#12 GONEPOSTAL – Email-based Command & Control

Chris:
[0:05] Armchair Investigators. Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich. Hallo liebe Cyberfreunde. Mein Name ist Chris und ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

Lars:
[0:26] Und ich bin Lars und ich arbeite als Softwareentwickler und Reverse Engineer bei CrowdStrike.

Chris:
[0:32] In der heutigen Folge stellen wir uns erstmal eine besondere Situation vor. Und zwar eine ganz besondere IT-Situation, nämlich eine stark gefirewallte Umgebung. Also wir stellen uns vor, sowas wie Ministerien, die irgendwie Staatsgeheimnisse schützen müssen, zum Beispiel sowas wie ein Verteidigungsministerium oder kritische Infrastrukturbetreiber, also Firmen, die zum Beispiel große Stromnetze betreiben und ein lohnenswertes Sabotageziel werden könnten.

Lars:
[1:00] Wir stellen uns weiterhin vor, dass in dieser Umgebung, da geht quasi gar nichts so. Da kann man nicht surfen, da kommt man also nicht ins echte Internet. Vielleicht haben die so eine Intranet-Seite, wo man irgendwie interne Ressourcen ansurfen kann. Aber man kommt nicht irgendwie ins Internet raus oder für die Techies unter uns, HTTP funktioniert nicht, ist irgendwie geblockt. Was aber selbst in solchen Umgebungen häufig noch geht, ist nämlich das Schreiben und Empfangen von E-Mails, weil es fast ja egal, wer man ist, wenn man irgendwie in so einem Bürojob ist, so White-Collar-Worker, also wenn man noch nicht mal E-Mailen kann, was macht man dann überhaupt noch so ungefähr? Also die Annahme ist jetzt in dieser Umgebung, die irgendwie stark geschützt ist, funktioniert das E-Mail-Protokoll trotzdem noch weiterhin.

Chris:
[1:42] Die heutige Malware, die wird öffentlich einem Akteur mit dem Namen APT28 oder Fancy Bear zugeordnet. Wer das genau ist, das erklären wir später, aber wer aufmerksame HörerIn ist, der oder die erinnert sich an Folge 4, in der wir das erste Mal Fancy Bear genannt haben. Aber zurück zur Story. Dieser Akteur, der findet sich anscheinend häufiger in der Situation, sogenannte E-Mail-based Command & Control oder kurz C2 einsetzen zu müssen. Aber was ist überhaupt C2? Das ist eine Abkürzung für Command and Control, 2 mal C, deswegen C2 oder auf Englisch eben C2. Und was löst C2 für ein Problem im Malware-Kontext? Der Akteur sitzt häufig nicht am gleichen Rechner wie das Opfer.

Lars:
[2:26] Das wäre ja auch mal eine lustige Situation, wenn der Akteur einfach daneben sitzt.

Chris:
[2:30] Ja, sondern halt irgendwo entfernt. Sprich, die Malware muss irgendwie ferngesteuert werden. Das passiert über ein Netzwerk, meist eben über das Internet.

Lars:
[2:38] Genau, es gibt natürlich ganz abgefahrene C2 oder Command&Control-Protokolle, aber sehr häufig ist es einfach die Malware, die irgendwie Netzwerkrequests sendet, meistens sogar super simpel, so eine HTTP-Anfrage und dann kommt eine Antwort zurück und das legt dann fest, was die Malware auch wirklich dann macht auf dem Computer, also wie die sich verhält.

Chris:
[2:56] Und so eine etwas abgefahrene Form von C2 ist eben E-Mail-basiertes C2. Das bedeutet, man verwendet eben nicht HTTP oder HTTPS, sondern E-Mail, sprich der Akteur oder vielleicht genauer gesagt der Operator, der schickt seiner Malware-Instanz Nachrichten per E-Mail.

Lars:
[3:14] Das hat viele Vorteile. Also erstmal natürlich die Situation, von der wir eben geredet haben, da funktioniert das trotzdem. Also wenn man E-Mail, also irgendwie SFTP oder POP3 oder IMAP oder so als Protokolle nicht rausfiltert auf einer Netzwerkebene, dann gehen E-Mails noch rein und raus und die werden dann nicht irgendwie, häufig halt nicht gefiltert. Also wie gesagt, wenn man noch nicht mal mehr emailen kann, dann kann man viel Büroarbeit nicht mehr machen und da kommt vielleicht auch noch so ein bisschen mit rein, vielleicht, also ich weiß es ehrlich gesagt nicht, aber ich kann mir vorstellen, dass in Deutschland auch noch sowas wie dieses Fernmeldegeheimnis da mit reinspielt, also vielleicht darf man noch nicht mal E-Mails so genau die ganze Zeit reingucken. Also E-Mail als C2-Channel oder als Command-and-Control-Kanal hat, glaube ich, aus Akteurssicht sehr viele Vorteile.

Chris:
[4:00] Schauen wir uns diesen Fall mal ein bisschen konkreter an oder fragen wir uns mal vielleicht konkreter, wie kann denn E-Mail-based C2 eigentlich wirklich aussehen? Und dazu gibt es eine Malware, die jetzt nichts mit dem heutigen Fall so wirklich zu tun hat, aber die vielleicht etwas bekannter ist. Das ist Agent Tesla. Und diese Malware ist ein Infostealer. Das heißt, hier geht es maßgeblich darum, Daten zu exfiltrieren bzw. auszuleiten. Die Hauptmotivation ist hier eben wahrscheinlich, dass es relativ einfach aufzusetzen ist und deswegen setzt man an dieser Stelle wohl auch auf E-Mail. Der Akteur richtet einfach eine E-Mail-Adresse bei irgendeinem Free-Mailer beispielsweise ein und lässt die Malware die gestohlenen Daten, zum Beispiel sowas wie Passwörter, gespeicherte Passwörter aus dem Browser, Session-Cookies und so weiter, einfach an diese E-Mail-Adresse schicken.

Lars:
[4:48] Da vielleicht noch so ein bisschen Kontext für Agent Tesla. Also wir wollen da, wie gesagt, jetzt nicht ewig drauf rumreiten, aber ich finde es als Kontext schon ganz interessant, weil es ein anderes Beispiel für E-Mail-based-C2 ist, aber auch ein sehr andersartiges Beispiel als die Malware, die wir gleich behandeln werden. Denn Agent Tesla, also erst mal richtig alt, über zehn Jahre, ich glaube 2014 kam die das erste Mal raus. Und das war auch so eine Malware, die konnte man quasi einfach kaufen. Also wenn man als Akteur einfach nur Infos von irgendwo klauen will, dann konnte man auf so eine Webseite gehen. Da gab es so verschiedene Modelle auch, irgendwie eine Gold-Subscription und eine Platin-Subscription und sowas und dann konnte man sich die Malware einfach kaufen und benutzen. Und wie der Chris gerade schon gesagt hat, man brauchte dann auch nicht viel anderer Setup, man musste keine Server mieten, die man dann benutzt, um Command & Control zu machen, sondern man registrierte sich einfach eine E-Mail-Adresse bei web.de, ProtonMail, GMX, was auch immer.

Chris:
[5:40] Diese Form von E-Mail-based-C2 ist halt relativ einfach zu detektieren oder auch zu verhindern. Man kann halt SMTP-Verkehr, was für diese ausgehenden E-Mails verwendet wird, komplett blocken. Insbesondere dann, wenn er eben nicht zu bekannten Mail-Servern der eigenen Unternehmens- oder Organisationsinfrastruktur geht.

Lars:
[5:58] Und ein anderer Unterschied zu, ich sag mal, echtem C2 ist natürlich, dass jetzt Agent Tesla nur Daten exfiltriert. Wenn man eigentlich einen C2-Channel etabliert als Akteur, dann will man die Malware auch fernsteuern. Dann will man nicht nur, dass die Malware was nach Hause funkt, sondern will dann auch zur Malware hinfunken, um der zu sagen, durchsuch mal die Festplatte nach dem und dem oder lad mal das und das hoch oder lösch mal das und das oder halt solche Sachen.

Chris:
[6:22] Genau, und das bedeutet, Kommunikation muss eigentlich in beide Richtungen irgendwie möglich sein.

Lars:
[6:25] So, aber das wäre erstmal auch relativ einfach zu detektieren, wenn man einfach so eine Free-Mail-Adresse benutzt. Ja, dann guckt man einfach wieder, gibt es Traffic von oder zu solchen E-Mail-Adressen, die gar nicht zu den Unternehmens-Mail-Surfern gehören und dann blockt man die einfach auch. Das wäre halt, ja genau, das hätte überhaupt keinen Vorteil.

Chris:
[6:43] In diesem konkreten Fall, den wir uns heute anschauen wollen, ist es aber ziemlich abgefahren. Denn hier ist es so, es wird eine bereits laufende Outlook-Instanz verwendet. Outlook ist halt ein typischer E-Mail-Client, sprich die Malware versucht, in dem E-Mail-Programm zu agieren.

Lars:
[7:00] Das ist halt sehr stealthy im Vergleich zu, ich sage mal sowas wie Agent Tesla. Also man macht gar nicht neuen E-Mail-Traffic zu einem neuen Mail-Server auf, sondern man verwendet einfach den Mail-Kanal, den jede E-Mail in einem Unternehmen auch normalerweise, im Unternehmen oder Institution auch normalerweise nehmen würde. Also es fällt quasi auf so einer rohen Netzwerk-Protokoll-Ebene überhaupt nicht auf, dass da irgendwas Neues passiert.

Chris:
[7:25] Kleine Side-Note, das ist jetzt irgendwie eine kleine Premiere hier für uns, denn wir machen mal was Aktuelles. Also wir haben die staubigen Akten von dem gut abgehangenen Kram mal weggeräumt und gucken uns mal ein bisschen heißen Scheiß an. Diese Malware wurde Anfang September 2025 entdeckt und öffentlich beschrieben. Sie wird also Gone Postal bezeichnet. Das könnte man auf Deutsch zum Beispiel übersetzen mit sowas wie verschwundene Post, aber es ist vermutlich eher eine Anspielung auf den Begriff Go Postal, auf Deutsch sowas wie Ausrasten.

Lars:
[7:56] Oh, ich habe gar nicht daran gedacht, dass es auch verschwundene Post heißen kann, muss ich ehrlich zugeben. Ich habe irgendwie direkt daran gedacht, dass hier jemand ausgerastet war. Ja, okay. Also genau, die Malware, die wir behandeln, die Familie, heißt GonePostal. Und als Hauptressource für diese Podcast-Folge, das ist auch ein bisschen anders als das, was wir sonst machen, haben wir einen öffentlich zugänglichen Blogpost verwendet, der halt auch GonePostal an APT28 oder FANCY BER attribuiert. Und den verlegt man natürlich auch in den Show Notes, wenn ihr da mal selber das Quellmaterial lesen wollt.

Chris:
[8:27] Okay, schauen wir uns mal an, wie implementiert man denn E-Mail-based C2 oder wie macht das diese Malware hier? Man will halt in das Mail-Programm rein. Und warum will man das? Das Mail-Programm ist ein hochgradig vertrauter Prozess. Und zwar jetzt Prozess aus Betriebssystemperspektive betrachtet. Das heißt, das ist ein Prozess, das ist ein Programm, das regelmäßig läuft auf dem Rechner und das an sich kein Misstrauen weckt.

Lars:
[8:54] Genau, es ist völlig normal, dass den ganzen Tag ein E-Mail-Programm läuft und dieses E-Mail-Programm auch den ganzen Tag Netzwerktraffic verursacht. Also Daten bekommt, Daten schickt, Daten bekommt, Daten schickt. Das ist das, was Mail-Programme machen. Und wenn man dann sich zum Beispiel eine Prozessliste anguckt, ist da auch nichts Verdächtiges drauf. Da ist nicht Malware.exe am Laufen oder sowas. Da läuft einfach Outlook und sonst nichts.

Chris:
[9:19] Und Outlook kommuniziert eben auch nur dann, wenn der reguläre Benutzer das E-Mail-Programm offen hat. Und genauso verhält sich dann eben auch dieser Command & Control-Kanal.

Lars:
[9:30] Genau, das ist was, was andere Malware-Familien quasi selber implementieren müssen, dass sie irgendwie so Only Activity during Office Hours oder so haben, dass die irgendwie erst mit dem Command & Control Channel anfangen, ab 9 Uhr morgens lokale Zeit und hören dann nachmittags um 5 wieder auf oder so. Das kriegt man hier quasi kostenlos dazu, weil, naja, dann macht halt die Person Outlook aus oder was auch immer und dann findet auch kein verdächtiger Netzwerk-Traffic mehr statt.

Chris:
[9:59] Jetzt wären wir natürlich keine Armchair-Investigators-Folge, wenn wir nicht selber irgendwie die Malware reversed hätten und uns da rein vertieft haben und Lars als gestandener Visual Basic Coder Ja,

Lars:
[10:15] Ja, …über diese Zeit möchte ich nicht reden…

Chris:
[10:17] Hehe.

Lars:
[10:19] Genau, außerdem sind wir natürlich auch Spezialisten in dem Bereich Malware Reverse Engineering ins Audioformat zu transferieren und das versuchen wir heute mal wieder.

Chris:
[10:28] Es gibt zwei wichtige Komponenten, die man hier beleuchten kann. Das eine ist ein Dropper und das andere ist sozusagen das Implant. Der Dropper versucht eben das Implant an Ort und Stelle zu bringen und zu aktivieren.

Lars:
[10:39] Und das sieht man sehr häufig bei Malware. Also man hat irgendwie eine Komponente, die bringt was aus, ein Dropper, ein Loader oder so und dann das eigentliche Ding, was was macht. Und das haben wir auch beides analysiert. Also selber reversed mit irgendwie Tools angeguckt und reverse-engineert geguckt, was das macht und so. Und der Dropper, der macht nicht viel. Das ist eigentlich nur eine große Funktion. Die ist nur dafür verantwortlich, das eigentliche Implant an die richtige Stelle zu bringen. Es gibt in Office so ein Container-Format. Und wenn man dieses Container-Format an so einen ganz speziellen Ort legt und dann noch so ein paar Windows-Registry-Keys verändert, dann sorgt man dafür, dass dieser Office-Container beim nächsten Outlook-Start mitgeladen wird. Ja, also vielleicht kennt man das. Chris hat ja gerade schon angedeutet mit VBA und so. VBA ist eine Programmiersprache, die wird in Office verwendet, um Sachen zu automatisieren über sogenannte Makros. Und das war schon lange sehr verbreitet bei Office-Dokumenten oder vor allem Excel-Tabellen, wenn man da irgendwas schnell mal programmieren will, automatisieren will. Bei Outlook gibt es das natürlich, in Anführungszeichen, natürlich nicht, weil man will jetzt nicht irgendwie E-Mails bekommen und da sind Makros drin und dann wird irgendwie Code ausgeführt. Das wäre irgendwie Quatsch. Aber man kann bei Outlook das so machen, dass man diese Containerdatei an einem bestimmten Ort legt und wenn in dieser Containerdatei ein Makro drin liegt, dann wird das ausgeführt. Und das ist das Hauptding, was der Dropper macht. Der kopiert diese Datei in so einen Ordner, modifiziert die Windows Registry.

Lars:
[12:06] Und sorgt damit dafür, dass beim nächsten Outlook-Start dieses Makro mit ausgeführt wird. Der macht noch was mehr, wenn ich mich recht erinnere.

Chris:
[12:14] Ja, man könnte sich vorstellen, das ist also eine Form von Outlook-Plugin. Genau, der macht noch mehr, denn der verwendet DNS und HTTP, um dem Akteur zu signalisieren, dass die Infektion erfolgreich war. Das ist nötig, weil nach der Infektion erstmal nichts passiert, denn Outlook muss erst neu gestartet werden, damit eben beim dann nächsten Start dieses Plugin sozusagen, also das Implant, aktiv wird. Und deswegen ist diese Signalisierung hier einmalig über einen anderen Kanal und eben nicht über E-Mail.

Lars:
[12:45] Man kann natürlich sagen, dass defeated so ein bisschen den Purpose, also in so einer ganz starken Firewall-Umgebung, wie wir sie am Anfang konstruiert haben, käme das da nicht durch oder würde sogar irgendwie Alarmglocken auslösen oder so.

Chris:
[12:57] Ja, das könnte halt eine Form von Fire-and-Forget-Signalisierung sein, dass man halt hier einfach nur was rausschickt und die Malware würde ja trotzdem beim nächsten Start aktiv, das ist ja jetzt keine notwendige Komponente, die funktionieren muss, sondern es geht auch ohne. Ja werfen wir mal einen Blick auf das Implant. Das sind so etwa 2000 Zeilen VBA-Code, es gibt zwei Entry points, also es gibt zwei Möglichkeiten einzusteigen sozusagen in die Logik von dieser Schadsoftware. Und zwar einmal eben beim Start von Outlook und zum anderen jedes Mal, wenn eine neue E-Mail reinkommt.

Lars:
[13:38] Wenn man das jetzt so reversed, dann fallen einem so ein paar Sachen auf. Also da ist erstmal ein bisschen Obfuscation drin, dass man nicht sofort sieht, was so abgeht und so. Aber man kann vor allem sehen, wenn man jetzt mal anfängt an der Funktion, die aufgerufen wird, wenn eine neue E-Mail reinkommt und da dem Kontrollfluss so ein bisschen folgt, dann kommt man irgendwann an so einer Stelle an, da werden die reingehenden E-Mails durchgegangen und einige davon werden, oder viele davon werden ignoriert, aber wenn die so einem schlimmen Format genügen.

Lars:
[14:06] Dann werden da so Informationen extrahiert, insbesondere so, ich sag mal, Befehle, die ausgeführt werden können. Davon kann man dann, wenn man dieses Makro analysiert, vier Befehle identifizieren, nämlich Upload, Download und dann zwei Formen von Execute, und zwar einmal mit und ohne den Output zu capturen. Ich sage jetzt nochmal im Detail, was damit gemeint ist. Also Upload und Download sind quasi so primitive, mit denen der Akteur Dateien von dem Zielsystem wegladen kann oder auch draufladen kann und mit Execute kann man einen Befehl ausführen und dann, wie gesagt, Execute gab es in zwei Varianten. Einmal wird der Output von dem Befehl an den Akteur zurück signalisiert und bei dem anderen nicht. Das ist mehr so Fire and Forget. Und das sind, ich sag mal, vier Sachen, die implementieren quasi alles, was man so braucht. Klar, es gibt auch Malware, die implementiert noch viel mehr Befehle, die noch abgefahrene Sachen machen, aber Aber diese vier Sachen oder diese drei Sachen reichen völlig aus. Also als Akteur, wenn ich zum Beispiel eine andere Malware installieren will, heißt das nur, ich muss die auf das System draufladen und ausführen. Das ist damit schon abgedeckt. Wenn ich Informationen klauen will, muss ich irgendwas ausführen, irgendwie einen Passwort-Dumper oder irgendeinen Befehl, um die sensible Informationen einzusammeln. Und dann muss ich die vom System uploaden. Also das ist quasi alles, was man als Akteur eigentlich braucht.

Chris:
[15:34] Und wenn wir uns mal diese E-Mails, die zu Steuerzwecken empfangen und verarbeitet werden können, genauer anschauen und auch die E-Mails, die von der Mailware dann wieder verschickt werden können, dann haben die sich das ganz gut überlegt, hier die Mailware-Autoren. Und zwar werden E-Mails typischerweise kodiert, wenn sie übertragen werden, nämlich meist nach Base64 kodiert.

Chris:
[15:58] Und Base64, das muss man sich so vorstellen, das erzeugt, ja visuell könnte man sagen, so etwas, was man vielleicht so im Druckbild als Bleiwüste bezeichnen würde. Das heißt, das sind ganz viele Zeichen hintereinander, alle im druckbaren Bereich, Großbuchstaben von A bis Z, Kleinbuchstaben von A bis Z und vielleicht noch ein paar Ziffern, ohne Leerzeichen getrennt und das halt wirklich hintereinander weg. Ja, also wirklich wie so eine Bleiwüste, man erkennt nicht mehr, wo ein Wort anfängt oder endet und das ist aber genau bewusst so herbeigeführt durch diese Kodierung. Und die Malware-Autoren haben sich jetzt überlegt, okay, wir machen das so. In irgendeine Zeile, die genauso aussieht wie regulär Base64-codierter Text oder Inhalt, da packen wir eine gewisse Anzahl an zufälligen Zeichen und ab einer bestimmten Stelle in dieser Zeile, da packen wir unsere Kommandos hin. Und die sind aber ebenfalls Base64-codiert. Das heißt, man sieht, selbst wenn man sich den Quelltext der E-Mail anschaut, keinen visuellen Unterschied. Und noch genauer gesagt, man muss genau die Stelle kennen, an der man anfangen muss zu dekodieren, um dann diese Kommandos und sozusagen die Inhalte der Mail wiederum entschlüsseln zu können. Und das finde ich ehrlich gesagt ziemlich cool.

Lars:
[17:20] Ja, auf jeden Fall. Also wenn man diese E-Mails einfach nur findet irgendwie und dann sieht, ach, das ist jetzt Base64, ich dekodiere das mal, dann kommt halt nur Müll raus, weil die noch dieses zusätzliche Obfuscation eingebaut haben, ein paar Zeichen zu überspringen, bevor das Dekodieren anfängt. Also schon ganz smart.

Chris:
[17:37] Ja, da hat sich jemand Gedanken gemacht. Okay, zoomen wir mal ein bisschen aus. Das heißt, wir haben hier eine Möglichkeit gesehen, wie man E-Mail-Programme wie Outlook instrumentieren kann, das heißt also fernsteuern und das ist schon irgendwie besonders.

Lars:
[17:51] Entschuldigung, darf ich mal bitte Ihr E-Mail-Programm fernsteuern? Auf jeden Fall wieder gute deutsche Formulierungen für andere englische Begriffe.

Lars:
[18:01] Dazu vielleicht gerade noch eine Sache. Gone Postal, also die Malware, die wir hier gerade aufbereitet haben, die hat keinerlei integrierte Funktionen, um das zu tun. Es gibt keine Commands in dieser Malware, die man nutzen kann, um Outlook fernzusteuern. E-Mail taucht hier nur auf als Transportmedium für Commands. Man kann sich natürlich vorstellen, dass der Akteur… Dann hingeht und was auf das Zielsystem lädt, um dann E-Mails zu klauen oder so. Aber die Malware selber ist zum Beispiel nicht in der Lage, E-Mails zu stehlen oder zu leaken oder sowas.

Chris:
[18:37] Also das Abgefahrene ist, sie könnte das ohne weiteres. Es gibt keinen Grund, da gibt es jetzt keine technische Hürde, warum sie das nicht können sollte. Aber es ist eben nicht implementiert.

Lars:
[18:46] Genau, sie sitzt ja auch schon im Prozess drin. Also man könnte sagen, neben den vier Befehlen, die wir eben beschrieben haben, gibt es irgendwann fünf. Vielleicht wird der auch irgendwann entwickelt und taucht dann in dieser Mailware-Familie auf. Und der fünfte Befehl ist, suche E-Mails, deren Betreff ein bestimmtes Keyword enthält und lade die zum Akteur. Oder lade alle E-Mails zum Akteur. Das wäre quasi relativ billig zu machen hier an der Stelle. Aber sowas ist nicht drin.

Chris:
[19:13] Das ist ein guter Punkt, weil man könnte natürlich schon sagen, wir kennen ja jetzt hier schon die Attribution und wir wissen genau, also Fancy Bear. Und das ist ja schon ein Akteur, der es in der Regel auf Spionage abgesehen hat. Das heißt, E-Mails auszuleiten ist eigentlich, das wäre keine überraschende Funktion, keine überraschende Capability, die man da, also das würde total Sinn machen, das zu implementieren. Eine Hypothese, warum das vielleicht hier nicht implementiert ist, ist so eine gewisse Rollenteilung der Tools. Es könnte also durchaus sein, dass das hier wirklich nur als eine Art von Implant gedacht ist und zu dem Zeitpunkt will man vielleicht auch eben noch nicht alles des Toolsets irgendwie revealen und erst wenn festgestellt wird, das ist wirklich ein Zielsystem, auf dem wir bleiben wollen, dann rollt man halt über dieses Implant ein Tool aus, das dann zum Abgreifen von E-Mails eben zu Spionagezwecken beispielsweise geeignet ist.

Lars:
[20:09] Cool, dann gehen wir jetzt mal zum nächsten Teil über. Wir haben jetzt ja schon darüber geredet, warum E-Mail-based C2 so cool ist und was das alles so stealthy ist und dass man damit nicht so sehr auffällt und sowas alles. Es gibt aber auch Schwächen dabei. Und dafür gehen wir nochmal gerade auf die Malware-Familie von vorher zurück, diese Agent-Tesla-Familie, die einen ganz anderen Use-Case hat. Die kann nicht ferngesteuert werden und so, aber die kann halt dafür verwendet werden, wenn die zur Ausführung kommt, dann sammelt die Passwörter und andere Credentials vom Zielsystem ein und schickt die per E-Mail an den Akteur. Und das hat ein paar Nachteile. Zum Beispiel, sagen wir mal, man findet so eine Asian-Tesla-Malware auf dem eigenen Computer, dann muss da ja das Passwort drinstehen, um diese E-Mails an den Akteur zu schicken. Und wenn der Akteur dann nicht aufpasst, dann kann es halt sein, dass man einfach als infizierte Person hingehen kann, das Passwort nehmen und in diesen E-Mail-Account sich einloggen kann und gucken, was da so passiert ist. Das ist, glaube ich, in Deutschland verboten und so. Ja, also sowas sollen wir nicht machen, liebe Kinder. Aber es gibt halt die Notwendigkeit, dass das Passwort mit in der Malware drin ist. Und dann kann man sich in den E-Mail-Account einloggen und das Passwort ändern oder so. Und zack, funktioniert keine dieser Infektionen mehr. Das würde man dann irgendwie Disruption nennen, also verhindert, dass der Akteur weiter arbeiten kann. Man kann auch gucken, wer ist noch mit damit infiziert. Ja, wenn der Akteur zum Beispiel für jede Infektion mit Agent Tesla…

Lars:
[21:30] Einen eigenen E-Mail-Account registriert, dann ist blöd, aber ich meine, man geht ja immer den Weg des geringsten Widerstandes, sagen wir mal, der verwendet einen für alle infizierten Computer. Dann sammeln sich in diesem E-Mail-Account auch alle geklauten Credentials an. Das heißt, man kann gucken, wer ist überhaupt davon betroffen. Ja, also wenn man jetzt nicht ganz so Whitehead unterwegs ist, also nicht ganz nur gute Sachen im Sinne hat, kann man auch diese Credentials natürlich selber dann klauen und mit einsammeln und sowas. Ja, also da gibt es irgendwie viele Probleme. Das kann man als Akteur auch umgehen, wenn man ein bisschen mehr Aufwand betreibt. Ja, also man kann irgendwie bei vielen Free-Mailern so Forward-Adresses einrichten. Das heißt, wenn da eine E-Mail hingeht, wird die weitergeleitet an eine andere Adresse und dann gelöscht und so. Aber das geht jetzt eigentlich zu tief.

Chris:
[22:10] Ja, Lars, danke. Ich wollte ganz kurz nochmal auf Agent Tesla eingehen. Genau, How to Build the Bomb. Ja, da sind wir.

Lars:
[22:14] Ja, genau. Ich habe aber ja dazu gesagt, dass davon einiges verboten ist. So, außerdem ist diese Form von E-Mail-based-C2 halt leicht zu blocken. Wie gesagt, vielleicht kann ich als Unternehmen sagen, bei uns wird kein Web.de verwendet. Deswegen erlauben wir einfach keine E-Mail-Verbindung zu Web.de oder Proton-Mail oder Gmx oder was auch immer.

Chris:
[22:33] Bei der Implementierungsart von GonePostal ist interessant, dass keinerlei Authentifizierung implementiert ist. Was meinen wir damit? Das bedeutet, es gibt keine Form von Signatur von Kommandos. Das heißt, jede Person, die das Format der E-Mails verstanden hat, kann solche E-Mails auch erstellen und könnte sie per E-Mail verschicken, um damit Gone-Postal-Infektionen eben fernzusteuern. Man muss halt, klar, die richtige E-Mail-Adresse treffen und das Format eben beherrschen und entsprechend präparieren, aber dann gibt es eben keine Form der Echtheitsüberprüfung von diesen Commands. Und das ist natürlich eine gewisse Schwäche. Das heißt, man könnte hier ja auch eine Form von Desinfektion beispielsweise über diesen Implantkanal vorsehen, nämlich die Ausführung von irgendeinem Disinfection Tool beispielsweise, der halt dieses Implant von den infizierten Systemen wieder entfernt. Das geht natürlich nicht so ohne weiteres. Dafür braucht man natürlich eine vorherige technische Analyse, also so wie wir das jetzt hier zum Beispiel gemacht haben, muss dieses E-Mail-Format ziemlich genau verstehen und erst dann ist man in der Lage, diese E-Mails genauso zu präparieren.

Lars:
[23:50] Nochmal gerade auf das How-to-build-a-Bomb-Thema zurückzukommen. Das kann man auch nicht einfach so Ghetto-Wild-West selber machen. Also nee, darf man nicht. Wir können vielleicht, wenn man die technische Expertise hat und das analysiert und so. Aber das wäre jetzt eher so das Szenario, dass man mit irgendeiner Polizei oder so zusammenarbeitet und dann da so koordiniert so eine Desinfektionskampagne durchführt oder sowas. Ich glaube, die niederländische Polizei hat da irgendwie Pionierarbeit geleistet vor vielen Jahren und inzwischen machen das viele.

Chris:
[24:22] Ich glaube, die USA haben das auch mal gemacht, ja. Das ist natürlich keine Schwäche von E-Mail-based-C2 an sich. Man könnte sich relativ einfach sogar vorstellen, dass man diese E-Mails auch irgendwie signiert und die Signatur dann halt prüft. Also das ist jetzt quasi nur noch.

Lars:
[24:37] Einfach so RSA in VB implementieren, auf jeden Fall was, was ich gerne machen würde.

Chris:
[24:43] I see the problem.

Lars:
[24:43] Big Ints und so.

Chris:
[24:45] Oh.

Lars:
[24:47] Gut, und eine weitere völlig andere unabhängige Schwäche von E-Mails ist, dass die viele Spuren hinterlassen. Also E-Mails als Kommunikationsmedium sind ja sehr alt und die, also da passiert alles Mögliche, ja, also ich habe irgendwie Mail-Server, diese Mail-Server können theoretisch sogar mehrere Hops haben, ich glaube, das passiert heutzutage nicht mehr, aber theoretisch war E-Mail.

Chris:
[25:09] Ich glaube, das könnte schon noch vorkommen. So gerade in größeren Organisationen wird Mail vielleicht schon, wird die durch so einen Anti-Spam-Filter genudelt und danach durch so einen Virenscanner und so. Ich glaube, die hinterlässt schon, also es ist nicht ganz so unüblich in großen Organisationen, dass man tatsächlich mehrere Mail-Apps hat.

Lars:
[25:28] Das stimmt auf jeden Fall. All diese Hops, also wenn man so Mail-Gateways und Scanner und so hat, die generieren halt alle Log-Dateien und die werden irgendwo hoffentlich gesammelt und können dann ausgewertet werden. Also da werden viele forensische Artefakte, viele Spuren hinterlassen, wenn so eine E-Mail irgendwo reinkommt. Und eine Sache, die wir eben gar nicht mit abgedeckt haben, als wir Gone Postal-Fähigkeiten besprochen haben, ist, dass die E-Mail natürlich auch nachher noch in der Inbox des Opfers liegt. Die Gone Postal-Malware sorgt aber dafür, dass das nicht so ist. Also wenn eine neue E-Mail reinkommt, dann analysiert die die, ob sie eine von ihren E-Mails ist, eine von den Steuerungs-E-Mails. Und wenn das der Fall ist, wird die abgearbeitet und auch direkt gelöscht. Also die taucht dann gar nicht erst in der Inbox des desinfizierten Computers auf.

Chris:
[26:17] Genau, das bedeutet aber, dass nach einer Desinfektion möglicherweise ja weitere eingehende E-Mails, Tasking-E-Mails dieser Art kommen und die bleiben dann aber liegen. Die werden dann eben nicht gelöscht und das wären dann eventuell schon Spuren, die man versuchen kann irgendwie herauszuarbeiten und irgendwie festzustellen. So, jetzt sind wir natürlich den Hörerinnen und Hörern etwas schuldig, denn wir haben bei dieser Folge vorab, also unser Marketingmanager hat das vorab getan, hat irgendwie so einen kryptischen regulären Ausdruck und so ein paar Beispiel-Filenames gepostet. Ja, wollen wir mal revealen, was sich denn dahinter verbirgt?

Lars:
[26:54] Ja, aber klar doch. Also am Anfang von diesen 2000 plus VBA-Zeilen Code sind so ein paar auch mit Base64 obfuscated Strings drin und das sind Fragmente. Und als wir die Malware am Anfang analysiert haben, haben wir die halt erstmal nur dekodiert und haben uns dann gefragt, ja…

Lars:
[27:16] Was soll das? Das bestand einmal aus so einem String, der heißt Daily Report und dann aus so einzelnen Worten. Report, Invoice, Contract, Photo, Scheme, Document, also einfach englische Worte. Und dann noch so Dateinamen-Erweiterungen, also JPG und JPEG und GIF oder GIF, BMP, also so Mediendateinamen-Erweiterungen. Und da haben wir relativ lange gebraucht, um dann herauszufinden, was das eigentlich macht. Weil, ja, das stand erstmal nur so für sich alleine und diesen regulären Ausdruck, den wir da letzten über soziale Medien rausgeblasen haben, der matcht quasi auf Dateien, die auf eine bestimmte Art und Weise diese Zeichenketten enthalten. Weil die Malware, die macht nämlich was, bevor sie zum Beispiel Daten exfiltriert oder so, die legt Dateien an, die diese Zeichenketten im Namen haben, in so einem bestimmten Verzeichnis, ich glaube unter dem Windows 10 Verzeichnis und das konkrete Sample, was wir uns angeguckt haben, hat darin noch einen Unterverzeichnis Test erstellt und darin haben die dann ein bestimmtes Format. Ich habe ehrlich gesagt schon wieder vergessen, aber es ist ja auf sozialen Medien, ja, irgendwie ein paar Zahlen und dann eins von diesen Worten und dann wieder ein paar Zahlen und dann eine von den Dateinnammerweiterungen. Und ich glaube ehrlich gesagt, dass dieser reguläre Ausdruck schon sehr spezifisch ist. Also klar, das sieht total random aus, wenn man einfach diese Dateien in diesem Verzeichnis sieht, aber ich glaube nicht, dass viele andere Dateien so aussehen.

Chris:
[28:41] Das heißt, das ist eine Erkennungsmöglichkeit für Infektionen von Gone Postal, weil die eben Artefakte im Dateisystem hinterlässt. Und über dieses Pattern könnte man möglicherweise solche Infektionen finden.

Lars:
[28:54] Genau. Genau. Und auch dafür wieder, ja, das ist natürlich jetzt wiederholend so ein bisschen Broken Record mäßig und so, auch dafür ist technische Analyse unabdingbar. Also wenn man die Malware nicht analysiert, dann wird man auch nicht eine vollständige mögliche Liste von Dateinamen so einfach kriegen.

Chris:
[29:10] Um die Folge jetzt ein bisschen abzurunden, wollen wir noch mal ein bisschen beleuchten, was es denn mit diesem Akteur Fancy Bear auf sich hat. Fancy Bear wird dem GRU zugeschrieben. Der Akteur hat hier vielleicht Bekanntheit erlangt, weil im Jahr 2015 der Deutsche Bundestag kompromittiert wurde. Das heißt also, dieser Akteur hat eben auch schon Ziele in Deutschland erreicht.

Lars:
[29:38] Der Bundestagshack.

Chris:
[29:40] Genau. 2016 wurde die Demokratische Partei in den USA kompromittiert im Vorfeld der Präsidentschaftswahl. Seit 2018 sind, ich glaube, zwölf Personen angeklagt über ein Indictment in den USA, die diesem Akteur zugeschrieben werden. Und einer davon, und das ist jetzt eine recht neue Entwicklung, ist wohl mutmaßlich im November 2025 auf Phuket in Thailand festgenommen worden. Das ist keine offizielle Bestätigung. Die Identität wurde nicht offiziell bestätigt, aber das Alter ist bekannt und ein Abgleich mit öffentlichen Quellen liegt zumindest nahe, dass es Alexei Lukashev sein könnte. Das wäre dann ein Mitglied der GRU-Unit 26165. Wenn wir mal die technische Raffinesse ein bisschen mehr beleuchten wollen, dann könnte man sagen, diese Gone-Postal-Malware kommt vielleicht am ehesten einer Form von Plugin nahe. Und diese Plugin-Implementierungsvariante ist ja nicht die einzige, wie man das Ganze machen könnte, sondern man könnte das Ganze zum Beispiel auch über eine Form von Code-Injection beispielsweise erreichen.

Lars:
[30:51] Ist natürlich viel komplizierter, irgendwie Code zur Ausführung, im Outlook-Prozess zur Ausführung zu bringen, ohne dass Outlook dabei irgendwie abstürzt. Und dann auch noch die Outlook-Datenstrukturen so weit zu verstehen, da irgendwie E-Mails rauszulutschen und irgendwie zu erkennen, wenn neue E-Mails reinkommen und darauf zu reagieren. Alles ohne Outlook zum Absturz zu bringen, weil das ist natürlich sehr auffällig, wenn irgendwie Outlook ständig abstürzt. Also das wäre schon sehr viel schwerer und much more sophisticated.

Chris:
[31:20] Ja, du willst nur sagen, Fancy Bear macht nur das mit dem VBA und nur die Turla-Jungs, die sind so cool und würden das irgendwie über Injection machen. Ja, schon klar.

Lars:
[31:28] Genau, das würde ich sagen, das würde ich sagen.

Chris:
[31:29] Aber es gibt eine ganze Reihe an Akteuren, die E-Mail-based-C2 verwenden. Fancy Bear ist eben nur einer. Das wurde auch schon in den historischeren Mainstage-Implants verwendet, vermutlich seit etwa 2004, also wirklich schon vor über 20 Jahren.

Lars:
[31:47] Uff, ist das lang her.

Chris:
[31:49] Ich könnte sogar sagen, E-Mail-based C2s ist wahrscheinlich eine der frühen, wenn nicht sogar eine der frühesten Formen der C2-Kanal-Implementierung in spionageorientierter Melware, zumindest wenn man so die russisch attribuierten Akteure betrachtet. Neben Fancy Bär haben wir eben auch Törler oder der Akteur, der als VENOMOUS BEAR getrackt wird, zum Beispiel in der Light Neuron Malware. Ziemlich interessante Sache, wenn ihr wollt, dass wir dazu mal eine Folge machen, dann haut’s in die Kommentare.

Lars:
[32:25] Bitte nicht, Venomous Bear und Malware ist sehr komplex.

Chris:
[32:30] Challenge accepted, würde ich sagen, an der Stelle. Aber auch schon sehr frühe Malware von Venomous, zum Beispiel in der Moonlight Maze-Kampagne, die sich in den 90ern, also ich glaube so 96, 97, 98 abgespielt hat.

Lars:
[32:43] Da war ich noch in der Schule.

Chris:
[32:45] Ja, da waren auch noch so Sun-Sparc-Computer irgendwie angesagt. Ich bin mir nicht ganz sicher, weil ich meine, da war auch was mit Male-based C2. Dann hast du noch von Fancy Bear das Ocean-Map-Implant ausgebuddelt. Weil das auch eine ganz interessante Form von Mail-based C2 verwendet, nicht? Das mit dem Draft-Folder for C2, wolltest du?

Lars:
[33:08] Hab ich das ausgegraben, nein.

Chris:
[33:11] Also ich habe das gecrosscheckt, aber ich dachte, das kam von dir, ich weiß es nicht mehr.

Lars:
[33:18] Ein Moment, ein Moment. Kann ich mich jetzt nicht daran erinnern, ich kann natürlich trotzdem was dazu sagen.

Chris:
[33:23] War das nicht die Geschichte, dass die das Draft-Folder verwenden und das also Mails sind, die nie verschickt werden?

Lars:
[33:30] Lass mich mal ganz kurz ein bisschen C-Sharp-Code lesen. Ja, gut, dann sage ich jetzt einfach was dazu. Ja, die Ocean Map Malware, die haben wir uns jetzt im Detail nicht angeguckt. Die verwendet aber, glaube ich, gar nicht das Verschicken und Empfangen von E-Mails direkt, sondern die speichert ihr Tasking im Entwürfeordner, im Drafts-Folder und liest das dann daher oder so. Aber wie gesagt, wenn wir da mal genau reingucken wollen, dann pingt uns an und dann können wir das mal machen. Dann kann ich dazu auch verlässlichere Aussagen tätigen.

Chris:
[33:58] Also ich glaube, die Kernidee hier ist, dass diese Mails eben Entwürfeordner verbleiben und damit nie versendet werden müssen. Damit umgeht man so ein bisschen das Problem, dass man auf Servern Dritter irgendwie potenziell Spuren hinterlässt. Dieser aktuelle Fall ist, wie gesagt, aus dem Spätsommer 2025. Also ist auf jeden Fall davon auszugehen, dass diese Technik immer noch aktuell ist.

Lars:
[34:20] So, und bevor wir jetzt gleich zum Abschluss kommen, möchte ich eine neue Sektion eröffnen, die wir bisher noch nicht hatten. Und das sind Sachen, die uns aufgefallen sind, aber die sonst noch irgendwo hinpassen. Während der Recherche zu Gone Postal ist uns noch so ein Blogpost auf die Füße gefallen aus dem Jahr 2020, also fünf Jahre her grob. Und der Blogpost heißt A Fresh Outlook on Mail-Based Persistence, ja, das ist auch ein Wortspiel, Outlook und Outlook und so. Und der beschreibt quasi die Technik, die wir hier auch sehen, ja, der beschreibt ziemlich genau, wie man so ein Makro schreiben würde, dieses Container-Format, wo man das hinlegen muss und wie man dann die Windows-Registry modifizieren muss, damit das dann auch von Outlook ausgeführt wird. Also ich könnte mir gut vorstellen, dass der Akteur diesen Blogpost auch gelesen hat und sich dann hat davon inspirieren lassen und es dann wirklich implementiert hat. Aber muss nicht unbedingt so sein.

Chris:
[35:10] Genau, die Technik ist nicht zum ersten Mal so implementiert worden, sondern es gab quasi eine Form von Proof of Concept vorher. Ja, also insgesamt muss ich sagen, ich finde Mail-based-C2, ich finde halt generell so abgefahrene Trägerprotokolle von Command-Control-Kanälen, finde ich irgendwie super spannend. Und wir hoffen, wir haben euch hier ein bisschen angesteckt und es ist ziemlich cool, wenn ihr bis hierhin drangeblieben seid. Ja, wenn ihr den zukünftig gefolgt habt, dann könnt ihr uns erreichen, zum Beispiel per E-Mail unter info at armchairinvestigators.de

Lars:
[35:39] Oder über soziale Medien, zum Beispiel auf Mastodon, auf InfoSec Exchange unter dem Handle at armchairinvestigators oder auf x.com unter dem Handle at armchairgators.

Chris:
[35:54] Wenn euch die Folge gefallen hat, dann hinterlasst uns gerne eine gute Bewertung in eurem Podcatcher. Das hilft anderen möglicherweise Interessierten dabei, unseren Podcast zu finden.

Lars:
[36:06] Danke fürs Zuhören und bis zum nächsten Mal. Ciao, ciao. Ciao.