Grinju Downloader

Der Grinju Downloader ist, wie der Name schon sagt, ein Downloader-Malware-Typ. Dies bedeutet, dass seine Rolle in der Angriffskette darin besteht, als Dropper der ersten Stufe zu fungieren, der für die Bereitstellung der tatsächlichen Nutzlast verantwortlich ist, nachdem der Zielcomputer bereits kompromittiert wurde. Diese spezielle Pipette weist einige einzigartige Eigenschaften auf, wenn es um Anti-Analyse- und Anti-Detektionsmaßnahmen geht.

Im Kern ist der Grinju Downloader eine makrobasierte Malware, die über vergiftete Excel-Dateien übertragen wird. Im Gegensatz zu anderen ähnlichen Bedrohungen gibt es jedoch keinen VBA-Code, der analysiert werden kann, da der gesamte Code in der Tabelle selbst enthalten ist, die über Tausende von Zeilen und zahlreiche Zellen verteilt ist. Damit diese Methode funktioniert, nutzten die Hacker eine alte Excel-Funktionalität - die Erstellung eines 'Makro'-Blattes, in dem Makrofunktionen direkt zu den Zellen hinzugefügt werden konnten. Wenn der Benutzer diese beschädigte Datei öffnet, sind tatsächlich zwei Blätter vorhanden. Die erste, die dem Benutzer präsentiert wird, heißt "Sheet1" und enthält verschiedene Daten, die von den Makrofunktionen verwendet werden, um die Agenda der Bedrohung auszuführen. Das zweite Blatt ist das 'Makro'-Blatt und enthält alle Makrofunktionen, die der Reihe nach ausgeführt werden müssen. Es heißt 'ij3Lv'.

Der Grinju Downloader bietet einzigartige Stealth- und Anti-Analyse-Techniken

Beim Öffnen des zweiten Blattes wird zunächst ein leerer Zellenbildschirm angezeigt, auch wenn dieser vollständig herausgezoomt ist. Um herauszufinden, wo die Funktionen beginnen, müssen Benutzer nach unten zu R3887C240 - Zeile 3887, Spalte 40 scrollen. Unter den verschiedenen Funktionen ist eine beträchtliche Menge dafür vorgesehen, die Analyseversuche von Infosec-Forschern zu behindern. Der Grinju Downloader kann überprüfen, ob eine Maus vorhanden ist, ob die Breite und Höhe des Arbeitsfensters bestimmte Größen überschreiten, ob das System Sounds wiedergeben kann und ob das Makro in einem Einzelschrittmodus ausgeführt wird. Alle diese Indikatoren könnten potenzielle Anzeichen dafür sein, dass Grinju in einer Sandbox-Umgebung ausgeführt wird.

An einem bestimmten Punkt während des Betriebs tritt Grinju in eine Schleife ein, die auf einer If-Anweisung basiert. Während jedes Zyklus werden die Werte um eins erhöht, und wenn die Bedingung 'True' zurückgibt, bildet Grinju die nächste Gruppe von Anweisungen.

Eine besonders unheimliche Technik, die von Grinju Downloader ausgeführt wird, ist die Bedrohung, die die Warnung "Inhalt aktivieren" deaktiviert. Der erste Schritt, um dies zu erreichen, ist die Erstellung einer Textdatei mit einem einzelnen Zeichen - '1', die im Ordner Temp abgelegt wird. Die Bedeutung dieses Wertes wird bei Betrachtung der nächsten Funktion deutlich. Es öffnet die Registrierung, navigiert zur Struktur der Excel-Sicherheitswarnungen und schreibt den Wert aus der Textdatei in sie. Dies bedeutet, dass von nun an alle Makros automatisch ausgeführt werden, ohne dass dem Benutzer Warnzeichen angezeigt werden.

Der Grinju Downloader überprüft die Umgebung, in der er ausgeführt wird, und beendet die Ausführung einfach, wenn er etwas anderes als Windows erkennt. Außerdem wird festgelegt, ob das Windows-System über eine 32-Bit-Architektur oder eine 64-Bit-Architektur verfügt, was dazu führt, dass unterschiedliche Codes aus der Makro-Excel-Tabelle abgerufen werden. Der letzte Schritt bei der Malware-Programmierung besteht darin, einen Script im Pfad 'Local\Temp\Nvf.vbs' abzulegen, der für das Herunterladen und Ausführen der Malware-Nutzdaten der zweiten Stufe verantwortlich ist, die als Datei mit dem Namen 'ZsQrgSU.html' geliefert wird.

Die Hacker hinter dem Grinju Downloader zeigen, dass selbst etwas alte Techniken überraschend effiziente Ergebnisse liefern können.