Makro-Schadsoftware: Ein Griff in die alte Trickkiste

Originalartikel von Jay Yaneza, Threats Analyst

Bereits vor einem Jahr fanden Sicherheitsforscher von Trend Micro Makro-Schadsoftware mit der Kombination W97M_SHELLHIDE.A und TSPY_ZBOT.DOCM. Es war kein Zufall, denn seit 2014 wird diese Verteilmethode für Malware immer wieder genutzt (etwa von DRIDEX, ROVNIX und VAWTRAK). Deshalb lohnt sich ein tieferer Blick in die Techniken oder Routinen der Makro-Schadsoftware.

Makros an sich sind nicht schädlich, sie sollen häufig genutzte Aufgaben automatisieren. Probleme entstehen allerdings dann, wenn Cyberkriminelle die Funktionalität dazu missbrauchen, um bösartige Routinen auszuführen. Microsoft bietet in der eigenen Office Suite bis zu einem gewissen Grad Makro-Schutz an. Diese Mechanismen informieren den Anwender, wenn in einer Office-Datei ein Makro existiert, das der User gerade öffnen will. Sie erkennen jedoch nicht, ob das eingebettete Makro bösartig ist oder nicht. Das bedeutet, die Mechanismen überlassen dem Benutzer die Entscheidung, bewusst die Funktionalität an- oder auszuschalten.

Mehrere Szenarien sind denkbar. In einer Umgebung mit Endbenutzern, die selbst kleine Makros erstellen können, wird angenommen, dass der Anwender beim Erhalt eines Dokuments mit Makrocode die Funktionalität aktiviert oder auch „Aktivieren aller Makros“ eingestellt hat, um Dateien mit Makros austauschen zu können. Ein häufiger vorkommendes Szenario umfasst Nutzer, die noch nie von Makros in Office gehört haben, also auch die Risiken nicht kennen. Sie sind auf die Datei neugierig und werden wahrscheinlich die Sicherheitswarnung ignorieren und die Makros aktivieren.

Im Vergleich zu bösartigem Code, der auf Exploits baut, um die endgültige Payload abzulegen, verlangen diese Bedrohungen eine Nutzerinteraktion:

  • Jemand muss die Mail öffnen und sie lesen.
  • Der Leser stellt fest, dass der Inhalt für ihn interessant sei.
  • Schließlich öffnet er den Anhang und unternimmt die erforderlichen Schritte, um die Makros zu aktivieren.

Das klingt zwar nach einigem Aufwand, um den Computer eines Nutzers zu infizieren, ist jedoch nicht so weit von der Wahrheit entfernt. Es handelt sich um eine alte Technik und die meisten heutigen Nutzer kennen die Effizienz der Bedrohung nicht. Die meisten diesbezüglichen Aktivitäten liegen bereits 14 Jahre zurück.

Das Ganze ist größer als die Summe seiner Teile

Was passiert nun an einem Endpoint, der Makros die Ausführung erlaubt, wenn ein bösartiges Word-Dokument geöffnet wird:


Bild 1. Deep Discovery Log-Datei für W2KM_DLOADR.WYG beim Download von TSPY_DRIDEX.WW

Die Merkmale dieser Ereignisse fallen unter Umständen gar nicht auf, wenn Word-Dokumente über Internet-Gateways in die Mailbox eines Nutzer gelangen dürfen. Alles, was zu sehen ist, ist ein Download von einer Maschine. Doch betrachtet man das Ganze, so sieht man folgendes:

  • E-Mail kommt an mit der korrekten Mail-Adressendomäne, mit einem Betreff und glaubwürdiger Nachricht, sodass der Nutzer ausgetrickst wird und das Dokument öffnet.
  • Beim Öffnen des Anhangs erhält der Nutzer klare Anweisungen, wie die Funktionalität zu aktivieren ist, falls er dies nicht schon getan hat.
  • Es scheint nichts zu passieren und der Nutzer merkt, dass etwas nicht in Ordnung ist. Er löscht sofort die Mail.
  • Das ist natürlich zu spät, denn die bösartige Aktivität ist bereits persistent auf dem System – ein Binary, das die Banking-Aktivitäten des Nutzers überwacht.

Interessant ist auch das BARTALEX-Beispiel:


Bild 2. W2KM_BARTALEX.SM-Ausführung

Aus dieser langen Aktivitätenliste bei der Ausführung eines Word-Dokuments sind folgende Charakteristika wichtig:

  • Funktionalität der Aufgabenautomatisierung: Batch-Dateien (.bat), Visual Basic-Skript (.vbs), PowerShell-Skript (.ps1) und natürlich Visual Basic for Applications (VBA)-Makro, das die Ausführung anstieß,
  • Built-in Befehlszeilen-Tool für das Aufrufen separater Ereignisse: cmd.exe, ping.exe und chcp.com,
  • Ausführen eines Binaries und
  • eine http-Verbindung, die nicht auffällt.

Daraus lässt sich ersehen, was die Word-Datei bösartig macht: Es ist vor allem der Missbrauch von ansonsten legitimen Komponenten. Der Desktop eines Nutzers hat wahrscheinlich eingebettete Funktionalität, die ein Angreifer ausnützen kann, um den Angriff zu vollenden.

Fazit

Es sieht so aus, als ob Makro-Malware wieder im Kommen ist. Doch lässt sich daraus nicht schließen, dass sich Geschichte wiederholt, denn die darunter liegende Funktionalität hat sich seit der ersten Welle erheblich verbessert. Der Schutz vor Makro-Malware in Unternehmensumgebungen erfordert einige Maßnahmen, die sich auf drei zusammenfassen lassen:

  1. Überprüfen der Sicherheitsrichtinien. E-Mail-Sicherheitsrichtlinien gibt es wahrscheinlich schon, doch sollte dies geprüft werden. Ist es etwa üblich, Word-Dateien, die Makros enthalten über Mail zu verschicken, so sollte die Notwendigkeit überdacht werden, dies mit externen Parteien zu tun. Damit lässt sich auch über E-Mail-Filter entscheiden, z.B. über eine Policy, die derlei Inhalte nur beim internen Mailverkehr über die Unternehmensnachrichten-Infrastruktur zulässt. Sollte es nötig sein, diese Art von Dokumenten, die aus dem Internet kommen, zuzulassen, so bietet es sich an, die Office-Dokumente in einer Sandbox auszuführen, um zu prüfen, ob diese bösartig sind.
  2. Verkleinern der Angriffsfläche. Heutige Geräte sind viel funktionsstärker und technisch fortgeschrittener als die in frühen 2000er Jahren, und die vielen gut gemeinten Fähigkeiten werden auch mit böser Absicht ausgenützt. Wird beispielsweise in einer Umgebung PowerShell nicht gebraucht, so könnte man deren Ausführung über Software Restriction Policies oder App Locker blockieren. Gibt es keinen Grund, Windows Scripting Host laufen zu lassen, so könnte dieser deaktiviert werden. Schließlich sollte auch geprüft werden, ob ein bestimmter Endpunkt wirklich Internet-Zugriff benötigt, oder ob es vielleicht auch reicht, wenn er die Unternehmensressourcen nutzt und Zugang zum Intranet bekommt.
  3. Schulung der Nutzer. Die Schulung von Endbenutzern ist sehr wichtig, um sicherzugehen, dass jeder, der mit dieser Art von Inhalten umgehen muss, auch die Risiken kennt. Jede Policy ist nur so stark wie ihre Implementierung, und ungeschulte Nutzer sind die ersten, die sie brechen.

Anwender erhalten von Trend Micro Möglichkeiten, über die Email Sicherheitslösungen in den Smart Protection Suites Maßnahmen bezüglich Makro-aktivierter Dateien zu ergreifen. Kleine Unternehmen erhalten ähnliche Funktionalitäten in den Worry-Free Business Security-Lösungen.

Unternehmen können auch auf Trend Micros™ Custom Defense™ zurückgreifen, einer Familie von Sicherheitslösungen, mit denen Anwender schnell fortschrittliche Bedrohungen und gezielte Angriffe erkennen, analysieren und darauf reagieren können.

 

Zusätzliche Analysen von Jamz Yaneza, Jeffrey Bernardino und Renato Geroda

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.