Hide and Script: Bösartige URLs in Videos in Office Dokumenten

Originalbeitrag von Michael Villanueva und Toshiyuki Iwata, Threats Analysts

Ende Oktober zeigten die Sicherheitsforscher von Cymulate einen Proof of Concept (PoC) für die Ausnutzung eines Logikfehlers, der Hackern die Möglichkeit gibt, die Online-Videofunktion in Microsoft Office zum Ablegen von Malware zu missbrauchen. Trend Micro fand nun ein Sample (TROJ_EXPLOIT.AOOCAI) in VirusTotal, das diese Methode dafür einsetzt, den URSNIF-Information Stealer (TSPY_URSNIF.OIBEAO) zu verbreiten.

Da diese Art von Angriff den Einsatz eines eigens dafür erstellten Word-Dokuments erfordert, kann man davon ausgehen, dass es über weitere Schadsoftware oder als Anhang bzw. Links/URLs in Spam auf dem System eines Nutzers abgelegt wird. Der Fehler betrifft Microsoft Word 2013 und spätere Versionen. Der PoC und die Malware nutzen DOCX-Dateitypen, eine eXtensible Markup Language-basierte (XML)-Datei, die Text, Objekte, Styles, Formatierung und Bilder enthalten kann. Sie werden als separate Dateien gespeichert und in einer ZIP-komprimierten DOCX-Datei vorgehalten.

Bild 1: Vergleich zwischen dem PoC (links) und der Infektionskette im gefundenen Sample (rechts)

Für den PoC hatten die Forscher Online-Videos ins Dokument eingefügt und dann die XML-Dateien im Dokumentenpaket geändert Das gefundene Sample zeigt lediglich die modifizierte URL im src-Parameter, die mit einer Pastebin-URL ersetzt wurde, die das Skript umfasst, das bei erfolgreicher Umleitung geladen und ausgeführt wird. Das Skript seinerseits greift auf eine weitere bösartige URL zu, um eine Version der URSNIF-Malware herunterzuladen und auszuführen. Einzelheiten und Unterschiede zwischen dem PoC und dem Sample bietet der Originalbeitrag.

Schutz vor dieser Bedrohung

Microsoft hat kein CVE dafür vergeben, denn die Funktion für das Einbetten von Online-Videos arbeitet problemlos. Zum Schutz vor der Bedrohung können Nutzer Word-Dokumente blockieren, die den embeddedHtml-Tag in ihren entsprechenden XML-Dateien beinhalten, oder sie können Dokumente mit eingebetteten Videos deaktivieren. Auch Best Practices können helfen: mehr Vorsicht bei nicht angeforderten Emails sowie Aktualisieren von Systemen, Anwendungen und Netzwerken, sodass ausnutzbare Sicherheitslücken geschlossen werden. Des Weiteren kann der Einsatz von Sicherheitsmechanismen zusätzliche Schutzschichten für Endpoints (so URL-Filtering/Kategorisierung) dabei helfen, bösartige URLs und Sites, die Malware hosten, zu blockieren.

Die Trend Micro Endpoint-Lösungen Smart Protection Suites und Trend Micro Worry-Free Services Advanced können über Verhaltens-Monitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern. Mithilfe des Deep Discovery™ Email Inspector können Ransomware-bezogene Emails und bösartige Anhänge erkannt und geblockt werden.

Diese Lösungen werden von Trend Micro XGen™ Security unterstützt, die eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte liefert. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln.

Indicators of Compromise (IoCs) sind im Originalbeitrag enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.