Vol.12--No.2019
The nAbAt a ICC soApboX
Thursday,Dec 12,2019 
9 Users Online
Trojaner im Dienst an NATO | By Anonymous | October 18, 2019 - 16:35 | Posted in CyberGuerrilla | 3 Comments

Vulkanischer Gruß,

vor kurzem habe ich von mehrere PDF-Files heruntergeladen und mein Antivirus begann, Alarm zu schlagen. Falschmeldung, dachte ich (seien Avast und Microsoft gegrüßt!), aber wie gewöhnlich reichte ich die Files über VirusTotal zur Überprüfung ein.

Ich war fast ruhig schon und wartete anstandshalber, bis das letzte File überprüft wird. Aber plötzlich wurde ich auf PDF/UrlMal.INF aufmerksam.

(https://security.stackexchange.com/questions/202259/pdf-urlmal-inftrj-virus)

(https://www.virustotal.com/gui/file/568c568d6ffebb9d94bc94f67956f095cb2ae1bed0283d3cbe95431200886d68/detection)

Es schien mir interessant und ich beschloss, im PDF-Inhalt zu stöbern.

Also…

00. Vor allem führte ich eine Analyse durch pdfid.py von Didier Stevens durch (https://blog.didierstevens.com/programs/pdf-tools/).

Im Report fehlen /URI, aber interessant sind für uns die Streaming-Objekte (/ObjStm), die sie enthalten können und die es 18 gibt.

01. Um die Inhalte der Streaming-Objekte auszupacken und zu analysieren, muss man pdf-parser.py mit den Schlüsseln -O und -a einsetzen. Nun sehen wir am Schluss des Berichts alle /URI mit den Nummern der Objekte.

02. Weiter ist alles leicht. Um die Bedeutung von /URI zu sehen, setzte ich den Parser mit den Schlüsseln -k und -O wieder ein.

Auf den ersten Blick gibt es hier nichts Besonderes, aber wenn man genauer ansieht, dann kann man die Adresse bemerken, die diesem Interessengebiet nicht eigen ist.

03. Der Versuch, diese Adresse über VirusTotal zu überprüfen, zeigte, dass das eine Phishing-Webseite ist:

04. Weiter sind noch zwei interessante /URI zu bemerken:

Die erste ist eine lokal ausführbare Datei, höchstwahrscheinlich der Versuch, etwas mit Hilfe von dem früher installierten Trojaner-Downloader zu starten. Die zweite zeigte nach der Überprüfung über VirusTotal einen Schutthaufen.

Es sei bemerkt, dass sich die meisten Objekte mit den Hyperlinks doublieren lassen und gewisse Adressen auf der Liste sind nicht auffallend. Man rechnete wohl mit der Unaufmerksamkeit von end user.

Lebt lange und in Frieden!

Und seid auf der Hut!



This Post is Tagged with:

3 Responses to Trojaner im Dienst an NATO

  1. So the Atlantic Council run by NATO spreads trojan horse viruses in its pdf reports. Great! Can someone help with translation this into English?

  2. Nebenbei sei erwähnt, dass die Antivirenprogramme diese files als unerwünscht bis heute nicht aufspüren. Und dies bedeutet, dass meine Untersuchung und die Zeit dafür nicht umsonst sind.

Reply to Anonymous
Cancel reply

Comment author must fill out name and e-mail. (Email will not be published).

NOTE - You can use these (HTML tags and attributes):

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Whoever you are, we are ungovernable! Whoever lays his hand on us to govern us, is a usurper and tyrant, and we declare you our enemy.