SPAM – Back to the roots
Wir bekommen täglich Dutzende von SPAM-Mails. Dass diese Mails nicht immer „harmlos“ sind und wie weit man sie zurückverfolgen kann – in diesem Artikel.
Das Mail
Am 9. September 2014 wurde im Namen von Ricardo.ch nebenstehendes Mail versendet. Auf den ersten Blick brilliert es nicht unbedingt durch übermässig viel Inhalt – interessant ist es trotzdem.
„Bestellung“, „Ricardo“? Passt irgendwie nicht zusammen…
RTF – Datei im Anhang? Höchst suspekt…
Nichtsdestotrotz schlägt weder Google noch Kaspersky Alarm – Grund genug dem Ganzen einmal detailliert auf die Spur zu gehen.
Der Absender
Was bereits „gefühlsmässig“ klar ist bestätigt sich nach einer kurzen Analyse. Ricardo hat mit diesem E-Mail überhaupt nichts zu tun. Im Mailheader („Kopfbereich…“) findet man bereits den ersten Hinweis – abgesendet wurde es in Spanien mithilfe von Outlook Express.
Wenn man noch tiefer gräbt findet man sogar den ungefähren Sendestandort – Madrid. Selbstverständlich wird man den Absender nicht (mehr) am angegebenen Ort finden – er war aber physisch oder digital zumindest einmal an diesem Ort.
Das Ziel
Spätestens an diesem Punkt stellt sich die Frage, was der Absender mit diesem Mail überhaupt bezweckt. Da wir die „Aussenstelle Spanien“ von Ricardo bereits ausgeschlossen haben, bleiben nicht viele Alternativen. Phishing kann ebenfalls ausgeschlossen werden – es würde reichen einen Link anstelle eines angehängten Dokumentes zu senden. All das führt zum Schluss, dass das angehängte RTF – Dokument alles andere als harmlos ist.
Der Köder
Um der Spur weiter zu folgen bleibt in diesem Fall nichts anderes übrig, als das Dokument zu öffnen. Selbstverständlich nicht in einem produktiven System sondern in einer abgesicherten Umgebung. Als Köder dient ein ungepatchtes Windows XP ohne jeglichen Virenschutz aber mit aktivierter Windows – Firewall. Wir wollen es den „Besuchern aus Spanien“ ja nicht zu leicht machen 😉 …
Der Anhang im Detail
Wer jetzt eine ausgeklügelte Masche in fehlerfreiem Deutsch erwartet, wird leider enttäuscht. Das Öffnen des RTF-Dokumentes im Anhang bewirkt nämlich noch nicht viel.
Erst nachdem man einen Doppeklick auf die vermeintliche Quittung durchgeführt hat, wirds interessant.
Das File „entpackt“ sich direkt in die temporären Dateien – an sich noch nichts aussergewöhnliches. Allerdings injiziert es sich zeitgleich in Systemprozesse…
Eine etwas tiefere Analyse zeigt dann – es handelt sich um eine Variante des Schadprogrammes Zbot.Trojan – besser bekannt als Zeus. Primäres Ziel ist das Abgreifen von sensiblen Zugangsdaten wie etwa E-Banking.
Back to the roots?
Bis zu diesem Punkt zeigen sich keine verdächtigen Netzwerkverbindungen. Wieso auch? Es gibt ja noch nichts von Interesse.
Sobald aber ein potentielles E-Banking genutzt wird (im Beispiel: UBS.com) kommt Bewegung in die Sache. Die recht sonderbaren AAAA Records korrespondieren dabei immer mit einem im System erstellten Unterverzeichnis. Die wohl interessanteste Verbindung kommt aber erst gegen Schluss:
8762 426.518167000 192.168.1.1 192.168.1.80 DNS 260 Standard query response 0xaa68 CNAME p-awse-211774586.us-east-1.elb.amazonaws.com A 50.17.221.235 A 50.17.201.27 A 50.17.183.39 A 54.225.68.181 A 23.21.241.69 A 54.225.231.249 A 50.16.245.116 A 50.16.191.165
Da die UBS ihre E-Bankingplattform garantiert nicht auf Servern von Amazon hostet (!!!) ) dürfte unter diesen Adressen bereits die C&C (Command-and-Control-Engine) der Trojaners sein. Die entsprechenden DNS – Einträge verweisen zumindest allesamt auf die Amazon Web Services…
Wieso gerade die Cloud von Amazon bei den „Bad Guys“ so beliebt ist liegt auf der Hand; Günstig, Schnell und praktisch anonym. Fliegt das Ganze auf wird einfach der Account gewechselt und das Spiel beginnt von Neuem.
Toter Winkel
Dieser Versuch an sensible Daten von Schweizer Kunden zu kommen ist zwar von der Aufmachung her eher schlampig gemacht – nichts desto trotz werden ausreichend Schweizer davon betroffen sein, dass sich auch ein solcher „Low Cost“ Angriff lohnt.
Gefährlich scheint hier insbesondere der „tote Winkel“, d.h. der Zeitraum zwischen dem Versenden und Erkennen des Schadprogrammes. Das infizierte RTF-Dokument ging problemlos durch Googles „Cloudfilter“ und passierte auch eine aktuelle Version von Kaspersky. Erst nach ca. 11 Stunden warf Kaspersky eine Warnung aus.
Es lohnt sich also durchaus nicht alles in die Hände von Sicherheitssoftware oder der Cloud zu legen sondern ab und zu auch etwas gesunden Menschenverstand zu gebrauchen- oder?
PS: Das Entfernen des Trojaners ist übrigens relativ leicht – ZBot Killer von Kaspersky erledigt das schnell und schmerzlos 😉
Schreibe einen Kommentar