Nebezpečná příloha Emailu

TEraSofT

Nebezpečná příloha Emailu
« kdy: 27. 11. 2016, 21:54:08 »
Dnes jsem obdržel dva emaily s přílohou .js
Neví někdo co tyto skripty provádí?

- http://pastebin.com/ZKW7tq1m
- http://pastebin.com/3RNpi4n1


Sten

Re:Nebezpečná příloha Emailu
« Odpověď #1 kdy: 27. 11. 2016, 22:47:01 »
Jeden spustí nějaký ActiveX objekt, druhý cmd.exe. V Linuxu tedy moc fungovat nebudou :D

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #2 kdy: 27. 11. 2016, 23:06:39 »
Hlavne kdyby lidi pouzivali nejake normalni mailery, ktere umi akorat text, nejvyse trochu html, tak by nefungovaly nikde.

Sten

Re:Nebezpečná příloha Emailu
« Odpověď #3 kdy: 27. 11. 2016, 23:17:55 »
Hlavne kdyby lidi pouzivali nejake normalni mailery, ktere umi akorat text, nejvyse trochu html, tak by nefungovaly nikde.

Ono se to nespustí přímo v e-mailové aplikaci. Je to v příloze v ZIPu jako „sken faxu“ nebo „faktura“ a uživatel to musí sám spustit.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #4 kdy: 27. 11. 2016, 23:41:25 »
Aha. Ti kyberzlocinci musi byt dost zoufali, kdyz uz se nemuzou ani spolehnout na nejakou chybu v Utlouku.


ms

Re:Nebezpečná příloha Emailu
« Odpověď #5 kdy: 28. 11. 2016, 07:26:42 »
Typicky uzivatel utlouku ti otevre/spusti jakoukoli prilohu, zejmena takove u kterych je na prvni pohled zrejme ze muze byt neco v neporadku.

Takze oni nejsou zoufali, jen vyuzivaj patricne dovednosti objeti ;)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #6 kdy: 28. 11. 2016, 09:32:56 »
Tedy kdyz ti kyberzlocinci ted musi jeste kazdeho objimat, tak vybudovani botnetu musi byt pekna fuska. A ty letenky bych platit nechtel. Doufam, ze se to omezi na trojiteho Chrusceva a na brezneviky uz nedojde.

ByCzech

  • *****
  • 1 826
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #7 kdy: 28. 11. 2016, 11:37:10 »
Jeden spustí nějaký ActiveX objekt, druhý cmd.exe. V Linuxu tedy moc fungovat nebudou :D

To první přesně spustí:

scripting.fileSystemobject')["GetFolder"]('C:\\\\')['type']['length'] > 1

a jestli tomu dobře rozumím (nechce se mi věnovat tolik času průzkumem) a vykonává to nad tím nějaký kód, který je schovaný v tom obfuskovaném kódu v proměnných

Kód: [Vybrat]
unovhutd, ubnuzmotn, pzadow
ale to už se mi skládat přes regexpy nechce. Takže to asi vyvádí něco se soubory na disku C:.

A to druhé ne že spouští cmd.exe, ale přes cmd.exe spouští něco jiného (parametr /c). Taky tam je dobře vidět, že to opět používá VBScript funkce jako
Kód: [Vybrat]
Scripting.FileSystemObject
ADODB.Stream
WScript.Shell
MSXML2.XMLHTTP

dále to používá soubor z netu z adresy: http://www.czetcoola.top/admin.php?f=2.dat, podle začátku souboru "MZÿÿ¸@Ⱥ´   Í!¸LÍ!This program cannot be run in DOS mode." to vypadá na nějakou Windows binárku (asi to spouští přes ten cmd.exe. Také je vidět, že to pracuje s lokálními daty (něco čte, něco zapisuje, něco čte z netu)....

Takže bych řekl, že to budou asi nějaké užitečné administrační utility. To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

Re:Nebezpečná příloha Emailu
« Odpověď #8 kdy: 28. 11. 2016, 14:00:45 »
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...

ByCzech

  • *****
  • 1 826
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #9 kdy: 28. 11. 2016, 15:42:18 »
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

První soubor:

Z 58 antivirových řešení ho detekuje jako hrozbu jen 7 (de-facto jen 6, McAfee je tam ve dvou různých verzích, klasický a Web GW edice). Ze zbývajích 51 se 6 vůbec neobtěžuje soubor s takovou příponou skenovat, ostatní si myslí, že je soubor v pořádku.
Ze známých AV řešení ho detekují: ESET-NOD32, F-Prot, McAfee.
Naopak ho nedetekují známá AV řešení jako: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, F-Secure, Kaspersky, Malwarebytes, Microsoft Defender ;D, Panda, Sophos, Symantec, TrendMicro, Zoner.

Druhý soubor:

Z 58 detekuje 7. Šest se vůbec neobtěžuje. Zajímavé je, že od McAfee jej detekuje jen standardní, ta Web GW edice ne.
Ze známých ho detekují: DrWeb, ESET-NOD32, Kaspersky, McAfee, Sophos.
Známé AV, které toto za hrozbu nepovažují: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, F-Prot, F-Secure,

A do třetice ta win binárka, co si ta druhá brebera tahá z netu (2.dat):

Z 58 jej detekuje 6. Tady je zajímavostí, že ty co ho detekují to chytají heuristikou a dle informací z netu se vyskuje hromada false-positive detekcí, takže uživatel to určitě odklepne tak jako tak :D nebo mu je asi hlášena tato hrozba i u neškodných souborů ;D.
Ze známých hrozbu detekují: Kaspersky a Symantec.
Naopak ho nedetekují známé AV: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET-NOD32, F-Prot, F-Secure, Malwarebytes, McAfee, Microsoft Defender, Panda, Sophos, TrendMicro, Zoner.

Úsměvné (škodolibě) pak je, že z těch co výše zmíněné umí zachytit není u těchhle 3 souborů ani jeden AV, který by uměl zachyti všechny tři :-D. Takže to, že do Windows něco projde je i na takovém malém vzorku nejspíše jistota. A když vezmu, že nejčastější AV co se u uživatelů v ČR můžu setkat jsou AVG, Avast a případně ESET-NOD32, tak se nedivím, že kde se setkám s Woknama, tam očividně nějaká breberka je, ač uživatel tvrdí, že má vše aktualizované a antivir taky ::).

JSH

Re:Nebezpečná příloha Emailu
« Odpověď #10 kdy: 28. 11. 2016, 17:10:57 »
... ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
Nechci být moc cynický, ale daleko překvapivější by bylo, kdyby se ty antiviry chytaly. Být autorem tohohle šmejdu tak si samozřejmě koupím poslední verze všech dostupných antivirů a před releasem svůj produkt patřičně poladím.

Antiviry jsou holt už od začátku v brutální nevýhodě.

ehmmm

Re:Nebezpečná příloha Emailu
« Odpověď #11 kdy: 28. 11. 2016, 18:35:15 »
Kdysi tu byla soutez na nekolik dilu, kdy jsme hledali nejake kody v JPEGu.

Tak tohle by mohl byt dalsi rocnik.

Zjistit, co je v javacriptu.
Druhy level by byl, v jakych windowsech/prohlizeci to funguje a jak tomu spousteni snadno zabranit.
Nejvyssi level by byl zjistit, co je v exaci.


ByCzech

  • *****
  • 1 826
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #12 kdy: 28. 11. 2016, 19:39:13 »
... ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
Nechci být moc cynický, ale daleko překvapivější by bylo, kdyby se ty antiviry chytaly. Být autorem tohohle šmejdu tak si samozřejmě koupím poslední verze všech dostupných antivirů a před releasem svůj produkt patřičně poladím.

Antiviry jsou holt už od začátku v brutální nevýhodě.

Ale to jo, já to říkal každému, že tvůrci malware jsou min o půl kroku napřed, ale to, že např. ten 2.dat soubor je detekovatelný od prosince minulého roku (McAfee) potažmo květen tohoto roku (Symantec), takže žádné 0day hrozby. To už by dávno měly umět všechny AV řešení. Tohle mi spíš přijde, že na to pěkně kašlou.

ByCzech

  • *****
  • 1 826
    • Zobrazit profil
    • E-mail
Re:Nebezpečná příloha Emailu
« Odpověď #13 kdy: 28. 11. 2016, 19:41:51 »
Kdysi tu byla soutez na nekolik dilu, kdy jsme hledali nejake kody v JPEGu.

Tak tohle by mohl byt dalsi rocnik.

Zjistit, co je v javacriptu.
Druhy level by byl, v jakych windowsech/prohlizeci to funguje a jak tomu spousteni snadno zabranit.
Nejvyssi level by byl zjistit, co je v exaci.

Přeskládat pár řetězců z javascriptových polí/promměných a diasseblovat nějakou binárku resp. dekopmilovat,  beztak to bude zase nějaký kompilovaný script kiddie v něčem známém mi nepřijde při dnešních nástrojích jako extra výzva.

j

Re:Nebezpečná příloha Emailu
« Odpověď #14 kdy: 28. 11. 2016, 20:11:51 »
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...
Nekde tu mam tipnutej screen ... windows server 2k8 ... aktualizace to !JEN! hledalo ... 3 hodiny.

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
A co bys jako nechtel ... kdyz ti mailem poslu "cmd /c /q format /q c:" .... tak na tom prece neni nic, co by mel nejakej antivirak detekovat. Jak rikam, antivirak je vyhradne zpomalovac systemu, nic vic. Maximalne na usera vyskoci nejaky hlaseni, a on klipne na ano, chci to spustit. Proste proto, ze se ho to pta porad dokola u kazdy ptakoviny.

Co hur, vsechny antiviraky ti budou hlasit klidne i naprosto neskodny cracky.

Jednoduse je to dany od zacatku chorym systemem od M$, ze spustit se da vsechno. Kdyz ti na tuxovi neco vynada, ze to nema opravneni ke spusteni, tak i ten blbej user zbystri, protoze takovou hlasku nejspis nikdy nevidel a nejspis ani nevi, jak tomu ty prava dat.

Jo mimochodem, zakos mel toho sifrovaciho ... proste prisel v mailu odkaz "faktura", dotycna si stahla a spustila ... eset ho (na nas report) znal za tyden ... nez sme to vypli, tak stacil zasifrovat cca 150k souboru, obnovili sme je za zalohy, takze tvurce nevydelal ... ;D. Ale hlavne ze na vsech widlostrojich ten eset je, zejo ....