Branche - geschrieben von am Montag, April 13, 2020 22:41 - ein Kommentar

VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen

Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware

[datensicherheit.de, 13.04.2020] Microsofts Office-Programme sind die am meisten genutzte Bürosoftware weltweit. Aus diesem Grund stellen sie auch für Cyber-Kriminelle ein beliebtes Mittel dar, um Angriffe auf Organisationen zu starten.

Eine immer häufiger auftretende Methode, mit der Kriminelle versuchen, Schadprogramme auf den Rechnern ihrer Opfer zu installieren, bedient sich der Standardfunktion von Microsoft Excel, schreibgeschützte Dokumente erstellen zu können. Diese kann anscheinend auch für böswillige Zwecke verwendet werden. Hierzu muss beim betreffenden Dokument nur ein Häkchen gesetzt werden und schon ist es „read only“ und verschlüsselt. Ungeachtet dessen kann das Excel-Dokument Makros enthalten, die beim Öffnen ausgeführt werden, ohne ein Passwort eingeben zu müssen. Ein weiterer Vorteil: Ist das Dokument schreibgeschützt, ist es zugleich verschlüsselt. Das Standardpasswort „VelvetSweatshop“ wird von Excel automatisch verwendet, um zunächst zu prüfen, ob es sich um eine schreibgeschützte verschlüsselte Datei oder um eine vollständig gesperrte Datei mit einem vom Benutzer erstellten Passwort handelt. Einmal verschlüsselt, ist der Schadcode, der sich in ihm befindet – etwa ein Malware Dropper – zudem nicht mehr von gängigen Security-Lösungen erkennbar, sodass er ungehindert die meisten Sicherheitsmechanismen passieren kann.

Makros in Excel-Dokumenten enthalten Schadsoftware

Ein Angriff mit einem auf diese Weise verschlüsselten Excel-Dokument findet folgendermaßen statt: Der Cyber-Kriminelle erstellt ein Spreadsheet mit Makro, das schadhaften Code enthält und ausführt, beispielsweise den Trojaner LimeRAT, der nach erfolgreicher Installation weitere Schadsoftware wie Ransomware, Cryptominer etc. nachladen kann. Dieses Dokument schickt der Angreifer an einen Mitarbeiter des Unternehmens, das er angreifen will. Im Vorhinein hat er Informationen über das Unternehmen und die Person gesammelt, um seine Mail glaubhaft und vertrauenswürdig aussehen zu lassen. Denkbar sind hier hierarchische Strukturen des Unternehmens, Events oder auch persönliche Details, die in sozialen Netzwerken geteilt wurden und auf die sich der Angreifer in seiner Phishing-Mail beziehen kann.

Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast

Bild: Mimecast

Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast

Wenige Aktionen der Opfer nötig, um erfolgreiche Angriffe zu starten

Öffnet der Empfänger das schreibgeschützte, verschlüsselte Dokument, entschlüsselt es sich selbständig und führt das Makro sowie den darin enthaltenen Schadcode sofort aus, ohne Opfer wie gewohnt um Erlaubnis oder ein Passwort fragen zu müssen. Hiermit geht die Installation der Malware einher und das System ist somit kompromittiert. Im Gegensatz zu anderen, auf der Verschlüsselungsfunktion von Excel beruhenden Angriffen sind hier weniger Aktionen seitens des Opfers notwendig, um den Angriff erfolgreich sein zu lassen.

Mitarbeiter sensibilisieren und trainieren

Da diese Angriffsmethode keine Sicherheitslücke bei Excel im eigentlichen Sinne ist, sondern ein gängiges Feature ausnutzt, existiert kein Patch – und es wird auch in Zukunft keinen Patch geben. Unternehmen müssen sich also selbst zu helfen wissen. Diese Schritte können dazu dienen, einer solchen Attacke nicht zum Opfer zu fallen:

  • Mitarbeiter für die Gefahren von E-Mail-Anhängen sensibilisieren und trainieren. Obwohl die aktuelle Angriffsmethode wenig Interaktion vom Empfänger fordert, funktioniert sie nicht gänzlich ohne menschliches Zutun: Den Anhang zu öffnen.
  • Eine erweiterte E-Mail-Sicherheitslösung nutzen, die über einen ausreichenden Malware-Schutz verfügt, um diese Art von Angriffen abzuwehren. Diese sollte eingehende E-Mails sowohl auf schadhafte Anhänge als auch auf Links hin untersuchen, die zu potentiell gefährlichen Websites führen. Darüber hinaus muss sie eingehende Mails und Dateien sandboxen und somit Schadcode erkennen können.
  • Den Netzwerkverkehr auf mögliche Verbindungen zu Command-and-Control-Servern  überwachen.
  • Sicherheitssysteme auf allen Endpunkten im Unternehmen auf dem aktuellsten Stand halten, um Malware so früh wie möglich zu erkennen.

Es ist nach Angaben von Mimecast nicht davon auszugehen, dass Angriffe mit der VelvetSweatshop-Methode zurückgehen werden oder dieser Angriffsvektor in nächster Zeit geschlossen werden wird. Umso wichtiger ist es, das eigene Unternehmen bestmöglich vor diese Schwachstelle zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit - datensicherheit.de
Apr 14, 2020 9:00

[…] datensicherheit.de, 13.04.2020 VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen […]

Kommentieren

Kommentar

Theiners SecurityTalk

Neue Folge!
Blackout - Angriff auf kritische Infrastrukturi, 20.05.2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung