Hoe WinRAR en Office 365 de sleutel vormen tot een perfecte APT-aanval

Een hacker-groep genaamd MuddyWater heeft afgelopen maand aanvallen uitgevoerd tegen Windows-klanten in de satelliet- en communicatiesector. De zogeheten Advanced Persistent Threat (APT)-aanval, waarbij aanvallers langdurig en doelgericht cyberaanvallen uitvoeren, ging gepaard met ongebruikelijke, interessante technieken, aldus Microsoft.

APT-aanvallen richten zich vooral op landen en organisaties en hebben als doel continu toegang te krijgen en gegevens te stelen. Microsoft’s Office 365 Advanced Threat Protection (ATP) ontdekte archiefbestanden (ACE) met de onlangs ontdekte WinRAR-fout (CVE-2018-20250). Een kwetsbaarheid die de afgelopen maanden volgens ZDnet veelvuldig zou zijn gebruikt door cybercriminaliteitsgroepen en nationale hackers.

De MuddyWater-groep richt zich op gebruikers in het Midden-Oosten, Europa en de VS. Hun activiteiten werden voor het eerst opgemerkt in 2017. De groep staat erom bekend via phishing documenten te bemachtigen. Ze willen zo achterhalen of deze documenten afkomstig zijn van beveiligingswapens van verschillende regeringen.

Spear-phishing e-mail

Voor wat betreft de de aanval op Microsoft’s Office 365 ATP gebruikte MuddyWater een spear-phishing e-mail, die zogenaamd afkomstig was van het ministerie van Buitenlandse Zaken van Afghanistan. In de e-mail zou om ‘zeer specifieke doelen’ voor hulpbronnen, telecommunicatiediensten en satellietkaarten zijn gevraagd.

 

In de e-mail zou om ‘zeer specifieke doelen’ voor hulpbronnen, telecommunicatiediensten en satellietkaarten zijn gevraagd.

 

De social engineering die tijdens de aanval werd gebruikt, was ontworpen om een volledige remote compromis van een machine te garanderen. Dit alles binnen de beperkingen van de WinRAR-exploit. Een bijgevoegd Word-document adviseerde de gebruiker om een ander document via een OneDrive-koppeling te downloaden, een zonder macro’s. Waarschijnlijk met als doel het voorkomen van detectie.

Werkwijze MuddyWater

Door op de koppeling te klikken, wordt er een tweede Word-document gedownload. Dit keer wél voorzien van een schadelijke macro. Bij het negeren van de beveiligingswaarschuwing over macro’s wordt de lading van de malware op de pc afgeleverd. Hetzelfde document zou ook nog een knop ‘volgende pagina’ bevatten, die een valse waarschuwing weergeeft over het ontbreken van een bepaald DLL-bestand. Het advies is vervolgens dat de computer opnieuw moet worden opgestart om dat probleem te verhelpen.

Zodra de macro is ingeschakeld, verzamelt een PowerShell-script informatie over het systeem. Vervolgens wordt het met een unieke ID gelabeld en verzonden naar een externe server. Het script is ook het belangrijkste mechanisme voor het ophalen van het kwaadwillende ACE-bestand met de exploit voor CVE-2018-20250. Hierbij wordt de payload dropbox.exe genoemd.

Bij deze specifieke aanval werd de dropbox.exe naar de map Startup-folder verplaatst, zodra de gebruiker probeerde om drie JPEG-bestanden uit het ACE-archief te extraheren.

Startup-folder

De WinRAR-fout (CVE-2018-20250) staat de malware alleen toe om bestanden naar een opgegeven map te schrijven. Alleen kan de actie niet onmiddellijk worden uitgevoerd, aldus Rex Plantado van het Microsoft Office 365 ATP onderzoeksteam. Vandaar de leugen over een ontbrekend DLL-bestand en de daarom bijkomende noodzaak om de computer opnieuw op te starten. Het laden van de payload in de Startup-folder is in deze daarom ook ideaal, aangezien deze automatisch wordt gestart bij het opnieuw opstarten van de computer.

 

Deze backdoor kan een externe aanvaller in staat stellen de volledige macht over de besmette machine over te nemen

 

“De payload dropbox.exe voert dezelfde acties uit als de schadelijke macrocomponent, die ervoor zorgt dat de PowerShell-backdoor actief is. Deze backdoor kan een externe aanvaller in staat stellen de volledige macht over de besmette machine over te nemen en er een startschot voor te maken voor kwaadwillende acties. Het in een vroeg stadium blootleggen en stoppen van aanvallen is van cruciaal belang. Dit om bijkomende, doorgaans meer schadelijke gevolgen van niet-gedetecteerde malware-implantaten te voorkomen”, aldus Plantado.

De kwaadaardige macro gebruikt volgens de onderzoeker geavanceerde technieken om detectie te omzeilen, inclusief het gebruik van de eigen scripting engine van Microsoft. Op een bepaald moment voert de macro zelf een wscript.exe uit, om het PowerShell-script tijdens runtime te starten. Plantado: ”Het PowerShell-script zelf raakt de schijf niet aan, waardoor het een niet-compleet onderdeel van de aanvalsketen wordt. Living-off-the-land, een techniek om bronnen te gebruiken die reeds beschikbaar zijn op het systeem, zoals wscript.exe, om zo schadelijke codes direct in het geheugen uit te voeren, is een andere manier waarop deze aanval detectie probeert te ontduiken.”

Nalatigheid gebruikers versie update

Het Israëlische beveiligingsbedrijf Check Point maakte 20 februari al melding van een kwaadaardig ACE-bestand. Deze is in staat overal op een Windows pc malware te plaatsen, nadat het door WinRAR is uitgepakt. Zo is volgens Check Point ondermeer de Windows Startup-folder een van de locaties waar de malware automatisch bij een reboot wordt uitgevoerd. Volgens Microsoft is het ook mogelijk het bestand in bekende of vooraf bepaalde SMB-mappen te plaatsen.

 

We vermoeden dat een groot deel van de 500 miljoen WinRAR-gebruikers geen update hebben gedaan.

 

WinRAR-ontwikkelaars hadden een maand voor de publicatie van het rapport van Check Point al een nieuwe versie uitgebracht, die support voor ACE liet vallen. Deze aanpassing gebeurde nadat de ontwikkelaars er niet in slaagden een bibliotheek in WinRAR, genaamd Unacev2.dll, te updaten. Iets dat noodzakelijk was, gezien de bibliotheek een directory traversal-fout bevatte. De publicatie van het rapport doet vermoeden dat een groot deel van de ruim 500 miljoen wereldwijde WinRAR-gebruikers geen update naar de non-ACE versie hebben gedaan. Laat staan het verwijderen van de kwetsbare DLL-folder.

Lees ook: Killer malware-code’ Triton treft opnieuw fabriek met vitale infrastructuur