Categories: CybersicherheitVirus

Microsoft Office im Visier mehrerer Malware-Familien

Ein neu entdeckter Loader für Microsoft Office verwendet gefährliche Makros, um mit deren Hilfe mehrere Malware-Familien zu verbreiten. Der Loader wurde von Experten des IT-Sicherheitsanbieters Palo Alto Networks in über 650 unterschiedlichen Samples identifiziert. Mit ihnen wurden in unterschiedlichen Branchen bereits über 12.000 Angriffe auf Firmen durchgeführt. Am häufigsten waren High-Tech-Unternehmen, Dienstleister, Rechtsanwaltskanzleien und Behörden betroffen.

Bei den E-Mails handelte es sich meist um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente, denen der Empfänger eine Geschäftsrelevanz unterstellt. Unklar ist noch, ob die Angreifer es auf bestimmte Informationen aus den angegriffenen Firmen abgesehen haben, oder ob sie sich lediglich auf diese Bereiche spezialisiert haben, weil dort die Akzeptanz für derartige Anhänge durch das allgemeine Geschäftsgebaren hoch ist und sie festgestellt haben, dass in diesen Bereichen Makros vergleichsweise häufig verwendet werden.

Angesichts der großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, nimmt Palo Alto Networks aber an, dass die Hintermänner nicht ausgewählte Firmen oder Organisationen angreifen, sondern in erster Linie großflächige Kampagnen fahren. Zu den dabei verwendeten Malware-Familien gehören LuminosityLink, KeyBase, PredatorPain, Ancalog, Bartallex, Pony und DarkComet (PDF)

Die Untersuchung der in allen Samples verwendeten Makros zeigte, dass fast immer dieselbe Technik verwendet wurde. Laut Palo Alto Networks wurden alle Makros mit einer großen Menge an Datenmüll-Code und höchstwahrscheinlich mit einem sogenannten Builder zufällig ausgewählten und generierten Variablen verschleiert.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Besonderheit sei es, dass die Angreifer einen sogenannten UAC-Bypass anlegen, also die Benutzerkontensteuerung umgehen. Eine Liste aller Indikatoren, die auf eine Kompromittierung hinwiesen, Zeitstempel, SHA256 Hashes, Download-URLs und Dateinamen steht Administratoren und Sicherheitsverantwortlichen bei Github zur Verfügung.

Anfang Dezember hatte die Polizei Personalabteilungen vor der Schadsoftware Goldeneye gewarnt, die in solchen Excel-Mappen mit vermeintlichen Bewerbungen ausgeliefert wird. Auch hier verwendeten die Angreifer Makros (Bild: CERT-Bund)

Erst kürzlich hatte der Anbieter Objective See vor einem infizierten Word-Dokument gewarnt, über das Mac-Malware verbreitet wird. Allerdings halten diese Angriffsmethode ebenso wie viele andere, auf Makros basierende, Experten für nicht besonders ausgereift. Dass sie dennoch immer wieder angewandt werden, deutet aber darauf hin, dass die Angreifer damit zumindest ausreichend erfolgreich sind, obwohl Makro-Viren schon fast 20 Jahre alt und die Abwehr relativ einfach ist. Ein Beispiel dafür ist die Verbreitung der Ransomware Locky über mit Makros präparierte, vermeintliche Rechnungen vor knapp einem Jahr, die damals schwerpunktmäßig in Deutschland erfolgte.

Einer der bekanntesten Makro-Viren ist der Virus “Melissa” von 1999. Angreifer nutzten damals Visual Basic for Applications (VBA), daher werden derartige Viren auch als VBA-Viren bezeichnet. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie “Auto Open”. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten, was den Rechner überforderte und abstürzen ließ. Außerdem konnten sich VBA-Viren in Office-Template-Dateien verbergen und von dort aus in künftig bearbeitete Dokumente kopieren.

Bei entsprechender Einstellung werden Makros durch Office 2016 blockiert und die Aktivierung durch Anwender verhindert (Bild: Microsoft).

Aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte ging die Anzahl der Makro-Malware allerdings um die Jahrtausendwende nahezu auf null zurück. Seit gut zwei Jahren scheinen sie allerdings eine Art Comeback zu feiern. Im Dezember warnte die Polizei auch in Deutschland Personalabteilungen vor dem Makro-Virus Goldeneye, der über Anhänge in vermeintlichen Bewerbungsschreiben verbreitet wurde. Und bereits im Oktober 2016 hatte Symantec auf den Banking-Trojaner Odinaff hingewiesen. Er wird über passwortgeschützte RAR-Archive und Word-Dokumente mit Makros verbreitet.

Dass Makros zur Verbreitung von Malware auch raffiniert eingesetzt werden können, belegte 2015 die Malware Maldoc. Auc sie wurde über als Anhang von E-Mails verbreitet. Öffnete der Nutzer den Anhang, wurde er aufgefordert, ein Makro zu aktivieren, das erst beim Schließen des Dokuments einen Malware-Download anstieß. So gelang es ihr, eine eventuell vorhandene Sicherheitssoftware mit Sandbox zu überlisten.

Gegenmaßnahmen von Microsoft

Im Frühjahr 2016 hatte Microsoft aufgrund der “Renaissance” von Makro-basierender Malware Office 2016 um eine Funktion zur Abwehr von Makro-Malware ergänzt. Damit können Administratoren Regeln festlegen, mit denen Makros je nach aktuellem Szenario blockiert werden. Damit lässt sich auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden. Ein Beispiel dafür ist der Download von Dokumenten aus dem Internet.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Makros lassen sich in den Gruppenrichtlinien von Office 2016 für Dokumente aus Cloud-Diensten wie Microsoft OneDrive, Google Drive und Dropbox sperren. Bei Outlook und Exchange können Administratoren zudem Makros in angehängten Dokumenten blockieren, wenn die von externen Adressen stammen. Außerdem haben Administratoren die Möglichkeit, Makros für Dokumente aus öffentlichen Quellen wie Filesharing-Websites zu unterbinden.

Office-Nutzer können bei aktiver Makrosperre die Sandbox “Geschützte Ansicht” beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. Makros sind in diesem Modus standardmäßig deaktiviert. Versucht ein unvorsichtiger Anwender, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, wird ihm ein Warnhinweis oberhalb des Dokuments angezeigt. Darin wird erklärt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem wird der Nutzer daran gehindert, die “Geschütze Ansicht” zu verlassen

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago