Aktuelles, Branche - geschrieben von dp am Donnerstag, Dezember 3, 2020 20:13 - noch keine Kommentare
Makro-Malware: Dokumente können perfide Schädlinge bergen
Christoph M. Kumpa fasst Best Practices zum Schutz vor Makro-Malware zusammen
[datensicherheit.de, 03.12.2020] Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf „Best Practices“ zum Schutz vor Makro-Malware ein. Diese habe mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makro-Programmen ein Comeback erlebt. Für Cyber-Kriminelle seien vor allem „Microsoft Office“-Makros aufgrund der enorm großen Nutzerbasis ein attraktives Ziel. Häufig nutze Makro-Malware die „VBA“-Programmierung (Visual Basic for Applications) in „Microsoft Office“-Makros, um Viren, Würmer und andere Formen von Schadware zu verbreiten, und stelle damit ein „erhebliches Risiko für die Unternehmenssicherheit“ dar, warnt Kumpa.
Christoph M. Kumpa: Makro-Malware erhebliches Risiko für Unternehmenssicherheit
Makro – eine kurze Erklärung
„Ein Makro (kurz für „macroinstruction“, wörtlich etwa ,Groß-Befehl‘ vom griechischen ,makros‘ für ,groß‘) sei eine Kette von Befehlen, die Anwendungen wie ,Excel‘ und ,Word‘ anweisen, bestimmte Aktionen auszuführen“, erinnert Kumpa.
Makros bündelten mehrere kleinere Instruktionen in einem Befehl und ließen diese gemeinsam ablaufen. Dadurch werde die Funktionalität der Anwendung verbessert, indem wiederkehrende Abläufe beschleunigt würden.
Makros sind Programme und könnten von Malware-Autoren kompromittiert werden
Kumpa verdeutlicht: „Da es sich bei Makros um Programme handelt, können sie wie jedes andere Programm potenziell von Malware-Autoren kompromittiert werden.“ Makro-Viren seien in derselben Makro-Sprache geschrieben, die auch für Software-Programme verwendet werde – einschließlich „Microsoft Word“ oder „Excel“.
Für einen Makro-Malware-Angriff erstellten Cyber-Kriminelle häufig bösartigen Code und betteten diesen in Makros von Dokumenten ein, welche als Anhänge in Phishing-E-Mails verbreitet werden könnten. Kumpa unterstreicht: „Sobald das Opfer den Anhang öffnet, können die darin enthaltenen Makros ausgeführt werden – und die Malware beginnt alle Dateien zu infizieren, die mit ,Microsoft Office‘ geöffnet werden.“ Diese Fähigkeit, sich rasch zu verbreiten, sei eine der Hauptrisiken von Makro-Malware.
Auch Schadsoftware Emotet nutzt häufig Makros
Makro-Viren könnten schädliche Funktionen aufrufen, beispielsweise die Veränderung des Inhalts von Textdokumenten oder die Löschung von Dateien. Die Schadsoftware „Emotet“ nutze zudem häufig Makros, um sich Zugang zum Netzwerk zu verschaffen. „Im nächsten Schritt lädt sie zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach.“
Manche Makro-Viren griffen auch auf E-Mail-Konten des Opfers zu und sendeten Kopien der infizierten Dateien an alle Kontakte, die wiederum diese Dateien häufig öffneten, da sie von einer vertrauenswürdigen Quelle stammten.
Vermeidung von Makro-Malware-Infektionen erfordert richtige Identifizierung von Phishing-E-Mails
Werden Makros in einer „Microsoft Office“-Datei nicht ausgeführt, könne die Malware das Gerät nicht infizieren. „Die größte Herausforderung bei der Vermeidung von Makro-Malware-Infektionen liegt in der richtigen Identifizierung von Phishing-E-Mails“, berichtet Kumpa. Bei folgenden Punkten sei Vorsicht geboten:
- E-Mails von unbekannten Absendern
- E-Mails mit Rechnungen oder angeblich vertraulichen Informationen im Anhang
- Dokumente, die keine Vorschau bieten, bevor Makros aktiviert werden
- Dokumente, deren Makro-Prozesse verdächtig aussehen
Christoph M. Kumpa nennt Best Practices zum Schutz vor Makro-Malware
Der beste Weg, die Bedrohung durch Makro-Malware zu eliminieren, sei die Reduzierung der Interaktion zwischen Malware und einem Gerät. Unternehmen sollten eine Kombination aus den folgenden Techniken nutzen, um ihre Verteidigung gegen Makro-Malware-Angriffe zu stärken:
- Verwendung eines Spam/Junk-Filters sowie Phishing-Schutzes
Je weniger Phishing-E-Mails den Posteingang erreichten, desto geringer sei die Wahrscheinlichkeit eines Makro-Malware-Angriffs. Neben dem klassischen Spam-Filter gebe es spezielle Phishing-Schutz-Technologien, welche auf Basis von „Machine Learning“ (ML) auch ausgefeilte Spear-Phishing-Angriffe erkennen könnten. Kumpa: „Diese Lösungen erlernen das normale Kommunikationsverhalten innerhalb eines Unternehmens und schlagen bei Anomalien Alarm.“ - Verwendung eines starken Antiviren-Programms
Antiviren-Software könne eine Warnmeldung senden, wenn ein Benutzer versucht, einen bösartigen Link zu öffnen oder eine verdächtige Datei herunterzuladen. - Anhänge von unbekannten Absendern ungeöffnet lassen
„Wenn Nutzer den Absender einer E-Mail nicht kennen, sollten sie keine Anhänge öffnen, auch wenn die E-Mail auf persönliche Informationen verweist oder behauptet, es handle sich um eine unbezahlte Rechnung“, betont Kumpa. - Auch Vorsicht bei Anhängen in verdächtigen E-Mails bekannter Absender
Durch die Umkehrung des Codes der bösartigen Datei könnten Sicherheitsexperten verschlüsselte, durch das Sample gespeicherte Daten decodieren, die Logik der Datei-Domain bestimmen sowie andere Fähigkeiten der Datei anzeigen lassen, „die während der Verhaltensanalyse nicht angezeigt wurden“. Um den Code manuell umzukehren, würden Malware-Analyse-Tools wie „Debugger“ und „Disassembler“ benötigt. - Prüfung vor Ausführung, welche Prozesse ein Makro steuert
Wenn der Makro-Befehl bösartige Aktionen auszuführen scheint, sollten keine Makros aktiviert werden.
Abwehr von Makro-Malware nicht allein technisch – auch Schulungen empfohlen
„Da viele Nutzer zwar mit dem Begriff Makro-Malware vertraut sind, aber eventuell nicht wissen, wie sie diese identifizieren können, sollten Unternehmen zudem ihre Mitarbeiter durch regelmäßige Schulungen aufklären, wie sie mögliche Bedrohungen, insbesondere im Bereich ,Social Engineering‘, erkennen können“, empfiehlt Kumpa.
Ein erhöhtes Nutzerbewusstsein über die Gefahren von Makro-Viren trage dazu bei, die Unternehmenssicherheit maßgeblich zu stärken und erfolgreiche Makro-Malware-Angriffe zu minimieren.
Weitere Informationen zum Thema:
datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails
datensicherheit.de, 13.04.2020
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen / Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware
datensicherheit.de, 26.03.2015
Starker Anstieg durch von Office-Makros aktivierter Malware / Carsten Pinnow im Interview mit Noam Green, Check Point Software Technologies
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren