SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Das Internet Storm Center (SANS ISC) warnt vor einiger neuen Angriffsmasche, die über Phishing-Mails versucht wird. Die Angreifer versuchen schädliche Inhalte über eine, in einer HTML-Seite eingebetteten, ISO-Datei an die Anwender zu verteilen. Interessant war für mich, dass sich die ISO nicht mit Windows 10 mounten lässt, aber eine VBS-Datei mit einem Dropper für weitere Downloads enthält. Es schaut so aus, als ob da ein Angriffsvektor im Test ist, der versucht, die Malware vor den üblichen Erkennungsmethoden zu verschleiern. Daher stelle ich das Ganze hier im Blog ein.


Anzeige

Ich bin über nachfolgenden Tweet auf die Warnung gestoßen, die das Internet Storm Center (SANS ISC) gerade verbreitet. Es scheint sich aber noch nicht um eine groß angelegte Angriffskampagne zu handeln.

ISO with malware embedded in HTML page

In dieser Erläuterung schreibt Xavier Mertens, dass ihm eine interessante Phishing-E-Mail untergekommen sei. Die Nachricht wurde wie üblich mit einem bösartigen Anhang Order_Receipt.html geliefert, bei dem es sich um eine einfache HTML-Seite handelt. Auf VirusTotal erkennen nur wenige Scanner die Malware (VT-Wert von 5/59).

Hinweise: Falls ihr solche Mails erhaltet, rate ich davon ab, diese mal schnell versuchsweise im Browser zu öffnen, um zu schauen, was sich dahinter verbirgt. Es könnte ein Drive-by-Download eingebettet sein, der schon zu einer Infektion führt. Gerade die Tage habe ich eine ähnliche Mail (von einem Absender, der mir bekannt vorkam) erhalten, die einen HTML-Anhang aufwies. Da aber keine Informationen in der E-Mail gegeben wurden – der Body war weitgehend leer, war klar, dass das ein Angriffsversuch war. Statt diesen Anhang mal schnell im Browser zu inspizieren, habe ich diesen auf die Festplatte gespeichert und in einem Editor geöffnet. Es gab dort einen Bitly-verkürzten HTML-Link auf eine Zielseite und irgend etwas verschleiertes an HTML-Code. Als ich dann die Ziel-URL per Copy & Paste auf VirusTotal prüfen ließ, wurde mir von zwei (von 93) Virenscannern bestätigt, dass die Zielseite schädlich sei.

Der in obiger Mail vom SANS ISC erwähnte Anhang ist eine Textdatei und sieht, nach Ansicht von Mertens, daher weniger verdächtig aus. Wenn die Seite im Browser des Opfers geöffnet wird, zeigt sie eine einfache Meldung an und bietet dem Opfer an, eine ISO-Datei herunterzuladen (siehe Screenshot in obigem Tweet). Der Anfang der Seite ist mit überflüssigem Text gefüllt, der nicht angezeigt wird:

<center>
<p align="left"> <p style="font-size: 0px; display: none">In this day and age, an appetizer can be difficult to
...</p>

Mertens vermutet, dass damit die grundlegenden Sicherheitskontrollen, die nur den Anfang von Dateien im Anhang überprüfen, umgangen werden sollen. Die eigentliche ISO-Datei ist in eine Javascript-Funktion eingebettet und, wie üblich, Base64-kodiert. Nach der Entschlüsselung hat die Nutzlast einen VT-Wert von 10/55. Die HTML-Datei ist brandneu, aber die ISO-Datei wurde laut VirusTotal bereits vor 2 Monaten verwendet.

Windows kann ab Windows 8.x zwar ISO-Dateien ohne weitere Software mounten. Interessant ist aber, so Xavier Mertens, dass sich diese ISO-Datei nicht mit Windows 10 mounten lässt. Vielmehr kommt eine Meldung, dass das die ISO nicht mit dem NTFS-Filesystem formatiert sei.

ISO mount error

Mertens ist es aber gelungen, die ISO-Datei unter Linux zu mounten. Dort fand er heraus, dass die ISO-Datei eine verschleierte VBScript-Datei APVSTYS43574.vbs aufweist, die von Virustotal nicht als schädlich erkannt wird. Der VBScript-Code lässt sich hier einsehen. Das VBS-Skript versucht, die nächste Stufe der Malware von einer (infizierten) Webseite herunterzuladen. Aber die Seite ist inzwischen nicht erreichbar, die Infektion wurde wohl bemerkt.


Anzeige

Das alles ist jetzt kein riesiges Problem, aber ein Beispiel, wie Cyberkriminelle sehr unterschiedliche Wege versuchen, um Malware zu verschleiern und Kontrollen eingehender Mails zu umgehen. Daher habe ich das Beispiel mal für Administratoren hier im Blog eingestellt, damit diese ggf. ihre Sicherheitsregeln anpassen können.

Rückblick auf Borns Sicherheits-Adventskalender 2021

1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)

  1. Johannes sagt:

    Ich hatte gestern genau diesen Fall. Ich bekam zwei leere EMails mit einem HTML Anhang. Da ich öfters ähnliche SPAM Mails (Schlüsselwort aickton) erhalten habe, ging ich von einem Angriff aus.

    Ich habe den Anhang heruntergeladen, die Dateiendung umbenannt, diese auf Virustotal analysiert und danach diesen mittels einem Hexeditor angeschaut. Der Anhang ist ein HTML Dokument, welches über einen Meta-Refresh-Tag auf eine Seite weiterleiten möchte. Die Webseite wurde über einen URL Shortener bitly verschleiert. Weiter ging ich nicht.

    Der Angriff ist aber neuer Qualität. Früher bekam ich einfach Mails der Form "Hallo wie gehts dir? https: // bit.ly / Dingsbums"

    Die neueren Mails funktionieren aber per Click. Ohne Berücksichtigung der Sicherheitseinstellungen hätte ein Öffnen der Mail mich auf eine Webseite geführt und damit vermutlich zum Virenbefall.

    Da bei mir aber generell Dateianhänge nicht angezeigt werden, lief bei mit der Angriff im Sande.

    Deswegen ist folgendes wichtig:
    – Mails dürfen nur als reiner Text angezeigt werden.
    – Anhänge dürfen nie angezeigt werden.
    – Anhänge dürfen nur nach Prüfung durch Virustotal verwendet werden.
    – Die Kommunikation mittels Mail ist generell nicht sonderlich vertrauenswürdig.

    PS:
    Der Angriff funktioniert nur dann richtig, wenn Dateianhänge automatisch angezeigt werden. Ich konnte meinen Thunderbird V91.5.1 bei einem Test nicht dazu überreden einen HTML Anhang automatisch anzuzeigen. Was ein gutes Zeichen ist.

    • Günter Born sagt:

      Danke für die Ergänzung – ich habe dummerweise die Mail gelöscht – sonst würde ich noch einen separaten Artikel drüber machen.

    • 1ST1 sagt:

      Das VB-Script ist noch recht leicht zu verstehen. Wenn man die letzte Zeile durch eine Textausgabe ersetzt, dann bekommt man den Schadcode frei Haus angezeigt. Vor 1,5 Jahren habe ich mal welche in die Finger bekommen, wo ich nach 2 Tagen schlicht aufgegeben habe, die weiter zu analysieren, weil da der Kopf geraucht hat. Da steckte ein mehrere MB großer String drin, und ein Verweis auf eine IP mit einer weiteren Datei, aus denen mittels diverser Rechenoperationen einzelne Zeichen rausgeholt wurden, das dann Base64-Dekodiert wurde, usw., was dann neue VB-Befehle ergab, sozusagen selbstmodifizierender Code, das war dann eine ganz andere Hausnummer.

  2. Paul sagt:

    Warum ist Virus Total aktueller als der eigene Scanner?
    Meiner hat eine super smart AI Heuristik. Der muß das doch erkennen.
    Ich bin da völlig sicher!

    Wenn ich auf VT nur weniger Treffer habe, schaue ich, welche Scanner das melden.
    Oft sind es völlig unbekannte Neulinge.

    • Singlethreaded sagt:

      Wir sammeln so ca. 1.000 Malware-Samples pro Jahr in der Quarantäne ein, welche aus diversen Mails stammen. Das sind alles Anhänge, welche vom Virenscanner nicht als Virus eingestuft wurden.

      Aus der Erfahrung kann ich berichten, dass neue Schädlinge in der Regel eine sehr geringe Erkennungsrate auf Virustotal haben. Schlagen fünf Virenscanner an, so ist das schon fast "gut". Oft sind es nur einer oder zwei. Wir hatten auch schon Zero.

      Das ändert sich erst nach 24 bis 48 Stunden. In der Zeit aktualisieren viele Hersteller Ihre Erkennung und die Zahl der Treffer steigt deutlich.

      Was die Heuristik und Verhaltensanalyse angeht, so mag diese das Problem möglichweise an seinen Auswirkungen erkennen. Das ist aber nichts was ich in unserer produktiven Umgebung testen werde. Daher fehlen mir dazu klare Erfahrungswerte.

      Genau auf Grund der im Artikel genannten Spielchen haben wir inzwischen sehr lange Blocklisten. HTML-Dateien als Anhang an eine Mail werden z.B. grundsätzlich in Quarantäne verschoben. Wenn es wirklich etwas Wichtiges ist, dann kann die IT das nach einer Prüfung immer noch zustellen. Bei HTML ist aber 99% für die Tonne.

      Linkverkürzer wie „bit.ly" bekommen in der Spambewertung so viele Punkte aufgedrückt, dass die Gegenseite ein freundliches "5.7.1 Blocked by SpamAssassin" empfängt. Auch hier gebe ich lieber die paar Geschäftspartner gezielt frei, als sowas per Default einfach durchlaufen zu lassen. Eigentlich braucht sowas kein Mensch.

      Gruß Singlethreaded

  3. Paul sagt:

    Warum führt Windows überhaupt externes VBS aus?
    Das VBCscript kann man doch auch generell disablen, oder?

    Hm, wo ist eigentlich der MS-Document-Viewer geblieben?

    • Günter Born sagt:

      Zu VBScript – ja, lässt sich blockieren – aber ist nicht wirklich überall der Fall.

      Zu MS-Document-Viewer: Meines Wissens sind die aus dem Support gefallen, weil die alten Office-Versionen out-of-support sind und man die Viewer nie auf die neueren Office-Versionen angepasst hat. Damit spart sich Microsoft das Patchen der Viewer.

  4. Itchy sagt:

    Hatte ich Gestern auch. Pinkanterweise war der (angezeigte) Absender die Anwältin meiner Ex und die HTML hatte den Namen meiner Ex … Deswegen bin ich natürlich auf unserem System für solche Fälle da hinter her:

    Absender war anne1981lea@hotmail.com. In der HTML wurde ein bit.ly link aufgerufen, von da ging es nach imaginehair.link von da nach googleusercontent.com und dann zu einem Kryptobroker, also erstmal nur "Verbrauchertipps".
    Alle beteiligten Virenscanner und Spamfilter bewerteten die Mail aber mit Score Null.
    Also die Masche zieht. Mal sehen was da noch kommt.

Schreibe einen Kommentar zu Itchy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.