PDF-Malware ist noch nicht tot

In den letzten zehn Jahren haben Angreifer es vorgezogen, Malware in Microsoft Office-Dateiformaten zu verpacken, insbesondere in Word und Excel. Tatsächlich verwendete im ersten Quartal 2022 fast die Hälfte (45 %) der Malware, die von HP Wolf Security gestoppt wurde, Office-Formate. Die Gründe liegen auf der Hand: Benutzer sind mit diesen Dateitypen vertraut, die Anwendungen, mit denen sie geöffnet werden, sind allgegenwärtig und sie eignen sich für Social-Engineering-Köder.

In diesem Beitrag betrachten wir eine Malware-Kampagne, die Anfang dieses Jahres von HP Wolf Security isoliert wurde und eine ungewöhnliche Infektionskette hatte. Die Malware kam in einem PDF-Dokument an – ein Format, das Angreifer weniger häufig verwenden, um PCs zu infizieren – und verließ sich auf mehrere Tricks, um der Erkennung zu entgehen, wie das Einbetten schädlicher Dateien, das Laden von remote gehosteten Exploits und Shellcode-Verschlüsselung.

Abbildung 1 – Warnungszeitachse im HP Wolf Security Controller, die die isolierte Malware zeigt.

PDF-Kampagne liefert Snake Keylogger

Ein PDF-Dokument mit dem Namen “ÜBERWEISUNGSRECHNUNG.pdf“ wurde als E-Mail-Anhang an ein Ziel gesendet. Da das Dokument von einem riskanten Vektor – in diesem Fall E-Mail – stammte, als der Benutzer es öffnete, führte HP Sure Click die Datei in einer isolierten virtuellen Mikromaschine aus, um eine Infektion des Systems zu verhindern.

Nach dem Öffnen des Dokuments fordert Adobe Reader den Benutzer auf, eine .docx-Datei zu öffnen. Die Angreifer nannten das Word-Dokument heimlich “wurde bestätigt. Allerdings PDF, JPEG, xlsx, .docx“, damit es so aussieht, als wäre der Dateiname Teil der Adobe Reader-Eingabeaufforderung (Abbildung 2).

Abbildung 2 – PDF-Dokument, das den Benutzer auffordert, ein anderes Dokument zu öffnen.

Die Analyse der PDF-Datei zeigt, dass die .docx-Datei als EmbeddedFile-Objekt gespeichert ist. Ermittler können die wichtigsten Eigenschaften eines PDF-Dokuments schnell zusammenfassen, indem sie Didier Stevens’ pdfid Skript (Abbildung 3).

Abbildung 3 – PDFiD-Analyse des Dokuments.

Zur Analyse der Eingebettete Dateikönnen wir ein weiteres Tool aus der Toolbox von Didier Stevens verwenden, pdf-Parser. Mit diesem Skript können wir die Datei aus dem PDF-Dokument extrahieren und auf der Festplatte speichern.

Abbildung 4 – Verwenden pdf-Parser eingebettete Datei auf der Festplatte zu speichern.

Eingebettetes Word-Dokument

Wenn wir zu unserem PDF-Dokument zurückkehren und an der Eingabeaufforderung auf „Diese Datei öffnen“ klicken, öffnet sich Microsoft Word. Wenn die geschützte Ansicht deaktiviert ist, lädt Word eine RTF-Datei (Rich Text Format) von einem Webserver herunter, die dann im Kontext des geöffneten Dokuments ausgeführt wird.

Abbildung 5 – Word-Dokument, das den Webserver kontaktiert.

Da Microsoft Word nicht sagt, welchen Server es kontaktiert hat, können wir mit Wireshark den Netzwerkverkehr aufzeichnen und den erzeugten HTTP-Stream identifizieren (Abbildung 6).

Abbildung 6 – HTTP GET-Anfrage, die eine RTF-Datei zurückgibt.

Wechseln wir zurück zum Word-Dokument, um zu verstehen, wie es die RTF-Datei herunterlädt. Da es sich um eine OOXML-Datei (Office Open XML) handelt, können wir ihren Inhalt entpacken und mit dem in Abbildung 7 gezeigten Befehl nach URLs im Dokument suchen.

Abbildung 7 – Liste der URLs im Word-Dokument.

Die hervorgehobene URL ist uns aufgefallen, da es sich nicht um eine legitime Domäne handelt, die in Office-Dokumenten zu finden ist. Diese URL ist in der document.xml.rels Datei, die die Beziehungen des Dokuments auflistet. Die Beziehung, die uns aufgefallen ist, zeigt, dass ein externes Objekt zum Verknüpfen und Einbetten (OLE) von dieser URL geladen wird (Abbildung 8).

Abbildung 8 – XML-Dokumentbeziehungen.

Externes OLE-Objekt

Die Verbindung zu dieser URL führt zu einer Weiterleitung und lädt dann ein RTF-Dokument mit dem Namen herunter f_document_shp.doc. Um dieses Dokument genauer zu untersuchen, können wir es verwenden rtfobj um zu überprüfen, ob es OLE-Objekte enthält.

Abbildung 9 – RTFObj-Ausgabe mit zwei OLE-Objekten.

Hier gibt es zwei OLE-Objekte, die wir mit demselben Tool auf der Festplatte speichern können. Wie in der Konsolenausgabe angegeben, sind beide Objekte nicht wohlgeformt, was bedeutet, dass sie mit analysiert werden Oletools könnte zu verwirrenden Ergebnissen führen. Um dies zu beheben, können wir verwenden vor allem um die missgebildeten Objekte zu rekonstruieren. Dann können wir grundlegende Informationen zu den Objekten anzeigen, die verwendet werden ölig. Dies sagt uns, dass sich das Objekt auf den Microsoft Equation Editor bezieht, eine Funktion in Word, die häufig von Angreifern ausgenutzt wird, um beliebigen Code auszuführen.

Abbildung 10 – Grundlegende OLE-Informationen, extrahiert mit ölig.

Exploit für den verschlüsselten Gleichungseditor

Die Untersuchung des OLE-Objekts zeigt Shellcode, der die Sicherheitsanfälligkeit CVE-2017-11882 zur Remotecodeausführung im Formeleditor ausnutzt. Es gibt viele Analysen zu dieser Schwachstelle, daher werden wir sie nicht im Detail analysieren. Stattdessen konzentrieren wir uns im Folgenden darauf, wie der Angreifer den Shellcode verschlüsselt hat, um der Erkennung zu entgehen.

Abbildung 11 – Shellcode, der CVE-2017-11882 ausnutzt.

Der Shellcode ist in der gespeichert OLENativeStream Struktur am Ende des Objekts. Wir können den Shellcode dann in einem Debugger ausführen und nach einem Aufruf suchen GlobalLock. Diese Funktion gibt einen Zeiger auf das erste Byte des Speicherblocks zurück, eine Technik, die von Shellcode verwendet wird, um sich selbst im Speicher zu lokalisieren. Unter Verwendung dieser Informationen springt der Shellcode zu einem definierten Offset und führt eine Entschlüsselungsroutine aus.

Abbildung 12 – Multiplikations- und Additionsteil der Entschlüsselungsroutine.

Der Schlüssel wird mit einer Konstanten multipliziert und bei jeder Iteration addiert. Der Chiffretext wird dann jedes Mal mit einer XOR-Operation entschlüsselt. Die entschlüsselten Daten sind weiterer Shellcode, der anschließend ausgeführt wird.

Abbildung 13 – Entschlüsselter Shellcode, der die Payload-URL darstellt.

Ohne es weiter auszuführen, sehen wir, dass die Malware eine ausführbare Datei mit dem Namen herunterlädt fresh.exe und führt es im öffentlichen Benutzerverzeichnis mit aus ShellExecuteExW. Die ausführbare Datei ist Snake Keylogger, eine Familie von Informationen stehlender Malware, über die wir bereits geschrieben haben. Aus dieser Schadsoftware können wir jetzt Indikatoren für Kompromittierung (IOCs) extrahieren, zum Beispiel durch dynamische Analyse. An diesem Punkt haben wir die komplette Infektionskette analysiert und IOCs gesammelt, die nun für Bedrohungsjagden oder den Aufbau neuer Erkennungen verwendet werden können.

Fazit

Während Office-Formate weiterhin beliebt sind, zeigt diese Kampagne, wie Angreifer auch bewaffnete PDF-Dokumente verwenden, um Systeme zu infizieren. Das Einbetten von Dateien, das Laden von remote gehosteten Exploits und das Verschlüsseln von Shellcode sind nur drei Techniken, mit denen Angreifer Malware unter dem Radar ausführen. Die ausgenutzte Schwachstelle in dieser Kampagne (CVE-2017-11882) ist über vier Jahre alt, wird aber weiterhin verwendet, was darauf hindeutet, dass der Exploit für Angreifer weiterhin effektiv ist.

IOCs

ÜBERWEISUNGSRECHNUNG.pdf
05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d

wurde bestätigt. jedoch pdf, jpeg, xlsx, .docx
250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe

f_document_shp.doc
165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f

f_document_shp.doc_object_00001707.raw
297f318975256c22e5069d714dd42753b78b0a23e24266b9b67feb7352942962

Shellcode ausnutzen
f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e

fresh.exe (Schlangen-Keylogger)
20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803

Externe OLE-Referenz-URL
hxxps://vtaurl[.]com/IHytw

Finale URL der externen OLE-Referenz
hxxp://192.227.196[.]211/tea_shipping/f_document_shp.doc

Snake Keylogger-Nutzlast-URL
hxxp://192.227.196[.]211/FRESH/fresh.exe

Snake Keylogger-Exfiltration über SMTP
mail.saadzakhary[.]com:587

Author: admin

Leave a Reply

Your email address will not be published. Required fields are marked *