Windows PowerShell-Backdoor entdeckt; gibt sich als Teil des Windows Update-Prozesses aus

Windows[English]Sicherheitsforscher von SafeBreach sind kürzlich auf eine bisher unbekannte PowerShell-Backdoor in Windows gestoßen. Diese verwendet ein bösasartiges Word-Dokument, um die PowerShell-Scripte einzuschleusen. Die Backdoor kann  Active Directory-Benutzer und Remote-Desktops auflisten und soll vermutlich zu einem späteren Zeitpunkt zur Ausbreitung in einem Netzwerk ermöglichen.


Anzeige

Ich bin bereits vor einigen Tagen über nachfolgenden Tweet auf diese Entdeckung aufmerksam geworden. Der Titel ist etwas missverständlich – die PowerShell-Backdoor ist nicht "undetectable", sonst hätten die Sicherheitsforscher diese nicht gefunden.

New Windows PowerShell Backdoor

Die Details sind im Blog-Beitrag SafeBreach Labs Researchers Uncover New Fully Undetectable PowerShell Backdoor veröffentlicht worden. Die Hintertür wurde durch einen bisher unbekannten Angreifer installiert und weist einige Besonderheiten bzw. Neuerungen auf.

Malicious Word document "Apply Form.docm"
Word document "Apply Form.docm", Quelle: SafeBreach

  • Am 25. August 2022 wurde ein bösartiges Word-Dokument Apply Form.docm erstmals verteilt (die Sicherheitsforscher schreiben etwas von "hochgeladen"). Das Word-Dokument enthält einen einen Makrocode, der ein unbekanntes PowerShell-Skript startet.
  • Aus den Metadaten der Datei geht hervor, dass diese Kampagne mit einem angeblichen LinkedIn-basierten Spearphishing-Köder für Stellenbewerbungen zusammenhing.
  • Das Makro legt die Datei updater.vbs auf dem Opfersystem ab und erstellt eine geplante Aufgabe unter Windows, die vorgibt, Teil eines Windows-Updates zu sein. Diese Aufgabe führt dann das Skript updater.vbs im Ordner "%appdata%\local\Microsoft\Windows" aus. Dieser Vorgang erfordert imho aber administrative Berechtigungen.
  • Das als Task ausgeführte Script updater.vbs führt dann ein PowerShell-Script aus.
  • Bevor die geplante Aufgabe ausgeführt wird, werden zwei PowerShell-Skripte mit den Namen Script.ps1 und Temp.ps1 erstellt. Der Inhalt der PowerShell-Skripte wird in Textfeldern innerhalb des Word-Dokuments und in dem angelegten appdata-Verzeichnis gespeichert. Beide Scripte sind obfuscated und werden auf Virustotal nicht als schädlich erkannt.

Das PowerShell-Script Script1.ps1 stellt eine Verbindung zum C2-Server her, um die auszuführenden Befehle zu erhalten. Das Skript parst die Befehle und führt das Skript Temp.ps1 für jeden Befehl mit dem Parameter c aus. Die Sicherheitsforscher haben bestimmte Befehle für Systeme der Opfer ausgeführt. Mit den Scripten lassen sich zum Beispiel:

  • Prozesslisten abrufen
  • Lokale Benutzer auflisten
  • Dateien in bestimmten Ordnern auflisten
  • das Active Director sowie RDP-Client-Verbindungen auflisten

Zudem können per Script beispielsweise Dateien von öffentlichen Ordnern, Netzwerkfreigaben etc. gelöscht werden. Die Sicherheitsforscher beschreiben weitere Details der Script-Funktionen in diesem Artikel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Windows PowerShell-Backdoor entdeckt; gibt sich als Teil des Windows Update-Prozesses aus

  1. Paul sagt:

    Die Überschrift ist leicht irreführend.
    Es würde doch auch niemand "Visual C/Basic backdoor entdeckt" schreiben, nur weil die Malware in VC/VB/VBA programmiert worden ist, wenn es tatsächlich ein "bösartiges Word-Dokument Apply Form.docm " war.
    Schade das das hier jetzt auch schon so anfängt.

    Es war ja wohl doch "nur" ein .vbs: "updater.vbs". das wäre ja langweilig…

    Jedenfalls geht es nicht um eine Backdoor in Powershell, wie in der Überschrift mißverstehbar.

  2. C.Waldt sagt:

    Makros….das ewige Thema….warum kann man die Makros in Word, Exel, etc, nicht einfach soweit kastrieren, dass sie innerhalb von Word, Exel, etc, weiterhin die dollsten Dinge machen – aber soweit es sich um einen Prozess außerhalb der dollen Office-Welt handelt, das Betriebssystem den Zugriff von sich aus verweigert.
    Vielleicht ist meine Erwartung ja utopisch? Doch wäre da nicht den Firmen die Makros benötigen am meisten mit geholfen?

    —Grüße—

    • Singlethreaded sagt:

      Das geht. Einfach per GPO alle Makros deaktivieren. Dann sind Makros aus und der Anwender kann diese auch nicht wieder aktivieren, da die Schaltflächen inaktiv sind.
      Werden Makros im Unternehmen benötigt, dann per GPO nur signierte Makros zulassen. Das Zertifikat kann man sich von der eigenen PKI ausstellen lassen (wenn vorhanden) oder extern bei einem Dienstleister einkaufen. Makros ohne gültige Signatur werden weiterhin blockiert.
      Wir machen das über unsere eigene PKI und das funktioniert sehr zuverlässig. Die Zertifikate sind zwei Jahre gültig und müssen dann erneuert werden.

      Gruß Singlethreaded

      • mw sagt:

        Das ist leider nicht sinnvoll. Es handelt sich um PERSONAL Computer und da ist nun mal der USER das Maß der Dinge und nicht irgendeine zentrale IT. Das kastrieren der PCs ist zwar eine effektive Maßnahme um das Sicherheitsniveau zu erhöhen aber eben auch eine Maßnahme, um die Produktivität der Mitarbeiter herunterzubremsen. Offenbar gehen viel Admins immer noch davon aus, daß die Benutzer nur Routineaufgaben durchführen. Dazu braucht es keinen PC da tut es auch ein Mainframe mit Terminal. Die IT hat noch nicht kapiert, daß in der heutigen dynamischen Welt nicht standardisierte Prozesse den Erfolg sichern, sondern Talente und Könner, die eben nicht standardisierte Wege gehen mit ihren Ideen. Das Zunageln eines Rechners ist nicht sinnvoll, nur weil die Softwarehersteller, namentlich Microsoft, Citrix, Adobe usw. unfähig und unwillig sind, sichere Software zu erstellen.

        BTW der Begriff "Backdoor" ist völlig fehl am Platz. Trojaner wäre der passendere Begriff.

        • n8c sagt:

          Du gibst also deinen Usern Admin, damit sie möglichst nicht von der dummen IT aufgehalten werden, ja?

          Wenn ich sowas schon lese, ey.
          Zulassung entziehen.

          Meine typischen Erfahrungen mit PowerUsern sind:
          5% verstehen was sie tun. Wenn diese 5% das Unternehmen verlassen, hast du eine ShadowIT Blackbox die du reverse engineeren darfst/musst.

          Der Rest kopiert random per Google gefundenen Code in Skripts (ob nun in Office oder woanders) zusammen und zwar so lange, bis ungefähr das passiert was man vor hatte und keine großartigen Fehlermeldungen mehr kommen.
          Aka "dumme Kackboons klicken lustig".

          Es gibt hier einen gesunden Mittelweg.
          "Signiert = vertrauenswürdig" ist NICHT der Mittelweg.
          Der würde losgehen mit "signiert von [interne CA der IT]".
          Irgendwer muss die Idioten ja überwachen und nen Überblick behalten, was für operative Abhängigkeiten sich da aufbauen.

          • Singlethreaded sagt:

            Bei uns programmiert nur die IT, welche den Code auch gleich signiert. Aber, wir reden mit unseren Anwendern und haben so schon viele individuelle Problemstellungen lösen können. Nur weil der Mitarbeiter selbst auf "seinem" PC nicht alles darf, muss dass nicht weniger dynamisch sein. Die meisten sind dankbar, dass sie sich nicht mit der Programmierung rumschlagen müssen. Die Leute haben andere Fachgebiete / Stärken.
            Auch sei noch erwähnt, dass niemand im Unternehmen mit seinem Arbeitskonto über Admin-Rechte verfügt. Das gilt auch für die IT. Wenn ich diese in Ausnahmefällen benötigte, dann gibt es dafür andere Wege wie z.B. LAPS.

        • Takeo Otori sagt:

          @mw:
          Ihre Denkweise führte schon in vielen Unternehmen zum SuperGAU.
          Der Endanwender vor dem Bildschirm soll GAR NICHTS dürfen ohne Erlaubnis bzw. Überwachung eines Admin, denn sonst finden die Wege und Möglichkeiten einfach alles kaputt zu kriegen – da sie ohne zu lesen oder zu denken einfach auf alles klicken, was nicht niet-und-nagelfest ist.

Schreibe einen Kommentar zu Singlethreaded Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.