image

Aanval met kwaadaardige macro's in XML-bestanden

maandag 9 maart 2015, 11:26 door Redactie, 6 reacties

Cybercriminelen gebruiken alweer enige tijd macro's in documenten om malware te verspreiden, maar nu zijn er ook aanvallen waargenomen waarbij XML-bestanden werden ingezet. Macro's laten gebruikers verschillende taken automatiseren en werden jaren terug op grote schaal door malware gebruikt. Vanwege de veiligheidsrisico's besloot Microsoft daarom om macro's standaard in Office te blokkeren.

Een jaar geleden verschenen er steeds meer .doc- en .xls-documenten waarin macro's zaten verstopt. In de documenten werden gebruikers opgeroepen om macro's in te schakelen. Zodra de gebruiker de macro inschakelt wordt er in de achtergrond bijvoorbeeld malware gedownload en geïnstalleerd. Een tactiek die succesvol lijkt te zijn, want begin dit jaar gaf Microsoft al een waarschuwing af voor macro-malware. Nu waarschuwt beveiligingsbedrijf Trustwave voor een nieuwe aanval waarbij kwaadaardige macro's via XML-bestanden worden gebruikt.

XML staat voor Extensible Markup Language en op XML-gebaseerde formaten zijn de standaard voor verschillende officetools geworden, waaronder ook Microsoft Office. Als een gebruikers het XML-bestand opent wordt Office geladen en verschijnt weer de melding dat macro's moeten worden ingeschakeld. Na het inschakelen wordt er een kwaadaardig script uitgevoerd dat een Trojaans paard downloadt en installeert. Het gaat om de Dridex banking Trojan, malware die speciaal ontwikkeld is om geld van online bankrekeningen te stelen. Het Internet Storm Center (ISC) geeft organisaties advies hoe ze dit soort XML-bestanden kunnen filteren.

Image

Voorbeeld van een Word-document met een kwaadaardige macro

Reacties (6)
09-03-2015, 11:33 door Anoniem
Dit gebeurde vorige week, dus het is een beetje oud nieuws, maar het is wel een inventieve methode van het bezorgen van macro malware. De detectie bleef aanvakelijk laag volgens VirusTotal.

Het is een mso bestand verpakt in XML. De XML zelf is niet echt nodig, want mso bestanden kunnen worden geopend met Office.

Het mso bestand ontstaat op "natuurlijke wijze" als je Word gebruikt als email editor.
09-03-2015, 12:05 door Anoniem
We hebben het hier over het aloude VBA ("visual basic for applications") waarvan iedereen met een beetje security achtergrond bij introductie al zoiets had van, aftellen tot het eerste macrovirus. We werden niet teleurgesteld.

Het verschil hier is dat het om een VBA payload in een "oud formaat" office document gaat, wat met gezipt (zlib) per base64-ecoding in een beetje XML gestopt is. Die XML zegt eigenlijk alleen maar "hier volgt een word document" en dan die data. Maar hee, nu eindigt je bestandje op .xml en niet op .doc en moeten scanners door wat lagen encoding heenkijken.

En oh ja, die VBA code doet niet veel meer dan een stukje malware van elders ophalen en dan uitvoeren.

Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.
09-03-2015, 16:35 door Anoniem
Door Anoniem:
Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.

O maar dat had ik >10 jaar geleden al in de gaten... waarom de malware scanner industrie dan niet?
Een scanner moet niet kijken naar de extensie, maar zelf op grond van de data kijken wat het is.
Anders krijg je ook die leuke dingen dat scanners een .exe of .zip blokkeren, maar deze doorlaten als je hem renamed
naar .doc of .txt met in de mail erbij de aanwijzing deze even terug te renamen.
Scanners die dat niet zien, dat is prutswerk.
09-03-2015, 18:55 door sjonniev
Door Anoniem:
Door Anoniem:
Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.

O maar dat had ik >10 jaar geleden al in de gaten... waarom de malware scanner industrie dan niet?
Een scanner moet niet kijken naar de extensie, maar zelf op grond van de data kijken wat het is.
Anders krijg je ook die leuke dingen dat scanners een .exe of .zip blokkeren, maar deze doorlaten als je hem renamed
naar .doc of .txt met in de mail erbij de aanwijzing deze even terug te renamen.
Scanners die dat niet zien, dat is prutswerk.

https://nakedsecurity.sophos.com/2015/03/06/from-the-labs-new-developments-in-microsoft-office-malware/
09-03-2015, 23:20 door [Account Verwijderd]
[Verwijderd]
11-03-2015, 23:07 door Anoniem
$ cat SpotLite.exe | uuencode -m SpotLite.exe > SpotLite.txt
$
$ file SpotLite.txt
SpotLite.txt: ASCII text

Wil je echt zeker zijn haal dan nog even de eerste regel van SpotLite.txt weg.
Deze truc heb ik vele jaren gebruikt als ik een executable ergens door moest sluizen via e-mail, netcat sessie door een open poort in een firewall, via een copy/paste tussen 2 Putty logins en zelfs door een dial in sessie via Z-modem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.