Zum Inhalt wechseln


Foto

Infizierte Datei öffnet Windows Script Host obwohl per Reg Deaktiviert


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 Knorkator

Knorkator

    Newbie

  • 407 Beiträge

 

Geschrieben 29. März 2016 - 06:34

Hallo zusammen,

 

ich habe bei uns den Windows Script Host per Registry Eintrag deaktiviert.

HKLM\Software\Microsoft\Windows Script Host\Settings -> Enabled = 0

cmd und cscript.exe bzw. wscript.exe liefert die gewünschte Meldung: Der Zugriff... deaktiviert..

 

Nun kam per Email eine .rtf Datei welche ich in einer VM ohne LAN (aber mit aktiviertem Reg-Schlüssel) zum Test geöffnet habe um mal zu schauen wie gut die Systeme funktionieren.

Um mal zu schauen was die infizierte Datei so veranstalten möchte, habe ich die Makros mal aktiviert.

Nach Aktivierung der Makros bekomme ich eine Fehlermeldung vom Windows Script Host, dass in Zeile 9 ein Fehler ist.

Fehler: Die angegebene Ressource konnte nicht gefunden werden.

 

Nun frage ich mich.. warum wird der manuelle Aufruf des Windows Script Host verweigert, per Word Makro aber zugelassen?

Mit dem Schutz ist dann ja nicht so weit her wie mir scheint.

 

An das Makro komme ich durch den Passwortschutz leider nicht dran.

 

 

 

 



#2 testperson

testperson

    Board Veteran

  • 4.646 Beiträge

 

Geschrieben 29. März 2016 - 06:48

Hi,

 

evtl. interessiert sich der Code nicht für den deaktivierten WSH und nutzt einen entsprechenden Exploit, um diesen zu starten.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 Knorkator

Knorkator

    Newbie

  • 407 Beiträge

 

Geschrieben 29. März 2016 - 07:06

Achja.. das Script erzeugt eine Temporäre .VBE Datei im Temp Ordner.

Hier mal der "Code" sowie die Fehlermeldung als Screenshot

 

z3o3dcrw.jpg


Bearbeitet von Knorkator, 29. März 2016 - 07:06.


#4 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 29. März 2016 - 13:03


Um mal zu schauen was die infizierte Datei so veranstalten möchte, habe ich die Makros mal aktiviert.

Meistens versuchen diese Programme nach der Infektion als erstes den eigentlichen Schadcode nachzuladen. So ja auch bei dir von "store.clarksvillevw.com", einem vermutlich ebenfalls gehackten Server.

Ohne LAN bekommst du den genannten Fehler, "die angegebene Resource kann nicht gefunden werden". Ohne nachgeladenes php-File kannst du natürlich auch nicht sehen, was der eigentliche Schadcode veranstalten würde.

 

Auch in Powershell ist das Schutzlevel vor Malware-code über "set-executionpolicy" maximal als nice2have zu bezeichnen. Es gibt etliche einfache Wege, diese Policy zu umgehen. Ich denke, in VBS wird es nicht anders gewesen sein.

 

Ein mögliches Schutzkonzept vor Malware dieser Art mit Windows-Boardmitteln wäre übrigens "DNS-Sinkholing" evtl. gepaart mit einem Honeypot-Server.

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#5 zahni

zahni

    Expert Member

  • 16.508 Beiträge

 

Geschrieben 29. März 2016 - 14:26   Lösung

Ich kann hier immer  wieder  nur  https://www.nsa.gov/...g_using_srp.pdf empfehlen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 ChrisRa

ChrisRa

    Senior Member

  • 414 Beiträge

 

Geschrieben 29. März 2016 - 15:12

Ich kann hier immer  wieder  nur  https://www.nsa.gov/...g_using_srp.pdf empfehlen.

 

Setz den Link doch in deine Signatur, dann musst du ihn nicht in jedem Ransomware-Thread posten. ;-)


Keep IT simple.  ;)


#7 Knorkator

Knorkator

    Newbie

  • 407 Beiträge

 

Geschrieben 31. März 2016 - 09:52

Hallo,

 

ich implementiere eben die SRP gemäß NSA Dokument (das wurde ja in den letzten Wochen häufiger erwähnt) und habe dann mal cscript.exe explizit verboten... und siehe da.. das Makro wird nun korrekt geblockt.

Also ist der Registry Eintrag auch nur ein "nice2have".

 

Da fällt mir grade auf.. cscript.exe wird im Dokument ja nur zufällig erwähnt... wenn man dies nicht explizit verbietet hat man im fall von Locky etc. auch nicht viel gewonnen oder sehe ich das falsch?


Bearbeitet von Knorkator, 31. März 2016 - 10:06.


#8 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 01. April 2016 - 19:32

An das Makro komme ich durch den Passwortschutz leider nicht dran.


Was für ein Passwortschutz? VBE läßt sich mit scrdec14.exe relativ leicht wieder in lesbaren Code verwandeln :-) Wenn Du's net findest, schick mir ne PN.

Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#9 NilsK

NilsK

    Expert Member

  • 12.467 Beiträge

 

Geschrieben 03. April 2016 - 12:02

Moin,

 

Nun frage ich mich.. warum wird der manuelle Aufruf des Windows Script Host verweigert, per Word Makro aber zugelassen?

 

wenn man die Frage etwas anders liest, wird am ehesten ein Schuh draus. Mehr oder weniger zufällig nutzt der hier betrachtete Trojaner den WSH. Müsste er ja nicht, er könnte auch den Scripthost von Office direkt nutzen.

 

Man sollte sich daher durch das Abschalten oder Verbieten des WSH nicht auf der sicheren Seite wähnen. Dafür sind aktuelle Angriffe meist zu gut gemacht. Insbesondere Locky gilt derzeit als ein richtig feines Stück Malware ...

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#10 Knorkator

Knorkator

    Newbie

  • 407 Beiträge

 

Geschrieben 04. April 2016 - 06:49

Hallo Nils,

 

das abschalten des Windows Scripting Hosts per SRP bietet scheinbar einen besseren Schutz als die häufiger anzufindende Lösung per Registry Key.

Vollständige Sicherheit gibt es ja nicht.. man sollte nur nah dran sein.

:)



#11 zahni

zahni

    Expert Member

  • 16.508 Beiträge

 

Geschrieben 04. April 2016 - 09:03

Ich kann hier nur nochmals darauf hinweisen, das man die SRP im Default-Modus  "Alles verbieten", mit entsprechenden Ausnahmen, betreiben sollte. Dort ist  auch definiert, was ein ausführbares Programm ist. Die Ausführung  der Word-Makros kann so nur schwer verhindern. Die Ausführung der runtergeladenen EXE-Files aber  auf jeden Fall (die sollten aber schon am Proxy abgefangen werden). Die aktuelle Welle der Javascripte lässt einem so auch kalt.

Word-Macros sind gerade aus der Mode.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#12 Knorkator

Knorkator

    Newbie

  • 407 Beiträge

 

Geschrieben 04. April 2016 - 09:41

Hallo Zahni, denk an den Link in der Signatur!

;)



#13 zahni

zahni

    Expert Member

  • 16.508 Beiträge

 

Geschrieben 04. April 2016 - 10:32

Da darfst Du selber drüber  befinden.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!