Verdachte e-mail napluizen

Marco den Teuling30 maart, 2018• min. leestijd

Phishing is nog steeds een flink probleem waar nog veel mensen intuinen. Hoe kun je nu zelf bij een verdachte e-mail nagaan of je beduveld wordt of niet?

Voorheen werden dit soort mails vooral gebruikt om bank- en creditcardgegevens te ontfutselen. Naast e-mail wordt phishing veel ingezet voor het verspreiden van malware/ ransomware binnen een thuis- of bedrijfsnetwerk om zoveel mogelijk informatie te verzamelen of losgeld te eisen. Het laat een spoor van vernieling en een ongemakkelijk gevoel bij slachtoffers achter (een wijze les voor een betere back-upstrategie). Overduidelijk slecht geschreven tekst, teksten in het Russisch, Engels of onsamenhangende zinnen die nergens op slaan zijn een duidelijk signaal om een e-mail direct naar de spambox of prullenbak te verbannen. Maar phishingmails en andere dubieuze e-mails worden steeds geraffineerder.

Verdachte e-mail: een praktijkvoorbeeld

We nemen een mail uit de archieven als voorbeeld (zie afbeelding). Daar lijkt op het eerste gezicht vrij weinig mis mee: het is geschreven in goed Nederlands en zelfs de adresgegevens van de ontvanger staan er correct in. En het is afkomstig van een normaal ogend .nl-domein. Maar er wordt gelinkt naar een Word-document, een truc die veel wordt toegepast om via macro’s scripts uit te voeren en je te infecteren met malware.

De eerste stap is de headers van het bericht erbij pakken om te controleren of er vreemde constructies worden gebruikt. De e-mail lijkt inderdaad van vanloosbroektransport.nl te komen. Zij hebben echter geen eigen mailserver, maar maken gebruik van host23.registrar-servers.com. Dit hoeft op zich niet vreemd te zijn, want hoe je dit instelt is afhankelijk van de gebruikte hosting. De domeinnaamgegevens opvragen via www.sidn.nl laat wel verdachte informatie zien. De domeinnaam is pas 1 dag voordat het bericht is verstuurd geregistreerd. De persoonsgegevens zitten achter privacyprotect.org verstopt, dat is nogal vreemd voor een legitiem opererend transportbedrijf. De website zelf kan zelfs heel netjes en normaal ogen, of je meteen overdonderen met malware via pop-ups of andere ongure content. Vaak werken de websites geheel niet, ook weer een signaal dat er iets niet in de haak is.

Gelinkte bestanden

Als onderzoeker, securitybedrijf of gevorderde gebruiker kun je nog verder gaan om verdachte e-mail helemaal uit te pluizen. We gaan ons nu richten op de link in het bericht die naar een Word-document verwijst. Omdat je niet weet wat er gebeurt als je op de link klikt of het document downloadt, kun je de volgende stappen het beste uitvoeren binnen een virtuele machine waar je een snapshot van gemaakt hebt. Het Word-document kun je op verschillende manieren binnenhalen. Een tool die vaak wordt gebruikt voor dit soort doeleinden is wget. Dit programma is zowel onder Linux als Windows te gebruiken. Nadat je het document hebt binnengehaald is het tijd om het onder de loep te nemen. Dit kan statisch of dynamisch.

Met statische analyse ga je kijken hoe het Word-document in elkaar zit, welke eigenschappen het bezit en of je kan zien of het dubieus is of niet. Een handige tool voor statische analyse is oledump van Didier Stevens. Het nadeel van statische analyse is dat het (veel) tijd kost voordat je weet wat het precies doet. Dynamische analyse is makkelijker en sneller: je opent het Word-document en kijkt wat er gebeurt. Een kant-en-klare sandbox gebruiken is ook een optie. Deze kan je zelf downloaden en installeren. Cuckoo is een bekende sandbox die gratis is te downloaden en eenvoudig is in gebruik. Je installeert hem, geeft het verdachte bestand door en in een paar minuten geeft de tool je een gedetailleerd rapport met daarin wat het bestand doet zodra je het uitvoert in een realistische maar veilig afgesloten omgeving.

Een online sandbox gebruiken kan ook. Een bekende is reverse.it, waar we het bewuste Word-document naar hebben geüpload. Als we naar de pagina met resultaten gaan, dan zien we relatief weinig gebeuren. Er worden geen verbindingen opgezet naar servers, er worden geen bestanden gedownload, kortom er gebeurt vrij weinig. Wel zit er een VBA-script in verstopt, een aanknopingspunt om mee verder te gaan.

Verdacht script

We kunnen met oledump de VBA-code uit het document halen en analyseren, of besluiten ons eigen virtuele systeem te infecteren (dynamische analyse). Als we onze gesnapshotte virtuele machine infecteren en vervolgens de eventuele malware eraf halen en de snapshot restoren, kunnen we het daarna gaan analyseren. Na het starten van het document zien we met processhacker dat het regasm.exe uitvoert. Dit proces wordt vaak gebruikt om malware te verbloemen. Nu kunnen we met processhacker het geheugen bekijken van regasm.exe en al snel zien we de malware.

We dumpen dit gedeelte van het geheugen via processhacker en hebben nu de uiteindelijke malware te pakken die obfuscated is via confuserex, wederom een veel misbruikte tool binnen de malwarescene. Omdat dynamische analyse hier ons niet verder meer gaat helpen moeten we overgaan op statische analyse. Gelukkig zijn er aardig wat filmpjes en informatie beschikbaar die beschrijven hoe we de binary kunnen deobfuscaten. Nu kan met een standaard decompiler, zoals dotpeek, de malware goed worden geanalyseerd en weten we hoe hij te werk gaat.

Jornt van der Wiel, Kaspersky

Tips om jezelf online te wapenen vind je onder andere in ‘Optimale security’, c’t 4/2018

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

HPE beveiliging: veiligheid van chip tot cloud

HPE beveiliging biedt functies voor HPE ProLiant Gen11-servers die zijn ontworpen om zorgen over computerbeveiliging weg te nemen.

partnerblogs

23/04/2024

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

ASUS is een fabrikant die vaak nieuwe dingen probeert, geheel volgens de slogan 'In search of Incredible'. Bekijk dit overzicht maar eens.

partnerblogs

23/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Verdachte e-mail napluizen

Verdachte e-mail: een praktijkvoorbeeld

Gelinkte bestanden

Verdacht script

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!

Verdachte e-mail napluizen

Verdachte e-mail: een praktijkvoorbeeld

Gelinkte bestanden

Verdacht script

Meer over

Deel dit artikel

Lees ook

HPE beveiliging: veiligheid van chip tot cloud

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

Lees ook

Softlink

Blijf op de hoogte!