Aanval met kwaadaardige macro's in XML-bestanden
Cybercriminelen gebruiken alweer enige tijd macro's in documenten om malware te verspreiden, maar nu zijn er ook aanvallen waargenomen waarbij XML-bestanden werden ingezet. Macro's laten gebruikers verschillende taken automatiseren en werden jaren terug op grote schaal door malware gebruikt. Vanwege de veiligheidsrisico's besloot Microsoft daarom om macro's standaard in Office te blokkeren.
Een jaar geleden verschenen er steeds meer .doc- en .xls-documenten waarin macro's zaten verstopt. In de documenten werden gebruikers opgeroepen om macro's in te schakelen. Zodra de gebruiker de macro inschakelt wordt er in de achtergrond bijvoorbeeld malware gedownload en geïnstalleerd. Een tactiek die succesvol lijkt te zijn, want begin dit jaar gaf Microsoft al een waarschuwing af voor macro-malware. Nu waarschuwt beveiligingsbedrijf Trustwave voor een nieuwe aanval waarbij kwaadaardige macro's via XML-bestanden worden gebruikt.
XML staat voor Extensible Markup Language en op XML-gebaseerde formaten zijn de standaard voor verschillende officetools geworden, waaronder ook Microsoft Office. Als een gebruikers het XML-bestand opent wordt Office geladen en verschijnt weer de melding dat macro's moeten worden ingeschakeld. Na het inschakelen wordt er een kwaadaardig script uitgevoerd dat een Trojaans paard downloadt en installeert. Het gaat om de Dridex banking Trojan, malware die speciaal ontwikkeld is om geld van online bankrekeningen te stelen. Het Internet Storm Center (ISC) geeft organisaties advies hoe ze dit soort XML-bestanden kunnen filteren.
Het is een mso bestand verpakt in XML. De XML zelf is niet echt nodig, want mso bestanden kunnen worden geopend met Office.
Het mso bestand ontstaat op "natuurlijke wijze" als je Word gebruikt als email editor.
Het verschil hier is dat het om een VBA payload in een "oud formaat" office document gaat, wat met gezipt (zlib) per base64-ecoding in een beetje XML gestopt is. Die XML zegt eigenlijk alleen maar "hier volgt een word document" en dan die data. Maar hee, nu eindigt je bestandje op .xml en niet op .doc en moeten scanners door wat lagen encoding heenkijken.
En oh ja, die VBA code doet niet veel meer dan een stukje malware van elders ophalen en dan uitvoeren.
Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.
Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.
O maar dat had ik >10 jaar geleden al in de gaten... waarom de malware scanner industrie dan niet?
Een scanner moet niet kijken naar de extensie, maar zelf op grond van de data kijken wat het is.
Anders krijg je ook die leuke dingen dat scanners een .exe of .zip blokkeren, maar deze doorlaten als je hem renamed
naar .doc of .txt met in de mail erbij de aanwijzing deze even terug te renamen.
Scanners die dat niet zien, dat is prutswerk.
Zo zie je maar weer dat oplapsoftware als een malwarescanner zich best wel een hoop moeite moet geven om bij te benen al dat flitsende oh-zo-hulpvaardige en -gebruiksvriendelijke bestandjes interpreteren, uitpakken, nogmaals uitpakken, uitvoeren, en vrolijk meegaan met wat die onbekende data uit den vreemde allemaal wil, waar windows zo in uitblinkt.
O maar dat had ik >10 jaar geleden al in de gaten... waarom de malware scanner industrie dan niet?
Een scanner moet niet kijken naar de extensie, maar zelf op grond van de data kijken wat het is.
Anders krijg je ook die leuke dingen dat scanners een .exe of .zip blokkeren, maar deze doorlaten als je hem renamed
naar .doc of .txt met in de mail erbij de aanwijzing deze even terug te renamen.
Scanners die dat niet zien, dat is prutswerk.
https://nakedsecurity.sophos.com/2015/03/06/from-the-labs-new-developments-in-microsoft-office-malware/
$
$ file SpotLite.txt
SpotLite.txt: ASCII text
Wil je echt zeker zijn haal dan nog even de eerste regel van SpotLite.txt weg.
Deze truc heb ik vele jaren gebruikt als ik een executable ergens door moest sluizen via e-mail, netcat sessie door een open poort in een firewall, via een copy/paste tussen 2 Putty logins en zelfs door een dial in sessie via Z-modem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
