August im Dezember: Neue Art des Datendiebstahls im Einzelhandel identifiziert

December 07, 2016
Proofpoint Staff

Überblick

Im November beobachtete Proofpoint mehrere Kampagnen von TA530 – einem Akteur, den Proofpoint kürzlich wegen seiner hochgradig personalisierten Kampagnen als „personalisierten Akteur“ bezeichneten [6] – die auf Kundendienst- und leitende Mitarbeiter im Einzelhandel zielten. Diese Kampagnen funktionierten über das „dateilose“ Laden mittels Word-Makros und PowerShell von relativ neuer Malware namens August. August enthält Funktionen zum Diebstahl von Zugangsdaten und sensiblen Daten vom infizierten Computer.

Auslieferung und Ziel

Bei unserer Analyse stellte Proofpoint fest, dass sich viele der Köder und Betreffzeilen der E-Mails auf Probleme mit vermeintlich auf der Website des Unternehmens gekauften Artikeln bezogen. Zudem waren Nachrichten an Personen gerichtet, die bei diesen Problemen möglicherweise Unterstützung leisten könnten. Die Köder gaben außerdem vor, dass die beigefügten Dokumente detaillierte Informationen zu dem Problem enthalten würden. Allerdings enthielten die Dokumente Makros, die August Stealer herunterladen und installieren konnten.

Die Betreffzeilen waren mit der Domäne des Empfängers personalisiert. Hier einige Beispiele:

  • Fehlerhafte Beträge auf [Domäne des Empfängers]
  • [Domäne des Empfängers] - Hilfe: Artikel verschwinden vor dem Bezahlen aus dem Warenkorb
  • [Domäne des Empfängers] - Support: Produkte verschwinden während des Bezahlens aus dem Warenkorb
  • Benötige Hilfe bei der Bestellung auf [Domäne des Empfängers]
  • Doppelte Beträge auf [Domäne des Empfängers]

Abbildung 1: Beispielhafte E-Mail zur Auslieferung eines ein Makro enthaltenden Dokuments

Abbildung 2: Beispielhafte E-Mail zur Auslieferung eines ein Makro enthaltenden Dokuments

Abbildung 3: Beispiel eines ein Makro enthaltenden Dokumentanhangs, der zur Auslieferung von August verwendet wurde

Das verwendete Makro ist dem sehr ähnlich, das wir in unserem letzten Beitrag zu Verfahren zum Umgehen von Sandboxes besprochen haben, mit denen der Banking-Trojaner Ursnif ausgeliefert wurde [1]. Es filtert mittels Prüfungen wie Maxmind, das Zählen von Tasks, Task-Namen und der Anzahl der zuletzt verwendeten Dateien Sicherheitsforscher und Sandboxes heraus. Bemerkenswert ist, dass das in dieser Kampagne verwendete Makro einen Powershell-Befehl ausführt, um „dateilos“ die Payload von einem Byte-Array herunterzuladen, das auf einer entfernten Site gehostet wird. Dieser Akteur hat diese Technik vor Kurzem eingesetzt, um POS-Payloads zu laden [2][3][4].

Abbildung 4: Beispiel für einen PowerShell-Befehl zum Herunterladen und Ausführen des Byte-Arrays

Abbildung 5: Ausschnitt aus dem Netzwerkverkehr, der das Byte-Array zurückgibt, mit dem August geladen wurde

Der Screenshot oben zeigt die Payload, die von der entfernten Site als PowerShell-Byte-Array heruntergeladen wird. Neben dem Byte-Array selbst sind einige Codezeilen vorhanden, die das Array durch eine XOR-Operation deobfuskieren und die Hauptfunktion der Payload ausführen.

Analyse

August ist in .NET geschrieben und einige Muster sind mit sogenannten Confuser [5] verschleiert. Anhand des Quellcodes eines Musters haben die Experten bei Proofpoint festgestellt, dass August über folgende Fähigkeiten verfügt:

  • Dateien mit bestimmten Erweiterungen stehlen und auf einen Command-and-Control-(C&C)-Server hochladen
  • Stehlen von .rdp-Dateien
  • Entwendung von wallet.dat-Dateien
  • Kryptowährungsgeldbörsen wie Electrum und Bither entwenden
  • FTP-Anmeldedaten aus Anwendungen wie SmartFTP, FileZilla, TotalCommander, WinSCP und CoreFTP auslesen
  • Messenger-Anmeldedaten für Pidgin, PSI, LiveMessenger und andere auslesen
  • Cookies und Passwörter aus Firefox, Chrome, Thunderbird und Outlook erfassen
  • Das Vorhandensein gängiger Sicherheitstools wie Wireshark und Fiddler erkennen
  • Die Hardware-ID, den Namen des Betriebssystems und den Benutzernamen des Opfers an den C&C-Server übermitteln
  • Netzwerkdaten mittels base64-Codierung, Austauschen von Buchstaben, Hinzufügen eines zufälligen Schlüssels (der dem Server im Feld User-Agent kodiert übergeben wird) und Umkehrung der Zeichenfolgen auf einfache Weise verschlüsseln

Abbildung 6: Die vom PowerShell-Befehl ausgeführte Hauptfunktion

Abbildung 7: Prüft das Vorhandensein von Sicherheitstools und kommuniziert nicht mit dem C&C-Server, wenn welche gefunden werden

Abbildung 8: Verschlüsselung von Netzwerkdaten

Abbildung 9: Beispiel für verschlüsselten Datenverkehr, der von August erzeugt wird

Abbildung 10: August ist so konfiguriert, dass .txt- und .doc-Dateien gesucht und auf den Server hochgeladen werden

Abbildung 11: Steuerfeld von August mit gestohlenen Anmeldedaten für FTP, Messenger, E-Mail, RDP und anderen Programmen

Zusammenfassung

August ist ein neuer Informationsdieb, der vom „personalisierten Akteur“ anhand von Social-Engineering-E-Mails mit beigefügten bösartigen Dokumenten verbreitet wird. Dieser Akteur hat es zwar im Wesentlichen auf Einzelhändler und Fertigungsunternehmen mit umfangreichem B2C-Geschäft abgesehen, doch kann August auch in einem breiten Spektrum von Szenarien für den Diebstahl von Anmeldedaten und Dateien eingesetzt werden. Die Malware selbst und die Makros, die bei dieser Kampagne zum Einsatz kommen, arbeiten mit einer Reihe von Verschleierungstechniken und einem Verfahren zum dateilosen Laden der Malware über die PowerShell. Alle diese Faktoren erschweren die Erkennung sowohl am Gateway als auch am Endpunkt. Da E-Mail-Köder immer cleverer und personalisierter werden, müssen Unternehmen stärker E-Mail-Gateways einsetzen, die Makros mit integrierter Sandbox-Umgehung erkennen können und die Anwender in Bezug auf zunächst unverdächtig wirkende E-Mails schulen.

Quellen

[1] https://www.proofpoint.com/us/threat-insight/post/ursnif-banking-trojan-campaign-sandbox-evasion-techniques

[2] https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs

[3] http://researchcenter.paloaltonetworks.com/2016/03/powersniff-malware-used-in-macro-based-attacks/

[4] https://www.fireeye.com/blog/threat-research/2016/05/windows-zero-day-payment-cards.html

[5] https://confuser.codeplex.com/

[6] https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs

Hinweise auf Angriffe (Indicators of Compromise, IOC)

IOC

IOC Type

Description

c432cc99b390b5edbab400dcc322f7872d3176c08869c8e587918753c00e5d4e

SHA256

Example Document

hxxp://thedragon318[.]com/exchange/owalogon.asp

 

URL

Payload URL

hxxps://paste[.]ee/r/eY3Ui

 

URL

Payload URL

hxxp://muralegdanskzaspa[.]eu/network/outlook.asp

 

URL

Payload URL

hxxp://krusingtheworld[.]de/port/login.asp

 

URL

Payload URL

hxxp://pg4pszczyna[.]edu[.]pl/config/config.asp

 

URL

Payload URL

hxxp://www[.]overstockage[.]com/image/image.asp

 

URL

Payload URL

hxxp://thedragon318[.]com/exchange/port10/gate/

 

URL

August C2

hxxp://himalayard[.]de/exchange/port10/gate/

 

URL

August C2

hxxp://muralegdanskzaspa[.]eu/network/port10/gate/

 

URL

August C2

hxxp://krusingtheworld[.]de/port/jp/gate/

 

URL

August C2

hxxp://pg4pszczyna[.]edu[.]pl/config/install/gate/

 

URL

August C2

hxxp://www[.]overstockage[.]com/catalog/core/gate/

 

URL

August C2

ET und ETPRO Suricata/Snort Coverage

2823166          ETPRO TROJAN August Stealer C&C-Check-in

2823171          ETPRO CURRENT_EVENTS MalDoc Payload Inbound Nov 08

Anhang A: Werbung im Forum

August Stealer – Passwörter/Dokumente/Cookies/Geldbörsen/Rdp-/FTP-/IM-Clients

Описание функционала:

- Стиллинг данных браузеров (сохранённые пароли/куки файлы) из:

Mozilla FireFox

Google Chrome

Yandex Browser

Opera Browser

Comodo IceDragon

Vivaldi Browser

Mail.Ru Browser

Amigo Browser

Bromium

Chromium

SRWare Iron

CoolNovo Browser

RockMelt Browser

Torch Browser

Dooble Browser

U Browser

Coowon

- Стиллинг данных учётных записей из некоторых фтп клиентов:

FileZilla

SmartFTP

- Стиллинг данных из мессенджеров:

Psi+

Psi

- Стиллинг файлов из указанных директорий по указанным маскам (возможность ограничивать вес входящих файлов)

- Стиллинг файлов wallet.dat (кошельки криптвалюты)

- Стиллинг файлов удалённого подключения (.rdp)

Описание билда:

- Зависимость от .NET Framework (2.0, возможность компиляции для более поздних версий по желанию)

- Самоудаление после работы

- Отправка данных на гейт (PHP 5.4+)

- Шифрование входящего/исходящего трафика

- Вес чистого, необфусцированного билда ~ 45кб

- Не таскает за собой нативные библиотеки

- Не требуются админ. права для выполнения поставленных задач

- Не использовались чужие исходники

Описание панели управления:

- Версия PHP 5.4+

- Не требуется MySQL

- Интуитивно-понятный интерфейс

- Опенсорс, нет обфускации, нет привязок

- Английский язык

Первым трем покупателям - скидка 30% за отзыв

Тем, кто приобретал у меня ранее продукт, предоставляется скидка 50%

Принимаю предложения по совершенстованию софта/пополнению функционала

Знатоки английского для исправления косяков в панели тоже бы пригодились

Софт в будущем будет обновляться и пополняться новыми фичами, не глобальные обновления для клиентов будут бесплатны

Цена: 100$

Ребилд: 10$

Метод оплаты: BTC

Anhang B: Werbung im Forum – Übersetzung

August Stealer – Passwörter/Dokumente/Cookies/Geldbörsen/Rdp-/FTP-/IM-Clients

Suchprogramm für den Diebstahl von Daten (gespeicherte Passwörter/Cookie-Dateien) aus:

Mozilla Firefox

Google Chrome

Yandex Browser

Opera Browser

Comodo IceDragon

Vivaldi Browser

Mail.Ru Browser

Amigo Browser

Bromium

Chromium

SRWare Iron

CoolNovo Browser

RockMelt Browser

Torch Browser

Dooble Browser

U Browser

Coowon

- Diebstahl von Kontodaten aus einigen FTP-Clients:

FileZilla

SmartFTP

- Diebstahl von Daten aus Messengern:

Psi +

Psi

- Diebstahl von Dateien aus dem in den angegebenen Masken angegebenen Verzeichnis (Fähigkeit, die Größe eingehender Dateien zu beschränken)

- Diebstahl von wallet.dat-Dateien (Kryptowährungsgeldbörsen)

- Diebstahl von Datei-Remote-Verbindungen (.rdp)

Beschreibung des Builds:

- Abhängigkeit vom .NET-Framework (2.0, kann auf Anfrage für spätere Versionen kompiliert werden)

- Selbstlöschung nach Ausführung

- Versenden von Daten an das Gate (PHP 5.4+)

- Verschlüsselung von eingehendem/ausgehendem Datenverkehr

- Größe eines sauberen Builds vor der Obfuskierung ~45 KB

- Bringt keine nativen Bibliotheken mit

- Benötigt keinen Admin

- Borgt keine Quellen von anderer Malware aus

Beschreibung des Steuerfelds:

- Version PHP 5.4+

- Sie benötigen kein MySQL

- intuitive Schnittstelle

- Open Source, keine Obfuskierung, keine Bindungen

- Englisch

Die ersten drei Kunden – 30 % Nachlass für eine Besprechung

Wer mein früheres Produkt gekauft hat, 50 % Nachlass

Ich nehme Vorschläge zur Verbesserung der Software/für weitere Funktionen an.

Experten für die englische Sprache für die Korrektur von Fehlern im Steuerfeld sind willkommen

Die Software wird in Zukunft mit neuen Funktionen aktualisiert, kleine Updates sind für Kunden kostenlos

Preis: $ 100

Rebuild: $ 10

Zahlungsweise: BTC