Microsoft Office: Loader sorgt für Verbreitung mehrerer Malware-Familien

Die Verbreitung des neu entdeckten Loaders erfolgt vorwiegend per E-Mail. Es handelte sich dabei in der Regel um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente.

Ein neu entdeckter Loader für Microsoft Office, den Experten des IT-Sicherheitsanbieters Palo Alto Networks in über 650 unterschiedlichen Samples identifiziert haben, nutzt gefährliche Makros, um mit deren Hilfe mehrere Malware-Familien zu verbreiten. In verschiedenen Branchen wurden mit ihnen schon mehr als 12.000 Angriffe auf Firmen durchgeführt. High-Tech-Unternehmen, Dienstleister, Rechtsanwaltskanzleien und Behörden waren am häufigsten betroffen. Es handelte sich bei den E-Mails in der Regel um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente, denen der Empfänger eine Geschäftsrelevanz unterstellt.

(Bild: Palo Alto Networks)

Ob die Angreifer es auf bestimmte Informationen aus den angegriffenen Firmen abgesehen haben, oder ob sie sich lediglich auf diese Bereiche spezialisiert haben, weil dort die Akzeptanz für derartige Anhänge durch das allgemeine Geschäftsgebaren hoch ist und sie festgestellt haben, dass in diesen Bereichen Makros vergleichsweise häufig verwendet werden, ist noch unklar.

Palo Alto Networks geht aufgrund der großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil allerdings davon aus, dass die Hintermänner nicht ausgewählte Firmen oder Organisationen angreifen, sondern in erster Linie großflächige Kampagnen fahren. Zu den Malware-Familien, die dabei verwendet werden, zählen LuminosityLink, KeyBase, PredatorPain, Ancalog, Bartallex, Pony und DarkComet (PDF)

Wie die Untersuchung der in allen Samples verwendeten Makros zeigte, wurde nahezu immer dieselbe Technik verwendet. Laut Palo Alto Networks wurden alle Makros mit einer großen Menge an Datenmüll-Code und höchstwahrscheinlich mit einem sogenannten Builder zufällig ausgewählten und generierten Variablen verschleiert.

Dass die Angreifer einen sogenannten UAC-Bypass anlegen, also die Benutzerkontensteuerung umgehen, sei eine Besonderheit. Eine Liste aller Indikatoren, die auf eine Kompromittierung hinwiesen, Zeitstempel, SHA256 Hashes, Download-URLs und Dateinamen steht Administratoren und Sicherheitsverantwortlichen bei Github zur Verfügung.

Anfang Dezember hatte die Polizei Personalabteilungen vor der Schadsoftware Goldeneye gewarnt, die in solchen Excel-Mappen mit vermeintlichen Bewerbungen ausgeliefert wird. Auch hier verwendeten die Angreifer Makros (Bild: CERT-Bund)Anfang Dezember hatte die Polizei Personalabteilungen vor der Schadsoftware Goldeneye gewarnt, die in solchen Excel-Mappen mit vermeintlichen Bewerbungen ausgeliefert wird. Auch hier verwendeten die Angreifer Makros (Bild: CERT-Bund)

Objective See hatte erst unlängst vor einem infizierten Word-Dokument gewarnt, über das Mac-Malware verbreitet wird. Experten halten diese Angriffsmethode ebenso wie viele andere, auf Makros basierende Verfahren nicht für besonders ausgereift. Dass sie trotzdem immer wieder Anwendung finden, deutet jedoch darauf hin, dass die Angreifer damit zumindest ausreichend erfolgreich sind, obwohl Makro-Viren schon fast 20 Jahre alt und die Abwehr relativ einfach ist. Ein Beispiel dafür ist die Verbreitung der Ransomware Locky über mit Makros präparierte, vermeintliche Rechnungen vor knapp einem Jahr, die damals schwerpunktmäßig in Deutschland erfolgte.

Einer der bekanntesten Makro-Viren ist der 1999 Virus „Melissa„. Angreifer nutzten damals Visual Basic for Applications (VBA), daher werden derartige Viren auch als VBA-Viren bezeichnet. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie „Auto Open“. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten, was den Rechner überforderte und abstürzen ließ. Außerdem konnten sich VBA-Viren in Office-Template-Dateien verbergen und von dort aus in künftig bearbeitete Dokumente kopieren.

Bei entsprechender Einstellung werden Makros durch Office 2016 blockiert und die Aktivierung durch Anwender verhindert (Bild: Microsoft).Bei entsprechender Einstellung werden Makros durch Office 2016 blockiert und die Aktivierung durch Anwender verhindert (Bild: Microsoft).

Die Anzahl der Makro-Malware ging allerdings aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte um die Jahrtausendwende nahezu auf null zurück. Seit gut zwei Jahren scheinen sie allerdings eine Art Comeback zu feiern. Im Dezember warnte die Polizei auch in Deutschland Personalabteilungen vor dem Makro-Virus Goldeneye, der über Anhänge in vermeintlichen Bewerbungsschreiben verbreitet wurde. Und bereits im Oktober 2016 hatte Symantec auf den Banking-Trojaner Odinaff hingewiesen. Er wird über passwortgeschützte RAR-Archive und Word-Dokumente mit Makros verbreitet.

2015 belegte die Malware Maldoc, dass Makros zur Verbreitung von Malware auch raffiniert eingesetzt werden können. Auch sie wurde über als Anhang von E-Mails verbreitet. Öffnete der Nutzer den Anhang, wurde er aufgefordert, ein Makro zu aktivieren, das erst beim Schließen des Dokuments einen Malware-Download anstieß. So gelang es ihr, eine eventuell vorhandene Sicherheitssoftware mit Sandbox zu überlisten.

Gegenmaßnahmen von Microsoft

Im Frühjahr 2016 hatte Microsoft aufgrund der „Renaissance“ von Makro-basierender Malware Office 2016 um eine Funktion zur Abwehr von Makro-Malware ergänzt. Damit können Administratoren Regeln festlegen, mit denen Makros je nach aktuellem Szenario blockiert werden. Damit lässt sich auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden. Ein Beispiel dafür ist der Download von Dokumenten aus dem Internet.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Makros lassen sich in den Gruppenrichtlinien von Office 2016 für Dokumente aus Cloud-Diensten wie Microsoft OneDrive, Google Drive und Dropbox sperren. Bei Outlook und Exchange können Administratoren zudem Makros in angehängten Dokumenten blockieren, wenn die von externen Adressen stammen. Außerdem haben Administratoren die Möglichkeit, Makros für Dokumente aus öffentlichen Quellen wie Filesharing-Websites zu unterbinden.

Office-Nutzer können bei aktiver Makrosperre die Sandbox „Geschützte Ansicht“ beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. Makros sind in diesem Modus standardmäßig deaktiviert. Versucht ein unvorsichtiger Anwender, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, wird ihm ein Warnhinweis oberhalb des Dokuments angezeigt. Darin wird erklärt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem wird der Nutzer daran gehindert, die “Geschütze Ansicht” zu verlassen

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Kabellose Vernetzung: Freie Fahrt für Fahrzeuge der nächsten Generation

Die Vernetzung von Fahrzeugen ist in den letzten 20 Jahren zu einem Mittel für allgemeine Sicherheitsmeldungen und Verkehrsmanagement geworden. Aber heutzutage werden Autos mit neuen Sensoren ausgestattet, um ein noch besser vernetztes und sichereres Fahren zu ermöglichen.

[Mit Material von Peter Marwan, silicon.de]

Themenseiten: Malware, Palo Alto, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft Office: Loader sorgt für Verbreitung mehrerer Malware-Familien

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *