Spam is niet alleen vervelend omdat het inboxen kan vervuilen; spam wordt ook regelmatig gebruikt om malware te verspreiden. Tesorion analyseert automatisch spam-emails om onder andere de verspreiding van malware via deze weg te kunnen volgen. Malware wordt regelmatig via spam verspreid. Soms zit de malware direct als attachment aan de email (zoals bijvoorbeeld in de Formbook campaign die we eerder dit jaar beschreven). In andere gevallen bevat de email een kwaadaardig attachment dat moet zorgen voor het downloaden en uitvoeren van de daadwerkelijke malware. Vaak vereist een dergelijk attachment interactie met de gebruiker. De gebruiker wordt bijvoorbeeld verleid om macro’s aan te zetten in een Word document, zodat er een script gestart kan worden om de malware te downloaden en te installeren.
Het komt echter ook voor dat enkel het openen van zo’n kwaadaardig attachment voldoende is om het downloaden en installeren van de malware te starten, bijvoorbeeld als het attachment zelf een kwetsbaarheid van het systeem misbruikt om actief te worden. Een voorbeeld van een dergelijke kwetsbaarheid is CVE-2017-11882. Bij deze kwetsbaarheid kan enkel het openen van een .doc-file voldoende zijn om met malware geïnfecteerd te worden. Ondanks het feit dat patches voor deze kwetsbaarheid in november 2017 beschikbaar gekomen zijn, wordt CVE-2017-11882 nog steeds actief gebruikt voor het verspreiden van malware. Er is zelfs recent een sterke toename in misbruik van deze kwetsbaarheid. Microsoft zelf waarschuwde hier onlangs zelf ook nog voor via Twitter.
We beschrijven hieronder een voorbeeld van een recente spam-email met een attachment die CVE-2017-11882 misbruikt om de Azorult malware te downloaden en te installeren. Dit voorbeeld toont weer eens aan hoe belangrijk het is om patch management binnen uw organisatie op orde te hebben, om de kansen op dit soort infecties via spam te minimaliseren.
Spam met CVE-2017-11882 gebruikt om Azorult te verspreiden
Eerder deze week verwerkte de geautomatiseerde systemen van Tesorion een engelstalige spam-email die gebruikt werd om de Azorult malware te verspreiden. De email zelf vertoont een aantal kenmerken die typerend zijn voor dit soort ongerichte spam: zo staat er geen informatie in die gaat over de ontvanger (Bijvoorbeeld “Dear Sir” als aanhef in plaats van een naam), en wordt er een beroep gedaan op de lezer om snel te handelen (“Kindly confirm […] provide us […] asap”). Uiteraard moet voor dat laatste het attachment bekeken worden. De email die we voor dit bericht onderzocht hebben, ging over documenten gerelateerd aan logistiek. Andere soorten documenten die bij veel bedrijven relevant zijn, zoals facturen of CVs, komen ook regelmatig voor in dit soort spam.
Als een nietsvermoedende gebruiker de bijgevoegde .doc-file opent, begint het infectie-proces. De .doc-file zelf is een RTF document, met daarin een embedded OLE object waarvoor de Microsoft Equation Editor opgestart wordt. De kwetsbaarheid zit in de wijze waarop de Equation Editor het OLE object leest: als de naam van een lettertype langer is dan de Equation Editor verwacht, kan hiermee een ander deel van het computergeheugen overschreven worden, wat uiteindelijk leidt tot het uitvoeren van commando’s die door de maker in het RTF document gestopt zijn. Palo Alto Unit42 heeft in december 2017 een goede uitleg van deze kwetsbaarheid en het mogelijke misbruik ervan gepubliceerd.
De kwaadaardige code in het RTF document die gedraaid wordt door de CVE-2017-11882 exploit, downloadt de Azorult malware vanaf een server op het internet. Deze malware wordt vervolgens opgestart om het systeem te infecteren. Azorult is een malware-familie die informatie steelt van het geïnfecteerde systeem, en die ook gebruikt kan worden om andere malware op het systeem te installeren. Meer informatie over Azorult is bijvoorbeeld te vinden in de oorspronkelijke write-up van ProofPoint over hun ontdekking in 2016 van deze malware, en hun follow-up in 2018 over hoe Azorult gebruikt kan worden voor het downloaden van andere malware.
Het belang van patches
We zien dat CVE-2017-11882 nog steeds actief gebruikt wordt om malware te verspreiden, ondanks de beschikbaarheid van patches sinds november 2017. Dit doet vermoeden dat er nog steeds veel systemen niet gepatcht zijn: blijkbaar loont het voor criminelen nog steeds om deze kwetsbaarheid te gebruiken.
Er kunnen goede redenen zijn om het patchen van systemen niet direct te doen. Zo kan het soms noodzakelijk zijn om een patch eerst intern te testen om te zien of deze geen bijwerkingen heeft die meer kwaad doen dan de patch zelf voorkomt. Uiteindelijk zal het patchbeleid binnen een organisatie vaak gebaseerd zijn op een risico-afweging. Bijvoorbeeld: welke risico’s lopen we door patchen uit te stellen, tegenover de risico’s die we lopen door een nog niet grondig geteste patch uit te rollen. In een dergelijke afweging zullen meestal ook andere verdedigingsmaatregelen meegenomen worden: zo zouden email-scanners of end-point protection in dit geval alsnog kunnen helpen voorkomen dat een kwetsbaar systeem geïnfecteerd raakt als de gebruiker het attachment onverhoopt toch opent.
De specifieke downloader en malware uit deze spam-campagne worden echter op het moment van schrijven nog slecht herkend door de virusscanners op VirusTotal. En hoewel de resultaten van VirusTotal uiteraard slechts een ruwe indicatie geven, zou dit kunnen betekenen dat email-scanners of end-point protection in dit specifieke geval niet altijd de infectie kunnen voorkomen.
Ons advies blijft dan ook om zo snel als verantwoord mogelijk is binnen uw organisatie te zorgen dat systemen voorzien worden van patches voor dit soort kwetsbaarheden. Ook als er al andere verdedigingslagen aanwezig zijn in uw netwerk.
Recente voorbeelden zoals deze email die gebruikt wordt om Azorult te verspreiden, maken weer eens duidelijk hoe belangrijk goed patch management is. Voor de kwetsbaarheid die in deze email gebruikt wordt (CVE-2017-11882) zijn al meer dan anderhalf jaar geleden door Microsoft patches beschikbaar gesteld. Zoals meestal het geval is, kunnen andere maatregelen, zoals awareness, email-scanners of end-point protection hier ook helpen. Hoewel dergelijke maatregelen misschien wel minstens net zo belangrijk zijn, bijvoorbeeld tegen nog onbekende kwetsbaarheden, kan het simpelweg goed up-to-date houden van systemen ook een wereld van verschil maken in de beveiliging van uw netwerk.
NB: let bij het patchen van CVE-2017-11882 op dat u ook CVE-2018-0802 patcht, aangezien deze een gerelateerd probleem oplost (zie ook de write-up van CheckPoint over CVE-2018-0802)dat op vergelijkbare wijze gebruikt kan worden.
Indicators of Compromise
RTF attachment SHA256: 321895b2b9e80947e17a0b5dc5c01a1accbd0632a4676c8ca5c192b53ab2dbf1
Azorult malware SHA256: 4e772623a368e4ae97dd1732fadd0eb8283aaa80a8f5a2981bdaecde6dd9a32c
Malware download URL (mogelijk gehackt; is nog actief dus echte filename verwijderd) : hxxp://valiantlogistics[.]org/.exe
Malware C&C URL: hxxp://193[.]56[.]28[.]224/index.php