Vorsicht bei OneNote Links in E-Mails!

Weshalb Sie keine OneNote Links aus E-Mails öffnen sollten und wieso .png Dateien nicht immer nur schöne Fotos sind

Pascal Asch / 08. Februar 2023

In den letzten Tagen stellen wir in unserem Cyber Defense Operations Center verstärkt Aktivitäten fest, in denen es um die Verbreitung der QakBot Malware geht. Das Einfallstor ist in den meisten Fällen eine E-Mail mit einem Link zu einem OneNote Dokument, welcher lediglich angeklickt und ausgeführt werden muss, um die schädliche Malware zu laden. Was QakBot ist, wie es in das Unternehmen eindringt und wie Sie sich schützen können, das erfahren Sie in unserem heutigen Blogbeitrag!

Was ist QakBot?

Bei QakBot, oftmals als auch QuackBot, Pinkslipbot oder QBot bekannt, handelt es sich ursprünglich um einen Banking Trojaner. Bereits seit etwa 15 Jahren existiert QakBot und wird seither stetig weiterentwickelt und an die neuen Technologien angepasst. In den letzten Jahren wurde QakBot zu einem der bekanntesten und gefährlichsten Banking Trojaner auf der Welt, dessen Hauptziel der Diebstahl von Anmeldedaten ist. Neben dem Diebstahl von Anmeldedaten ist QakBot auch in der Lage, sämtliche Bankingtransaktionen auszuspionieren, sich selbst zu verbreiten und Ransomware zu platzieren. 

Heutzutage hat sich der Funktionsumfang von QakBot nochmals vergrößert und ist mittlerweile in der Lage, sich selbst mit neusten Updates zu versorgen, Backdoors zu öffnen, Keylogging zu betreiben und sich selbst vor gängigen AV-Lösungen zu schützen. All diese Techniken machen QakBot auch weiterhin zu einem sehr gefährlichen Trojaner, welcher sich in den letzten Tagen erneut verstärkt auf dem Vormarsch befindet.

Wie verbreitet sich QakBot?

QakBot kommt auch, wie die meisten Angriffsversuche, direkt per E-Mail in das Unternehmen. Der Unterschied zu vielen Phishing Mails besteht darin, dass sich QakBot versucht über ein OneNote Dokument einzuschleusen. Hierfür erhält die Zielperson eine E-Mail mit einem typischen geschäftlichen Betreff und einem offensichtlich legitimen Link zu einem OneNote Dokument. Öffnet man diesen Link, so lädt sich eine gezippte OneNote Datei herunter, welche die entsprechende Person öffnet. Hierbei öffnet sich auch tatsächlich OneNote und es erscheint eine Meldung, dass das Dokument einen Anhang in der Cloud enthält, welcher per Doppelklick angefordert werden kann.

Augenscheinlich handelt es sich hierbei um eine legitime Meldung von OneNote, allerdings beinhaltet das Bild einen Anhang mit dem Namen „open.hta“, welcher allerdings verborgen bleibt. Sobald das Opfer per Doppelklick den vermeintlichen Anhang anfordert und die Sicherheitsmeldung bestätigt, wird ein JavaScript Code ausgeführt, welcher einen Download im Hintergrund ausführt. Abschließend erhält das Opfer noch eine Fehlermeldung, dass die Datei beschädigt ist und nicht ausgeführt werden kann.

Die „open.hta“ Datei nutzt die „curl.exe“ um eine QBot DLL zu laden, welche mit der Funktion „Wind“ ausgeführt wird und sich nun innerhalb des Systems im Pfad „C:\ProgramData“ befindet. Des Weiteren setzt sich die Malware selbst in den „Windows Assistive Technology manager“ (AtBroker.exe) um sich selbst vor AV-Lösungen zu verstecken.

Vorgehensweise innerhalb unseres abtis Cyber Defense Operations Center

Für unsere abtis Managed CDOC Kunden übernehmen wir als SOC-Analysten die Bearbeitung von Incidents und deren Analyse sowie die Durchführung von entsprechenden Sofortmaßnahmen. In diesem Beispiel wurden wir innerhalb von weniger als 4 Minuten auf den Vorfall aufmerksam und konnten mit Hilfe der Microsoft Produkte entsprechende Maßnahmen ergreifen. Mit Hilfe von Microsoft Sentinel als SIEM Lösung erhalten wir bereits alle Informationen aus sämtlichen Datenquellen korreliert an einem zentralen Ort, um von dort alle weiteren Maßnahmen zu starten.

Die nachfolgende Übersicht unseres XDR-Tools gibt innerhalb von wenigen Sekunden einen genauen Überblick über alle betroffenen Entitäten und Ziele.

Im Rahmen unserer Vorfallsanalyse können wir mit Hilfe des XDR-Tools das genaue Vorgehen des Angriffs rekonstruieren und transparent nachvollziehen, was auf dem Endgerät passiert ist. Der Angriff beginnt wenige Minuten nach der Anmeldung an Windows und wird innerhalb der Outlook Anwendung imitiert.

Der Incident Graph zeigt uns hier exakt, wie der Angriff abläuft und wir können auch bereits hieraus erkennen, welche Prozesse und Ordner involviert sind. Das Beispiel zeigt uns hier, dass die Anwendung „curl.exe“ über eine externe URL eine .png Datei nachlädt, welche sich als Binary herausstellt. Ebenso lässt sich erkennen, dass sich die Datei in den „AtBroker.exe“ einnistet.

Der folgende Screenshot zeigt nun, dass die Malware bereit ist, um ihre schädlichen Aktionen auszuführen und versucht nun über verschiedene High Ports eine Verbindung zum C2C aufzubauen.

Bereits während unserer Analyse werden wir SOC-Analysten durch unsere Automatisierungen unterstützt, welche bereits die Anmeldung für den involvierten Nutzeraccount unterbinden und alle involvierten Entitäten einer automatisierten Analyse unterziehen. Mit Hilfe unserer AV-Lösung DeepInstinct und den Microsoft Defender Produkten können wir in Echtzeit auf die Vorfälle reagieren und das Device aus der Ferne vom Unternehmensnetzwerk isolieren.

Des Weiteren haben wir die Möglichkeit uns mittels einer LiveResponse Session auf das betroffene Device zu verbinden, um uns einen Überblick über die relevanten Daten zu verschaffen. Während unserer Analysen können wir das Gerät vom Netzwerk isoliert lassen und dennoch über eine gesicherte Verbindung sämtliche Dateien anfordern, welche wir für unsere Analysen benötigen.

Das folgende Bild zeigt die oben erkannte Datei „open.hta“, welche mittels des Microsoft Defender zur Analyse exportiert wurde. Hier lässt sich sehr gut erkennen, welche Aktionen ausgeführt werden und welche IP-Adressen kontaktiert werden. Ebenso lässt sich am Ende der Datei die besagte Fehlermeldung erkennen, welche mit dem Command „msgbox“ erscheint.

Nach Abschluss unserer Analyse werden gemeinsam mit unseren Kund:innen die Empfehlungen besprochen, so dass eine optimale Lösung zur Behebung des Vorfalls gefunden werden kann. Im Nachgang werden wir SOC-Analysten unsere Systeme zur Erkennung und Prävention mit den erkannten Informationen versorgen, so dass wir bei potenziellen Angriffen bereits vor Ausführung der Aktionen die Verbreitung verhindern können.

Durch die schnelle Erkennung und Bearbeitung des Vorfalls, konnte ein größerer Schaden abgewandt werden. Es kam zu keinem Abfluss von Daten, ebenso waren alle Aufrufe zum C2C nicht erfolgreich, da unsere Automatisierungen die IP-Adressen bereits auf der Blacklist hatten und somit unterbinden wurden. Durch die unzähligen Informationen welche in unserem CDOC zusammen kommen, haben wir bereits einen breiten Überblick über sämtliche Angriffsvektoren und können alle unsere Kund:innen bereits für potenzielle Angriffe vorbereiten, so dass diese erst gar nicht stattfinden. Neben der aktuellen Analyse und der Einleitung von Sofortmaßnahmen, sind wir SOC-Analysten mit einer großen Cyberdefense Community vernetzt, um Angriffsvektoren aufzubereiten, Indicators of Compromise zu erkennen und diese in unsere Sicherheitssysteme zu implementieren.

Wie kann ich mich vor solchen Angriffen schützen?

  • Öffnen Sie keine E-Mails von unbekannten Absendern.
  • Setzen Sie nach Möglichkeit die E-Mails mit OneNote Anhängen in die Quarantäne und überprüfen die Legitimität der E-Mail vor der Zustellung.
  • Verwenden Sie die Multi-Faktor-Authentifizierung.
  • Setzen Sie eine intelligente AV-Lösung auf all Ihren Systemen ein.
  • Sorgen Sie mittels einer SIEM-Lösung für Transparenz in Ihrem Netzwerk und Ihren Entitäten.
  • Erstellen Sie bereits vorab einen Eskalationsplan, um im Falle des Falles vorbereitet zu sein.

Wie kann ich mit Hilfe des Advanced Hunting nach den betroffenen Dateien suchen?

Anbei finden Sie zwei Hunting Queries, welche Sie für das Advanced Hunting verwenden können. Bitte bedenken Sie jedoch, dass jeweils nur die exakten Dateinamen sowie Hash-Werte erkannt werden. Selbstverständlich können die Dateien mit anderen Namen und Hash-Werten versehen werden, weshalb die Analyse vertieft werden sollte.

Cancellation.one:

let fileName = "cancellation.one";
let fileSha1 = "581a96363894a6e637cb3dc9f2c0625e12b35a5c";
let fileSha256 = "d21b105733d5c2082382e51b8888d52d0b14d2cd678d4f022441b343e1ed3353";
let selectedTimestamp = datetime(2023-02-06T07:26:36.3560000Z);
search in (EmailAttachmentInfo,DeviceFileEvents,CloudAppEvents)
Timestamp between ((selectedTimestamp - 72h) .. (selectedTimestamp + 1h))
and (FileName =~ fileName
or (ObjectType == 'File' and ObjectName == fileName)
)
| extend ReportId = coalesce(ReportId_string, tostring(ReportId_long))

Open.hta:

let fileName = "Open.hta";
let fileSha1 = "ee6d851a107154feb8e0a67611101dd2e57ab340";
let fileSha256 = "560790eb83fd1e9464056aa55dfd20854e89fb0372c55f39bd057c903603162d";
let selectedTimestamp = datetime(2023-02-03T19:53:18.7870000Z);
search in (EmailAttachmentInfo,DeviceFileEvents,CloudAppEvents)
Timestamp between ((selectedTimestamp - 72h) .. (selectedTimestamp + 1h))
and (FileName =~ fileName
or (ObjectType == 'File' and ObjectName == fileName)
)
| extend ReportId = coalesce(ReportId_string, tostring(ReportId_long))

Sie haben Interesse an unserem Cyber Defense Operations Center?

In unserem Managed Service CDOC kümmern sich speziell ausgebildete Analysten um den Schutz Ihres Unternehmens und Ihren Daten, weshalb es gerade für mittelständische Unternehmen einen immensen Mehrwert bietet. Für Rückfragen hierzu wenden Sie sich gerne an unsere Kolleg:innen aus dem Vertrieb, welche mit Ihnen die Möglichkeiten besprechen.

 

Zurück