte versendete Mails genommen, die wahrscheinlich von
geknackten E-Mail-Konten oder verseuchten Computern abgezogen wurden.
Für Outlook gibt es sogar eine schädliche VBS-Erweiterung, die dauerhaft Daten
direkt aus dem Mail-Programm abzieht.
(https://www.bleepingcomputer.com/news/security/gamaredon-hackers-use-outlook-macros-to-spread-malware-to-contacts/)
Ein Beispiel für diese Mails wäre, dass Studenten von ihrem scheinbaren Dozenten ein aktualisiertes Formular zur Prüfungsanmeldung bekamen, welches natürlich ein Word-Dokument mit Emotet war versehen mit einer Ausrede, warum Makros unbedingt aktiviert werden müssten. Natürlich wäre die manipulierte Mail für das Anti-Spam-System erkennbar gewesen. Leider gibt es aus Sicht des Mail-Admins häufig nicht genau spezifizierbare Ausnahmen, die einer strengeren Prüfung solcher Mails zuwider laufen. Wir hätten viel gewonnen, könnten wir hier restriktiver agieren.
Ein Seiteneffekt dieser Kampagnen wurden auch Emotets, die in Zip-Dateien mit Passwort verpackt wurden. Das Passwort wurde für jeden Anhang frisch generiert, ja sogar die Word-Datei mit Makro Virus wurde erst Sekunden vor dem Mail-Versand erstellt. Die Zip-Datei kam in einer Variation, die Python mit seiner Zip Library nicht entpacken konnte, Windows aber schon. Komisch: Oletools, in Python implementiert, unterstützt ja auch die Analyse von Office-Dokumenten in Zip-Archiven mit angegebenem Passwort.
Dieses Mal konnten uns einige Rspamd-Funktionen helfen, die verschlüsselten Zip- Dateien und das Passwort zu erkennen. Aber ich glaube, wir brauchen für die Zukunft bessere Tools. Wir arbeiten daran.
Office Dateien sind aber auch in der Lage externe Dateien einzubinden. So z.B. als Theme Template oder via DDE. Es muss also nicht einmal der Dropper im angehängten File wirklich enthalten sein. Office und VBA bieten scheinbar eine unüberschaubare Bandbreite an Möglichkeiten, schädlichen Code auf ein System zu bringen, wenn der Benutzer nur einen kleinen Moment nicht aufpasst und zu gutgläubig ist. Das Prinzip von Emotet und Co. wird uns wohl noch lange erhalten bleiben, denn auch das PDF-Format hat mit seiner JavaScript Unterstützung ähnliche Möglichkeiten.
Autor: Carsten Rosenberg, Linux-Consultant, Heinlein Support
Hier nochmal alle bisher erschienen Artikel aus unserer Reihe "Emotet mit Rspamd und Oletools bekämpfen" zum Nachlesen:
Kommentare
4 Antworten zu # Emotet mit Rspamd und Oletools bekämpfen – die vielen kleinen Tricks (Teil 4)
Wie genau konnte denn das Passwort erkannt und übermittelt werden?
Bisher dachte ich die OleTools können nur Bruteforce mit bekannten Standardpasswörtern wie 1234 , redvelvet und Co.
Hat man die Unzulänglichkeiten der Python Library behoben für die Zukunft?
Gibt es bei PDF nicht die Möglichkeit Javascript und Bekannte Exploit Objekte zu entfernen und Damit die Gefährlichkeit schon im Keim zu ersticken?
Die PW-Zips haben wir gar nicht mit Oletools gescannt. Aber man könnte olevba auch eine PW-Liste übergeben. Aber das sieht unser Protokoll derzeit gar nicht vor. Wir haben also eher auf das Zip mit Doc File + deren Namen, einen Passworttrigger und typische SPAM Merkmale gematcht. Unschön aber funktionierte.
Wie wir das bald besser machen, stell ich auf der CLT vor ;)
Ja, man könnte auch Makros aus den Dateien entfernen.
Aber warum sollte ich Dateien mit Exploit Code säubern? Nicht nur verändere ich die Mail, was in vielen Fällen verboten ist, ich stelle im Spam Fall den Leuten unerwünschte Mails zu oder wenn es ein False Positive ist ein wahrscheinlich unbrauchbares Dokument.
Bis auf ein paar Webservices, die nicht mit Bounces umgehen können, ist ein Reject immer auch ein Zeichen an den Absender, dass das so nicht gewünscht ist.