{"id":274617,"date":"2022-11-01T11:18:30","date_gmt":"2022-11-01T10:18:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274617"},"modified":"2023-08-20T16:23:56","modified_gmt":"2023-08-20T14:23:56","slug":"windows-powershell-backdoor-als-teil-des-windows-update-prozesses-entdeckt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/01\/windows-powershell-backdoor-als-teil-des-windows-update-prozesses-entdeckt\/","title":{"rendered":"Windows PowerShell-Backdoor entdeckt; gibt sich als Teil des Windows Update-Prozesses aus"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/11\/01\/windows-powershell-backdoor-als-teil-des-windows-update-prozesses-entdeckt\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von SafeBreach sind k\u00fcrzlich auf eine bisher unbekannte PowerShell-Backdoor in Windows gesto\u00dfen. Diese verwendet ein b\u00f6sasartiges Word-Dokument, um die PowerShell-Scripte einzuschleusen. Die Backdoor kann\u00a0 Active Directory-Benutzer und Remote-Desktops auflisten und soll vermutlich zu einem sp\u00e4teren Zeitpunkt zur Ausbreitung in einem Netzwerk erm\u00f6glichen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/61388c64d0ec4a4e93af1725425fa269\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin bereits vor einigen Tagen \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/safebreach\/status\/1582356318442360832\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf diese Entdeckung aufmerksam geworden. Der Titel ist etwas missverst\u00e4ndlich &#8211; die PowerShell-Backdoor ist nicht \"undetectable\", sonst h\u00e4tten die Sicherheitsforscher diese nicht gefunden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/safebreach\/status\/1582356318442360832\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"New Windows PowerShell Backdoor\" src=\"https:\/\/i.imgur.com\/CNYbI8f.png\" alt=\"New Windows PowerShell Backdoor\" \/><\/a><\/p>\n<p>Die Details sind im Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20230314185841\/https:\/\/www.safebreach.com\/resources\/blog\/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor\/\" target=\"_blank\" rel=\"noopener\">SafeBreach Labs Researchers Uncover New Fully Undetectable PowerShell Backdoor<\/a> ver\u00f6ffentlicht worden. Die Hintert\u00fcr wurde durch einen bisher unbekannten Angreifer installiert und weist einige Besonderheiten bzw. Neuerungen auf.<\/p>\n<p><img decoding=\"async\" title=\"Malicious Word document &quot;Apply Form.docm&quot;\" src=\"https:\/\/i.imgur.com\/XobKiIz.png\" alt=\"Malicious Word document &quot;Apply Form.docm&quot;\" \/><br \/>\nWord document \"Apply Form.docm\", Quelle: SafeBreach<\/p>\n<ul>\n<li>Am 25. August 2022 wurde ein b\u00f6sartiges Word-Dokument <em>Apply Form.docm<\/em> erstmals verteilt (die Sicherheitsforscher schreiben etwas von \"hochgeladen\"). Das Word-Dokument enth\u00e4lt einen einen Makrocode, der ein unbekanntes PowerShell-Skript startet.<\/li>\n<li>Aus den Metadaten der Datei geht hervor, dass diese Kampagne mit einem angeblichen LinkedIn-basierten Spearphishing-K\u00f6der f\u00fcr Stellenbewerbungen zusammenhing.<\/li>\n<li>Das Makro legt die Datei <em>updater.vbs<\/em> auf dem Opfersystem ab und erstellt eine geplante Aufgabe unter Windows, die vorgibt, Teil eines Windows-Updates zu sein. Diese Aufgabe f\u00fchrt dann das Skript <em>updater.vbs <\/em>im Ordner \"%appdata%\\local\\Microsoft\\Windows\" aus. Dieser Vorgang erfordert imho aber administrative Berechtigungen.<\/li>\n<li>Das als Task ausgef\u00fchrte Script <em>updater.vbs<\/em> f\u00fchrt dann ein PowerShell-Script aus.<\/li>\n<li>Bevor die geplante Aufgabe ausgef\u00fchrt wird, werden zwei PowerShell-Skripte mit den Namen <em>Script.ps1<\/em> und <em>Temp.ps1 <\/em>erstellt. Der Inhalt der PowerShell-Skripte wird in Textfeldern innerhalb des Word-Dokuments und in dem angelegten appdata-Verzeichnis gespeichert. Beide Scripte sind obfuscated und werden auf Virustotal nicht als sch\u00e4dlich erkannt.<\/li>\n<\/ul>\n<p>Das PowerShell-Script <em>Script1.ps1 <\/em>stellt eine Verbindung zum C2-Server her, um die auszuf\u00fchrenden Befehle zu erhalten. Das Skript parst die Befehle und f\u00fchrt das Skript <em>Temp.ps1<\/em> f\u00fcr jeden Befehl mit dem Parameter c aus. Die Sicherheitsforscher haben bestimmte Befehle f\u00fcr Systeme der Opfer ausgef\u00fchrt. Mit den Scripten lassen sich zum Beispiel:<\/p>\n<ul>\n<li>Prozesslisten abrufen<\/li>\n<li>Lokale Benutzer auflisten<\/li>\n<li>Dateien in bestimmten Ordnern auflisten<\/li>\n<li>das Active Director sowie RDP-Client-Verbindungen auflisten<\/li>\n<\/ul>\n<p>Zudem k\u00f6nnen per Script beispielsweise Dateien von \u00f6ffentlichen Ordnern, Netzwerkfreigaben etc. gel\u00f6scht werden. Die Sicherheitsforscher beschreiben weitere Details der Script-Funktionen in <a href=\"https:\/\/web.archive.org\/web\/20230314185841\/https:\/\/www.safebreach.com\/resources\/blog\/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von SafeBreach sind k\u00fcrzlich auf eine bisher unbekannte PowerShell-Backdoor in Windows gesto\u00dfen. Diese verwendet ein b\u00f6sasartiges Word-Dokument, um die PowerShell-Scripte einzuschleusen. Die Backdoor kann\u00a0 Active Directory-Benutzer und Remote-Desktops auflisten und soll vermutlich zu einem sp\u00e4teren Zeitpunkt zur Ausbreitung in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/01\/windows-powershell-backdoor-als-teil-des-windows-update-prozesses-entdeckt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-274617","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274617"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274617\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}