Systeme mit kennwortgeschützten Makros infizieren

Originalartikel von Joie Salvio, Threat Response Engineer

Die Schadsoftware-Familie ROVNIX kann über einen Makro-Downloader verteilt werden. Den Bedrohungsforschern von Trend Micro zufolge ist diese Technik bislang nur von der DRIDEX-Malware bekannt, dem Nachfolger der Banking-Schadsoftwae CRIDEX. Es ist zwar eine ziemlich alte Infektionsmethode, doch funktionieren bösartige Makros offenbar sehr gut, auch bei fortschrittlichen Verteidigungsmaßnahmen.

ROVNIX Malware-Routinen

Die Analyse hat ergeben, dass ROVNIX bösartige Rootkit-Treiber in einen nicht partitionierten Teil des NTFS-Laufwerks schreibt. Damit ist der Treiber effizient versteckt, denn das Betriebssystem und die Sicherheitsprodukte können diesen nicht partitionierten Teil nicht sehen. Um den bösartigen Treiber zu laden, modifiziert ROVNIX die Inhalte des IPL (Initial Program Load), sodass der Rootkit-Treiber vor dem Betriebssystem geladen wird. Dies dient einem doppelten Zweck: der Entdeckung zu entgehen und einen unsignierten Treiber für Windows-Versionen ab 7 zu laden.

Infektionskette

Für diesen Angriff enthält das bösartige Dokument einen Social Engineering-Köder, und zwar einen falschen Alert von Microsoft® Office®, in dem der Nutzer aufgefordert wird, die Makro-Settings zu aktivieren.

Bild 1. Screenshot des Dokuments mit dem bösartigen Makro

Das Aktivieren der Makros stößt die Ausführung dieses bösartigen Makros (W97M_DLOADER.AI) an. Der Unterschied zwischen dem akuellen bösartigen Makro und dem früheren von CRIDEX ist der, dass der neue kennwortgeschützt ist. Das wiederum erschwert die Analyse der Malware, denn das Makro kann ohne Passwort oder einem speziellen Tool nicht geöffnet werden.

Bild 2. Das bösartige Makro erfordert ein Kennwort

Bild 3. Code-Ausschnitt aus dem Skript

Das Malware-Skript nutzt einfache Zeichenkettenverknüpfungen und mehrfache Ersetzung von Variablen, um den Code zu verstecken und der Entdeckung zu entgehen. Wird das Makro ausgeführt, so legt es drei separate versteckte Skripts verschiedenen Typs ab, einschließlich eines Windows Powershell-Skripts. Das lässt vermuten, dass die Cyberkiminellen Windows-Systeme Version 7 aufwärts im Visier haben, bei denen die Powersehll standardmäßig installiert ist.

Bild 4. Von W97M_DLOADER.AI abgelegte Dateien

Das Skript namens adobeacd-update.bat führt adobeacd-update.vbs (VBS_POWRUN.KG) aus und erhöht die Nutzerberechtigungen. Dann führt es ein weiteres Skript adobeacd-update.ps1 (TROJ_POWDLOD.GN) aus. TROJ_POWDLOD.GN lädt TROJ_ROVNIX.NGT von http//185[.]14[.]31[.]9/work.exe herunter und führt diesen,eine als ROVNIX-Loader identifizierte Datei, aus. Die Daten aus dem Trend Micro™ Smart Protection Network™ zeigen, dass in Deutschland die meisten mit diesem Schädling infizierten Systeme vorhanden sind.

Tabelle 1. Die am meisten betroffenen Länder zwischen dem 6.- 8. November 2014

Fazit

ROVNIX stellt sowohl für Nutzer als auch für Unternehmen eine Gefahr dar, denn neben den Backdoor-Fähigkeiten kann der Schädling auch Passwörter stehlen und Tastenbewegungen aufzeichnen. Somit lässt sich dieser Angriff für Datendiebstähle als Haupt-Payload einsetzen. Auch zeigt der Angriff, dass möglicherweise auch weitere Schadsoftware Makro-Dokumente einsetzen könnte, um die PowerShell dazu zu missbrauchen, ihre bösartigen Routinen auszuführen. In diesem speziellen Angriff wurden keine Powershell-Merkmale ausgenutzt.

Nutzer können ihre Systeme über die Konfiguration ihrer Makro-Settings für die höchste Sicherheitsstufe schützen. Wird diese Fähigkeit für das Anzeigen von Dokumenten gebraucht, so sollte sichergestellt sein, dass die Dateien aus sicheren Quellen kommen.

Trend Micro schützt Anwender über das Smart Protection Network™, das die bösartigen Dateien erkennt. Folgende Hashes sind damit verbunden: 92C090AA5487E188E0AB722A41CBA4D2974C889D

4C5C0B3DCCBFBDC1640B2678A3333E8C9EF239C5

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.