Das Geheimnis der Feldlazaretters7

Was haben Lacerto, Sultetto, Muletto, Alberto und eine ModAktion gemeinsam? Ich habe keine Ahnung.

Aber ich werde es gerne erklären, so bald ich das hier verstanden habe:

Oder besser gesagt, das:

Wenn man’s genau nimmt, das:

Im Decompiler sieht es nicht besser aus:

Also vermutlich nie.

Man beachte rechts den Scrollbalken, das ist nur ein kurzer von insgesamt acht langen Funktionsblöcken, Bibliotheksfunktionen nicht mitgezählt.

Ich erhielt diese Datei getarnt als Java-Download in einer angehängten HTML-Datei, welche per META REFRESH (hiermit werden eigentlich in Webseiten normale Weiterleitungen programmiert) einen Quasi-Driveby-Download herbeiführt. Nachfolgend der komplette HTML-Block mit Url, welche ich aus Sicherheitsgründen abändere:

<META HTTP-EQUIV=’REFRESH‘ CONTENT=’2; URL=https:// onedrive.live.com/download? cid=2A7D***F5AC***7&resid=2A7D***F5AC ***%21107&authkey=AJHfF0iSSqXb_kA‘>

Die Java-Datei hatte die Trojaner als AES-verschlüsselte Daten gepackt, der Key belief sich auf den schlichten String: 03a07c692154b23c – dazu musste ich zunächst das Java-Programm etwas umschreiben, um es nun gefahrlos ausführen zu können, es hätte sich ausserdem sonst geweigert, unter Linux zu starten. Entpackt werden Varianten für Windows und MacOS, Linuxianer gehen leer aus. Ausgepackt wird eine ausführbare Datei (exe bei Windows) mit einem MS-Word Icon als PNG. VirusTotal weiss zum Glück bereits mehr, als ich.

Hash: b8118824e0daa24d5f5675f4920d6a6e1b1df0a8e352f0afa0c0c78c6f678077
(SHA-256)
Dateiname: nullartoYtoRw.exe
(durch meine Modifikation des Javaprogramms nicht mehr der ursprüngliche Name).
Wahrscheinlicher Dateiname: MODAKTION, MODAKTION.exe
(laut VirusTotal)

Die Sache ist relativ eindeutig, es scheint sich dabei sogar um eine Verschlüsselungstrojaner-Geschichte zu handeln. Ich taufe das Programm nach der recht plumpen Phishing-Email auf den Namen „FedEx-Trojaner“, wobei es den bestimmt schon gibt. Die exe wurde in VisualBasic 6.0 geschrieben und läßt sich leider mit .NET Reversern nicht umdrehen. Aber, vorausgesetzt die Schadware läuft in einer VM, das Problem habe ich leider des öfteren, dass dem nicht so  ist, komme ich vielleicht noch um die Reversing-Hölle herum. Ich werde es dann mit einer moderneren Netzwerk- / Eventlog-Analyse versuchen. Leider kann ich meinen Stundenplan für die nächsten Tage noch nicht voraussagen, deshalb ist es zumindest vorläufig an dieser Stelle zuende. Bleiben Sie bitte vorsichtig.

 

 

Manuel Geissinger, zertifizierter IT-Sicherheitsexperte, Webedesigner aus Freiburg, Webentwickler, Administrator und Digitalkünstler.
Ihr freiburger Webentwickler Nr. 1 auf LinkedIn Zertifizierter IT Sicherheits-Experte & Webdesigner auf Xing