DearMail: onderzoek naar spam-runs

DearMail: onderzoek naar spam-runs

DearBytesAlertsDearMail: onderzoek naar spam-runs

donderdag 4 februari 2016

DearBytes levert managed service en cloud-diensten onder andere op het vlak van e-mailbeveiliging. In onze DearMail dienst zien wij daardoor regelmatig e-mails voorbij komen waarmee geprobeerd wordt om malware te installeren op de computer van geadresseerde.

Vanuit de DearMail dienst hebben medewerkers van DearBytes geconstateerd dat de laatste dagen een aantal opvallende “spam-runs” plaatsvindt. In deze spam-runs proberen kwaadwillenden de slachtoffers te infecteren met Ransomware door ze JScript bestanden uit de bijlage te laten openen. Dit gedrag hebben wij eerder geconstateerd, zoals te zien is in het eerder door DearBytes gepubliceerde JS infector blog. Onze analisten hebben onderzoek gedaan naar de nieuwe spam-runs. Via deze weg delen wij graag de bevindingen.

E-mails spam-runs

Wij hebben twee spam-runs onderzocht:

Spam-run 1:

  • Bijlage naam: DOC201114-201114-001.js
  • mail subject: More scans
  • afzender: Admin <admin@<yourdomain.nl>>

Spam-run 2:

  • Bijlage naam: <3 random letters>.zip met daarin invoice_copy_<6 random letters>.js
  • Mail subject: leeg
  • Afzender: random

Obfuscatie in JScript bestanden

In de JScript bestanden is obfuscatie toegepast. Op die manier wordt de daadwerkelijke functionaliteit van de code onduidelijk gemaakt. Met obfuscatie ziet het script van de eerste spam run er als volgt uit.

dearmail_spam_run1

Figure 1 Obfuscated script van spam run 1

In de tweede spam run zijn slechts een aantal delen voorzien van obfuscatie.

dearmail_spam_run_2

Figure 2 Obfuscated delen in script van spam run 2

 

Werkelijke JScript code

Wij hebben de obfuscatie van de verschillende scripts ongedaan gemaakt. Daardoor werd de eigenlijke functionaliteit van de scripts bekend:

dearmail_spam_run_3

Figuur 3 Deobfuscated script van spam run 1

Uit bovenstaande informatie valt op te maken dat de eerste spam run een download uitvoert van een uitvoerbaar bestand (.exe). Deze wordt in de “Temp” folder opgeslagen als een .scr bestand. De malware wordt gedownload vanaf het domein cafecl.1pworks.com (120.136.10.15). Uit Virustotal blijkt dat deze malware tot op heden door slechts één virusscanner gedetecteerd wordt. Deze malware wordt aangemerkt door deze virusscanner als Ransomware, echter hebben wij dit niet kunnen verifiëren.

dearmail_spam_run_4

Figure 4 Delen deobfuscated uit spam run 2

Het tweede script downloadt en start eveneens een executable. Deze executable wordt gedownload vanaf de domeinen helloworldqqq.com (173.82.74.197) of wtfisgoingonhereff.com (geen DNS aanwezig). Uit Virustotal blijkt dat deze malware tot op heden door slechts vier virusscanner gedetecteerd wordt. Uit onze malware analyse blijkt dat het ransomware betreft:

dearmail_spam_run_5

Figuur 5 Ransomware uit spam-run 2

 

Wat kunt u doen?

Firewall

Wij adviseren om de gevonden domeinnamen en ip-adressen te blokkeren in uw firewalls. Via historische analyse kunt u bekijken of er systemen in de voorbije dagen connecties naar deze adressen gemaakt hebben om sluimerende infecties te vinden.

  • cafecl.1pworks.com (120.136.10.15)
  • helloworldqqq.com (173.82.74.197)
  • wtfisgoingonhereff.com

E-mail

Verder is het raadzaam attachments met een extensie van .JS (JScript) in e-mail te blokkeren, zodat deze niet geopend kunnen worden door uw werknemers. DearBytes heeft een lijst gemaakt met bestandstypen die geblokkeerd kunnen worden in de mail server om malware via bijlage te beperken.

VirusScan Enterprise

Gebruikmakend van Access Protection in McAfee VirusScan Enterprise kunt u de uitvoer van JScript bestanden blokkeren. Hiervoor heeft DearBytes een eigen rule ontwikkeld. Deze Access Protection rule blokkeert het starten van .js bestanden via cscript.exe en wscript.exe, waardoor de uitvoer van JScripts niet plaats kan vinden. Door alleen cscript.exe en wscript.exe op te nemen, wordt het gebruik van .js bestanden in web-browsers genegeerd, omdat dit enorme negatieve bijeffecten zou hebben.

Deze Access Protection rule kan naar alle endpoints worden uitgerold via ePO. Let wel DearBytes adviseert altijd een dergelijke regel eerst in monitor mode in te schakelen, pas als eventuele false-positives uitgefilterd zijn effectief te gaan blokkeren. Indien u hulp wenst hierbij, neem dan contact op met uw accountmanager.

De onderstaande afbeelding toont de Access Protection regel die het lezen van .JS bestanden voor cscript en wscript.exe blokkeert. In de test heeft een gebruiker dubbel geklikt op het test.js bestand, vervolgens regelt Access Protecton dat de bestanden niet uitgevoerd worden.

dearmail_spam_run_6