Malware 101

Einfache Schadcode-Analyse mit simplen Tools

| Autor / Redakteur: Yaniv Balmas* / Stephan Augsten

Erste Erkenntnisse beim Betrachten der Samples

Sample01 enthält die eingebettete Zeichenkette ‚C:\local0\asf\release\build-2.2.14\support\Release\ab.pdb.‘. Dies ist ein Rest der Build-Umgebung und liefert Informationen über die lokalen Verzeichnisse des Build-Computers, den Nutzernamen „asf“ und den Dateinamen „ab“.

Wer mit Websystemen oder den üblichen Hacking-Tools vertraut ist, sollte jetzt aufmerksam werden. Der Name bezieht sich auf das „Apache Benchmarking“-Tool, das üblicherweise als Stress-Test-Tool für Internetseiten genutzt wird und maßgeschneiderte, Web-basierte Traffic-Beispiele produziert.

Sample02 enthält eine Menge eingebetteter Zeichenketten, von denen einige den Banner der Datei offenbaren.

mimikatz 2.0 alpha x64 (oe.eo)

.#####. mimikatz 2.0 alpha (x64) release “Kiwi en C”

.## ^ ##.

## / \ ## /* * *

## \ / ## Benjamin DELPY `gentilkiwi`

‚## v ##’ http://blog.gentilkiwi.com/mimikatz

‚#####’

Der Name ‚mimikatz’ könnte dem einen oder anderen ebenfalls vertraut sein: Hierbei handelt es sich um ein Tool zum Extrahieren von Passwörtern aus dem Speicher eines Windows-Betriebssystems. Der Rest der Zeichenketten bestätigt diese Theorie, da sie sich alle in dem im Internet verfügbaren offenen Quellcode ‚mimikatz’ befinden.

Sample03 enthält eingebettete Zeichenketten, die im Grunde die gleichen sind, wie die aus Sample01. Des Weiteren weist das Sample die Zeichenkette: ‚C:\local0\asf\release\build-2.2.14\support\Release\ab.pdb.‘ auf. Dies ist ein Zeichen dafür, dass es sich möglicherweise um die gleiche Datei handelt.

Sample04 ist sehr groß. Für eine klassische Malware ist das ungewöhnlich, da sie normalerweise nicht größer als 200 Kilobyte ist. Das Beispiel enthält viele eingebettete Ressourcen und ist mit einem digitalen Zertifikat signiert, das auf ‚SOFTPERFECT PTY. LTD‘ ausgestellt ist.

Eine Google-Suche führt zu Softperfect.com, einem (auf den ersten Blick) rechtmäßigen Software-Unternehmen mit einer breiten Produktpalette. Bei näherer Betrachtung der Anbieterinformationen des Verkäufers stellt sich jedoch heraus, dass es sich lediglich um eine verschleierte Version des Softperfect Netzwerk-Scanners handelt.

Sample07 enthält nicht viele importierte Zeichenketten, doch die meisten der vorhandenen Strings haben verdächtige System-Dateinamen - ‚svchost.exe’, ‚ntvdm.exe’, ‚lssas.exe’ - sowie einen Text-Dateinamen ‚tracks.txt’.

Sample09 enthält einige interessante, eingebettete Zeichenketten, zu denen ‚getmypass’, ‚1.ini’ und ‚rep.bin’ gehören.

Das von einer Certificate Authority signierte Zertifikat von ‚Bargaining Active’.
Das von einer Certificate Authority signierte Zertifikat von ‚Bargaining Active’. (Bild: Check Point Software)

Die meisten dieser Dateien sind zudem mit dem gleichen digitalen Zertifikat signiert, das für ein Unternehmen namens ‚Bargaining Active’ ausgestellt wurde. Das Zertifikat wurde am 8. Mai 2014 vergeben und ein paar Minuten später sofort widerrufen. Die Person hinter diesem Zertifikat identifiziert sich selbst mit der E-Mail-Adresse ‚pashulke67@gmail.com‚.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43325254 / Malware)