Branche - geschrieben von cp am Montag, April 13, 2020 22:41 - ein Kommentar
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen
Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware
[datensicherheit.de, 13.04.2020] Microsofts Office-Programme sind die am meisten genutzte Bürosoftware weltweit. Aus diesem Grund stellen sie auch für Cyber-Kriminelle ein beliebtes Mittel dar, um Angriffe auf Organisationen zu starten.
Eine immer häufiger auftretende Methode, mit der Kriminelle versuchen, Schadprogramme auf den Rechnern ihrer Opfer zu installieren, bedient sich der Standardfunktion von Microsoft Excel, schreibgeschützte Dokumente erstellen zu können. Diese kann anscheinend auch für böswillige Zwecke verwendet werden. Hierzu muss beim betreffenden Dokument nur ein Häkchen gesetzt werden und schon ist es „read only“ und verschlüsselt. Ungeachtet dessen kann das Excel-Dokument Makros enthalten, die beim Öffnen ausgeführt werden, ohne ein Passwort eingeben zu müssen. Ein weiterer Vorteil: Ist das Dokument schreibgeschützt, ist es zugleich verschlüsselt. Das Standardpasswort „VelvetSweatshop“ wird von Excel automatisch verwendet, um zunächst zu prüfen, ob es sich um eine schreibgeschützte verschlüsselte Datei oder um eine vollständig gesperrte Datei mit einem vom Benutzer erstellten Passwort handelt. Einmal verschlüsselt, ist der Schadcode, der sich in ihm befindet – etwa ein Malware Dropper – zudem nicht mehr von gängigen Security-Lösungen erkennbar, sodass er ungehindert die meisten Sicherheitsmechanismen passieren kann.
Makros in Excel-Dokumenten enthalten Schadsoftware
Ein Angriff mit einem auf diese Weise verschlüsselten Excel-Dokument findet folgendermaßen statt: Der Cyber-Kriminelle erstellt ein Spreadsheet mit Makro, das schadhaften Code enthält und ausführt, beispielsweise den Trojaner LimeRAT, der nach erfolgreicher Installation weitere Schadsoftware wie Ransomware, Cryptominer etc. nachladen kann. Dieses Dokument schickt der Angreifer an einen Mitarbeiter des Unternehmens, das er angreifen will. Im Vorhinein hat er Informationen über das Unternehmen und die Person gesammelt, um seine Mail glaubhaft und vertrauenswürdig aussehen zu lassen. Denkbar sind hier hierarchische Strukturen des Unternehmens, Events oder auch persönliche Details, die in sozialen Netzwerken geteilt wurden und auf die sich der Angreifer in seiner Phishing-Mail beziehen kann.
Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast
Wenige Aktionen der Opfer nötig, um erfolgreiche Angriffe zu starten
Öffnet der Empfänger das schreibgeschützte, verschlüsselte Dokument, entschlüsselt es sich selbständig und führt das Makro sowie den darin enthaltenen Schadcode sofort aus, ohne Opfer wie gewohnt um Erlaubnis oder ein Passwort fragen zu müssen. Hiermit geht die Installation der Malware einher und das System ist somit kompromittiert. Im Gegensatz zu anderen, auf der Verschlüsselungsfunktion von Excel beruhenden Angriffen sind hier weniger Aktionen seitens des Opfers notwendig, um den Angriff erfolgreich sein zu lassen.
Mitarbeiter sensibilisieren und trainieren
Da diese Angriffsmethode keine Sicherheitslücke bei Excel im eigentlichen Sinne ist, sondern ein gängiges Feature ausnutzt, existiert kein Patch – und es wird auch in Zukunft keinen Patch geben. Unternehmen müssen sich also selbst zu helfen wissen. Diese Schritte können dazu dienen, einer solchen Attacke nicht zum Opfer zu fallen:
- Mitarbeiter für die Gefahren von E-Mail-Anhängen sensibilisieren und trainieren. Obwohl die aktuelle Angriffsmethode wenig Interaktion vom Empfänger fordert, funktioniert sie nicht gänzlich ohne menschliches Zutun: Den Anhang zu öffnen.
- Eine erweiterte E-Mail-Sicherheitslösung nutzen, die über einen ausreichenden Malware-Schutz verfügt, um diese Art von Angriffen abzuwehren. Diese sollte eingehende E-Mails sowohl auf schadhafte Anhänge als auch auf Links hin untersuchen, die zu potentiell gefährlichen Websites führen. Darüber hinaus muss sie eingehende Mails und Dateien sandboxen und somit Schadcode erkennen können.
- Den Netzwerkverkehr auf mögliche Verbindungen zu Command-and-Control-Servern überwachen.
- Sicherheitssysteme auf allen Endpunkten im Unternehmen auf dem aktuellsten Stand halten, um Malware so früh wie möglich zu erkennen.
Es ist nach Angaben von Mimecast nicht davon auszugehen, dass Angriffe mit der VelvetSweatshop-Methode zurückgehen werden oder dieser Angriffsvektor in nächster Zeit geschlossen werden wird. Umso wichtiger ist es, das eigene Unternehmen bestmöglich vor diese Schwachstelle zu schützen.
Weitere Informationen zum Thema:
datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht
datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht
datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität
datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig
Aktuelles, Experten - Nov 6, 2024 19:06 - noch keine Kommentare
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
weitere Beiträge in Experten
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
- Festnahmen in Hessen und Rheinland-Pfalz: BKA meldet erneuten Schlag gegen Underground Economy im Internet
Aktuelles, Branche - Nov 5, 2024 19:28 - noch keine Kommentare
SweetSpecter hatte OpenAI im Visier
weitere Beiträge in Branche
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
- Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren