Microsoft Office im Visier mehrerer Malware-Familien

SicherheitVirus

Ein neu entdeckter Loader wird überwiegend per E-Mail verbreitet. Meist handelt es sich um vermeintliche Aufträge, Rechnungen, Produktlisten oder Vertragsunterlagen. Der Loader verwendet dann Makros und umgeht die Benutzerkontensteuerung, um Malware zu verbreiten.

Ein neu entdeckter Loader für Microsoft Office verwendet gefährliche Makros, um mit deren Hilfe mehrere Malware-Familien zu verbreiten. Der Loader wurde von Experten des IT-Sicherheitsanbieters Palo Alto Networks in über 650 unterschiedlichen Samples identifiziert. Mit ihnen wurden in unterschiedlichen Branchen bereits über 12.000 Angriffe auf Firmen durchgeführt. Am häufigsten waren High-Tech-Unternehmen, Dienstleister, Rechtsanwaltskanzleien und Behörden betroffen.

Bei den E-Mails handelte es sich meist um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente, denen der Empfänger eine Geschäftsrelevanz unterstellt. Unklar ist noch, ob die Angreifer es auf bestimmte Informationen aus den angegriffenen Firmen abgesehen haben, oder ob sie sich lediglich auf diese Bereiche spezialisiert haben, weil dort die Akzeptanz für derartige Anhänge durch das allgemeine Geschäftsgebaren hoch ist und sie festgestellt haben, dass in diesen Bereichen Makros vergleichsweise häufig verwendet werden.

Palo Alto Networks (Bild: Palo Alto Networks)

Angesichts der großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, nimmt Palo Alto Networks aber an, dass die Hintermänner nicht ausgewählte Firmen oder Organisationen angreifen, sondern in erster Linie großflächige Kampagnen fahren. Zu den dabei verwendeten Malware-Familien gehören LuminosityLink, KeyBase, PredatorPain, Ancalog, Bartallex, Pony und DarkComet (PDF)

Die Untersuchung der in allen Samples verwendeten Makros zeigte, dass fast immer dieselbe Technik verwendet wurde. Laut Palo Alto Networks wurden alle Makros mit einer großen Menge an Datenmüll-Code und höchstwahrscheinlich mit einem sogenannten Builder zufällig ausgewählten und generierten Variablen verschleiert.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Besonderheit sei es, dass die Angreifer einen sogenannten UAC-Bypass anlegen, also die Benutzerkontensteuerung umgehen. Eine Liste aller Indikatoren, die auf eine Kompromittierung hinwiesen, Zeitstempel, SHA256 Hashes, Download-URLs und Dateinamen steht Administratoren und Sicherheitsverantwortlichen bei Github zur Verfügung.

Makro-Malware Goldeneye (Bild: CERT-Bund)
Anfang Dezember hatte die Polizei Personalabteilungen vor der Schadsoftware Goldeneye gewarnt, die in solchen Excel-Mappen mit vermeintlichen Bewerbungen ausgeliefert wird. Auch hier verwendeten die Angreifer Makros (Bild: CERT-Bund)

Erst kürzlich hatte der Anbieter Objective See vor einem infizierten Word-Dokument gewarnt, über das Mac-Malware verbreitet wird. Allerdings halten diese Angriffsmethode ebenso wie viele andere, auf Makros basierende, Experten für nicht besonders ausgereift. Dass sie dennoch immer wieder angewandt werden, deutet aber darauf hin, dass die Angreifer damit zumindest ausreichend erfolgreich sind, obwohl Makro-Viren schon fast 20 Jahre alt und die Abwehr relativ einfach ist. Ein Beispiel dafür ist die Verbreitung der Ransomware Locky über mit Makros präparierte, vermeintliche Rechnungen vor knapp einem Jahr, die damals schwerpunktmäßig in Deutschland erfolgte.

Einer der bekanntesten Makro-Viren ist der 1999 Virus “Melissa“. Angreifer nutzten damals Visual Basic for Applications (VBA), daher werden derartige Viren auch als VBA-Viren bezeichnet. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie “Auto Open”. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten, was den Rechner überforderte und abstürzen ließ. Außerdem konnten sich VBA-Viren in Office-Template-Dateien verbergen und von dort aus in künftig bearbeitete Dokumente kopieren.

Bei entsprechender Einstellung werden Makros durch Office 2016 blockiert und die Aktivierung durch Anwender verhindert (Bild: Microsoft).
Bei entsprechender Einstellung werden Makros durch Office 2016 blockiert und die Aktivierung durch Anwender verhindert (Bild: Microsoft).

Aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte ging die Anzahl der Makro-Malware allerdings um die Jahrtausendwende nahezu auf null zurück. Seit gut zwei Jahren scheinen sie allerdings eine Art Comeback zu feiern. Im Dezember warnte die Polizei auch in Deutschland Personalabteilungen vor dem Makro-Virus Goldeneye, der über Anhänge in vermeintlichen Bewerbungsschreiben verbreitet wurde. Und bereits im Oktober 2016 hatte Symantec auf den Banking-Trojaner Odinaff hingewiesen. Er wird über passwortgeschützte RAR-Archive und Word-Dokumente mit Makros verbreitet.

Dass Makros zur Verbreitung von Malware auch raffiniert eingesetzt werden können, belegte 2015 die Malware Maldoc. Auc sie wurde über als Anhang von E-Mails verbreitet. Öffnete der Nutzer den Anhang, wurde er aufgefordert, ein Makro zu aktivieren, das erst beim Schließen des Dokuments einen Malware-Download anstieß. So gelang es ihr, eine eventuell vorhandene Sicherheitssoftware mit Sandbox zu überlisten.

Gegenmaßnahmen von Microsoft

Im Frühjahr 2016 hatte Microsoft aufgrund der “Renaissance” von Makro-basierender Malware Office 2016 um eine Funktion zur Abwehr von Makro-Malware ergänzt. Damit können Administratoren Regeln festlegen, mit denen Makros je nach aktuellem Szenario blockiert werden. Damit lässt sich auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden. Ein Beispiel dafür ist der Download von Dokumenten aus dem Internet.

Ausgewählte Whitepaper

Sicherheitsaspekte bei der Auswahl einer Lösung für EFSS

Bei der Entscheidung für eine Lösung zur Dateisynchronisierung und -freigabe (Enterprise File-Share and Sync) spielen in Unternehmen in der Regel mehrere Faktoren eine Rolle. Datensicherheit steht dabei meist ganz oben weit oben auf der Liste. Diese 12 Fragen sollten sie Anbietern daher auf alle Fälle stellen.

Makros lassen sich in den Gruppenrichtlinien von Office 2016 für Dokumente aus Cloud-Diensten wie Microsoft OneDrive, Google Drive und Dropbox sperren. Bei Outlook und Exchange können Administratoren zudem Makros in angehängten Dokumenten blockieren, wenn die von externen Adressen stammen. Außerdem haben Administratoren die Möglichkeit, Makros für Dokumente aus öffentlichen Quellen wie Filesharing-Websites zu unterbinden.

Office-Nutzer können bei aktiver Makrosperre die Sandbox “Geschützte Ansicht” beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. Makros sind in diesem Modus standardmäßig deaktiviert. Versucht ein unvorsichtiger Anwender, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, wird ihm ein Warnhinweis oberhalb des Dokuments angezeigt. Darin wird erklärt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem wird der Nutzer daran gehindert, die “Geschütze Ansicht” zu verlassen

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen