Achtung vor legitimer Funktionalität Einfügen und Verbinden

Originalartikel von Abraham Camba, Threat Researcher

Die Bedrohungsforscher von Trend Micro fanden bei ihrer Recherche zu künftigen und möglichen gezielten Angriffen eine Spear Phishing-Mail, die drei scheinbar harmlose Dokumente beinhaltete. Die Prüfung eines der angehängten Dokumente AlSajana Youth Center financial Report.docx, einem vorgeblichen Finanzreport, ergab nichts Bösartiges. Doch auch die beiden anderen angehängten Dateien (u0627u0644u0645u0639u062Fu064429u0.docx und u0625u0646u062Cu0644u064Au0632u0649.doc) schienen verdächtig.



Bild 1. Die harmlose.DOCX-Datei


Bild 2. Die beiden anderen Dateien (vergrößern durch Anklicken)

Der Verdacht war begründet, denn in den Dokumenten fanden sich verdächtige Verbindungen zu der URL hxxp://www.islamonaa.com/vb/uploaded/24b38bcf42.gif, die im Hintergrund ablief. Beide bösartigen Dateien wurden als TROJ_MDLINK.A erkannt.

Die Domäne islamonaa.com steht zum Verkauf, doch umfasst sie verdächtige Weiterleitungen, bevor der Nutzer auf einem normalen Facebook-Link https://www.facebook.com/r.php ankommt. Trend Micro blockiert diese Domäne unter der Klassifizierung „Disease Vector”.

Verwendung von legitimen Funktionen in Microsoft Word

Die Bedrohungsforscher fanden heraus, dass der legitime Prozess winword.exe diese verdächtigen Verbindungen anstößt. Die Suche nach einem eingebetteten Makro, das in Verbindung zu der bösartigen URL steht, ergab erstaunlicherweise nichts, ebensowenig wie die Suche nach der Exploits von Sicherheitslücken.

Wie nimmt also winword.exe Verbindung zu der URL auf? Es fiel auf, dass beide Dokumente Text und andere Objekte wie Bilddateien enthielten. Auch die Suche nach Hyperlinks in den Bildern im Dokument ergab nichts. Bei weiteren Prüfungen fanden die Experten heraus, dass es drei Möglichkeiten gibt, ein Bild in Word oder weiterer Software unter Microsoft Office einzufügen:

  1. Einfügen – Einbetten des Bilds in das Dokument,
  2. Verbindung zu einer Datei – verbindet das Bild mit einer Datei (einer lokalen Datei oder einer im Web). Ist der Link nicht zugänglich oder ladbar, so wird ein Platzhalter für das Bild eingefügt, das nicht dargestellt werden kann.
  3. Einfügen und verbinden – ist eine Kombination der ersten beiden Methoden. Dieses Feature wird dann genutzt, wenn der Link nicht zugänglich oder ladbar ist, das Bild aber dennoch dargestellt werden kann.

Anscheinend nutzten die Hintermänner letztere Methode, um das Bild in die verdächtig erscheinenden Dokumente einzufügen. Ohne die verdächtigen Verbindungen wären diese Dokumente nicht weiter untersucht worden.

Es gibt zwei mögliche Arten, wie die Hintermänner diese Dateien präpariert haben. Sie nutzten die Funktion Einfügen und verbinden in Office mit einem Link zum Bild, das sie einbetten wollten. Nach dem Speichern ersetzten sie den Inhalt des Links mit etwas anderem oder änderten den Link innerhalb der Datei.


Bild 3. Microsoft Word erlaubt das Update oder die Änderung der Links im Dokument


Bild 4. Winword.exe führt die bösartige URL aus

Beide Methoden sind einfach und nutzen eine legitime Funktionalität von Microsoft Office.

Wie ernst ist diese Art von Angriff?

Leider hilft die dateibasierte Entdeckung gegen diese Angriffe nicht, da per se nichts Bösartiges, wie die Verwendung von Exploits oder bösartige Makros, in der Datei zu finden ist. Die von den Angreifern genutzte Funktionalität ist in Microsoft Word und anderen Office-Anwendungen vorhanden und kann nicht abgeschaltet werden. Auch wird kein Hyperlink angezeigt, sodass die Nutzer beim Öffnen des Dokuments gar nicht mitbekommen, dass im Hintergrund eine bösartige URL ausgeführt wird.

Theoretisch können Cyberkrimininelle die Funktionalität auch dazu missbrauchen, um bösartige Dateien über Social Engineering-Techniken herunterzuladen. Doch ist es sehr unwahrscheinlich, dass die heruntergeladene Datei unbemerkt erfolgreich ausgeführt wird, weil der Nutzer die Datei ausführen muss. Das Hinzufügen eines bösartigen Skripts in die Funktionalität Einfügen und verbinden scheint hier die logischere Vorgehensweise.

Best Practices und Gegenmaßnahmen

Microsoft hat bereits eine Funktionalität, um Sicherheitswarnungen über Links zu verdächtigen Websites zu aktivieren. Dies mag jedoch nicht ausreichen, um Nutzer zu schützen, denn das Feature funktioniert nur für Sites, die vorher als verdächtig markiert wurden.

Die beste Möglichkeit ist ein proaktives Vorgehen zum Schutz vor diesen Angriffen. Nutzer sollten immer prüfen, ob der Absender einer Mail ein vertrauenswürdige Quelle ist, also ein Bekannter oder eine legitime Quelle. Auch können Links in Dateien in verschiedenen Versionen von Microsoft Office gesucht werden:

Für Microsoft Office 2003:

  1. Auswählen Editieren > Links.

Für Microsoft Office 2007:

  1. Auswählen Office Button > Vorbereiten
  2. Anklicken von Editieren Link zu Dateien.

 For Microsoft Office 2010:

  1. Auswählen Datei > Info.
  2. Auf der rechten Seite unter Related Documents, anklicken von Editieren Links zu Dateien.

Das Blockieren von bösartigen URLs und Netzwerkprüfung sind gute Mittel, um mögliche Angriffe über diese Technik abzuwehren. Auch zeigt das Angriffsszenarion die Bedeutung mehrschichtiger Schutzansätze , wie sie Trend Micros™ Smart Protection Network™ bietet. Darüber lassen sich alle mit einem solchen Angriff in Verbindung stehenden Dateien, URLs und E-Mails blockieren. Auch wenn die Datei, wie eben gezeigt, selbst nicht bösartig ist, kann sie über die Web Reputation Services blockiert werden, weil die URL, die mit Einfügen und verbinden in die Datei eingefügt wurde, bösartig ist. Nutzer können auch auf der Site Trend Micro™ Site Safety Center prüfen, ob eine URL harmlos ist oder nicht.

Dazu gehörige Hashes:

  • 175f992f3a8241198b1171032606d620e07b27d9
  • a3f73a71a75787a8a2c586fd210d69ecfadcf61b

Zusätzliche Analysen von Maydalene Salvador und Karla Agregado

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.