{"id":262070,"date":"2022-01-28T09:21:43","date_gmt":"2022-01-28T08:21:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262070"},"modified":"2022-07-10T06:18:42","modified_gmt":"2022-07-10T04:18:42","slug":"sans-isc-warnt-bsartige-iso-datei-in-html-seite-eingebettet-jan-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/28\/sans-isc-warnt-bsartige-iso-datei-in-html-seite-eingebettet-jan-2022\/","title":{"rendered":"SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das Internet Storm Center (SANS ISC) warnt vor einiger neuen Angriffsmasche, die \u00fcber Phishing-Mails versucht wird. Die Angreifer versuchen sch\u00e4dliche Inhalte \u00fcber eine, in einer HTML-Seite eingebetteten, ISO-Datei an die Anwender zu verteilen. Interessant war f\u00fcr mich, dass sich die ISO nicht mit Windows 10 mounten l\u00e4sst, aber eine VBS-Datei mit einem Dropper f\u00fcr weitere Downloads enth\u00e4lt. Es schaut so aus, als ob da ein Angriffsvektor im Test ist, der versucht, die Malware vor den \u00fcblichen Erkennungsmethoden zu verschleiern. Daher stelle ich das Ganze hier im Blog ein.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet<\/a> auf die Warnung gesto\u00dfen, die das Internet Storm Center (SANS ISC) gerade verbreitet. Es scheint sich aber noch nicht um eine gro\u00df angelegte Angriffskampagne zu handeln.<\/p>\n

\"ISO<\/a><\/p>\n

In dieser Erl\u00e4uterung<\/a> schreibt Xavier Mertens, dass ihm eine interessante Phishing-E-Mail untergekommen sei. Die Nachricht wurde wie \u00fcblich mit einem b\u00f6sartigen Anhang Order_Receipt.html<\/em> geliefert, bei dem es sich um eine einfache HTML-Seite handelt. Auf VirusTotal erkennen nur wenige Scanner die Malware<\/a> (VT-Wert von 5\/59).<\/p>\n

Hinweise:<\/strong> Falls ihr solche Mails erhaltet, rate ich davon ab, diese mal schnell versuchsweise im Browser zu \u00f6ffnen, um zu schauen, was sich dahinter verbirgt. Es k\u00f6nnte ein Drive-by-Download eingebettet sein, der schon zu einer Infektion f\u00fchrt. Gerade die Tage habe ich eine \u00e4hnliche Mail (von einem Absender, der mir bekannt vorkam) erhalten, die einen HTML-Anhang aufwies. Da aber keine Informationen in der E-Mail gegeben wurden – der Body war weitgehend leer, war klar, dass das ein Angriffsversuch war. Statt diesen Anhang mal schnell im Browser zu inspizieren, habe ich diesen auf die Festplatte gespeichert und in einem Editor ge\u00f6ffnet. Es gab dort einen Bitly-verk\u00fcrzten HTML-Link auf eine Zielseite und irgend etwas verschleiertes an HTML-Code. Als ich dann die Ziel-URL per Copy & Paste auf VirusTotal<\/a> pr\u00fcfen lie\u00df, wurde mir von zwei (von 93) Virenscannern best\u00e4tigt, dass die Zielseite sch\u00e4dlich sei.<\/p><\/blockquote>\n

Der in obiger Mail vom SANS ISC erw\u00e4hnte Anhang ist eine Textdatei und sieht, nach Ansicht von Mertens, daher weniger verd\u00e4chtig aus. Wenn die Seite im Browser des Opfers ge\u00f6ffnet wird, zeigt sie eine einfache Meldung an und bietet dem Opfer an, eine ISO-Datei herunterzuladen (siehe Screenshot in obigem Tweet).\u00a0Der Anfang der Seite ist mit \u00fcberfl\u00fcssigem Text gef\u00fcllt, der nicht angezeigt wird:<\/p>\n

\n
\n
\n
<center>\r\n<p align=\"left\"> <p style=\"font-size: 0px; display: none\">In this day and age, an appetizer can be difficult to\r\n...<\/p><\/pre>\n<\/div>\n<\/div>\n<\/div>\n
Mertens vermutet, dass damit die grundlegenden Sicherheitskontrollen, die nur den Anfang von Dateien im Anhang \u00fcberpr\u00fcfen, umgangen werden sollen. Die eigentliche ISO-Datei ist in eine Javascript-Funktion eingebettet und, wie \u00fcblich, Base64-kodiert. Nach der Entschl\u00fcsselung hat die Nutzlast einen VT-Wert von 10\/55<\/a>. Die HTML-Datei ist brandneu, aber die ISO-Datei wurde laut VirusTotal bereits vor 2 Monaten verwendet.<\/p>\n
Windows kann ab Windows 8.x zwar ISO-Dateien ohne weitere Software mounten. Interessant ist aber, so Xavier Mertens, dass sich diese ISO-Datei nicht mit Windows 10 mounten l\u00e4sst. Vielmehr kommt eine Meldung, dass das die ISO nicht mit dem NTFS-Filesystem formatiert sei.<\/p>\n
\"ISO<\/a><\/p>\n
Mertens ist es aber gelungen, die ISO-Datei unter Linux zu mounten. Dort fand er heraus, dass die ISO-Datei eine verschleierte VBScript-Datei APVSTYS43574.vbs <\/em>aufweist, die von Virustotal nicht als sch\u00e4dlich erkannt wird. Der VBScript-Code l\u00e4sst sich hier<\/a> einsehen. Das VBS-Skript versucht, die n\u00e4chste Stufe der Malware von einer (infizierten) Webseite herunterzuladen. Aber die Seite ist inzwischen nicht erreichbar, die Infektion wurde wohl bemerkt.<\/p>\n
Das alles ist jetzt kein riesiges Problem, aber ein Beispiel, wie Cyberkriminelle sehr unterschiedliche Wege versuchen, um Malware zu verschleiern und Kontrollen eingehender Mails zu umgehen. Daher habe ich das Beispiel mal f\u00fcr Administratoren hier im Blog eingestellt, damit diese ggf. ihre Sicherheitsregeln anpassen k\u00f6nnen.<\/p>\n
R\u00fcckblick auf Borns Sicherheits-Adventskalender 2021<\/strong><\/p>\n
1. Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2. Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3. Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4. Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6. Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7. Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8. Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9. Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10. Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11. Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15. Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16: H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17: Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18: Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22: Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23: BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Das Internet Storm Center (SANS ISC) warnt vor einiger neuen Angriffsmasche, die \u00fcber Phishing-Mails versucht wird. Die Angreifer versuchen sch\u00e4dliche Inhalte \u00fcber eine, in einer HTML-Seite eingebetteten, ISO-Datei an die Anwender zu verteilen. Interessant war f\u00fcr mich, dass sich die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262070","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262070"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262070\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262070"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}