image

Cisco slaat alarm voor oprukkende macro-malware

donderdag 14 mei 2015, 08:39 door Redactie, 5 reacties

In een half jaar tijd is het aantal aanvallen via macro-malware verdubbeld, reden voor netwerkgigant Cisco om alarm te slaan. De malware wordt verspreid via e-mailbijlagen die Word-documenten bevatten. Zodra het document wordt geopend wordt de gebruiker gevraagd of hij macro's wil inschakelen, aangezien Microsoft dit vanwege veiligheidsredenen standaard heeft uitgeschakeld.

Volgens Tim Gurganus van Cisco zijn veel mensen het gevaar van macro's echter vergeten en schakelen die vervolgens in, waardoor de kwaadaardige code in het document malware kan downloaden en installeren. Een succesvolle aanpak, zo blijkt uit de toename van het aantal e-mailaanvallen waarbij macro-malware wordt gebruikt. Het probleem wordt vergroot doordat de meeste e-mailfilters en bedrijven Office-documenten niet blokkeren en de kwaadaardige macro-code zeer geobfusceerd en lastig te detecteren is.

De eerste kwaadaardige macro's bestonden nog uit 150 regels code, inmiddels zijn dat er 1500 geworden. Ook hebben de makers allerlei maatregelen genomen om detectie te voorkomen en zijn de tactieken op het gebied van social engineering verfijnd. Zo lieten de eerste exemplaren na te zijn geopend een lege pagina zien, wat gebruikers kon alarmeren dat er iets mis was. Sinds begin dit jaar worden "afleidingsdocumenten" getoond terwijl in de achtergrond de infectie plaatsvindt. Daardoor zal de gebruiker niet vermoeden dat het om malware gaat.

Verder blijkt dat de aanvallers regelmatig legitieme gehackte websites of clouddiensten zoals Dropbox, Google Drive of Pastebin.com gebruiken om de malware te hosten. Het grote voordeel hiervan is dat de domeinen niet in het netwerkverkeer opvallen en ook niet snel zullen worden geblokkeerd. "Macro-malware is dan ook een goed voorbeeld van malwaremakers die op streng wordende beveiligingsmaatregelen reageren, zoals het blokkeren van zip-bestanden die exe-bestanden bevatten. Aanvallers blijven hun tactieken, technieken en procedures aanpassen", zegt Gurganus.

Reacties (5)
14-05-2015, 13:22 door [Account Verwijderd]
[Verwijderd]
14-05-2015, 17:10 door Anoniem
Door Anak Krakatau: erger is dat av-bedrijven niet bijster snel zijn in hun updates bij macromalware. de eerste exemplaren worden in de meeste gevallen maar door een paar scanners gedetecteerd. aanrader: personeel trainen om in geen geval macro's te openen.
Macro's zelf bevatten maar zelden kwaadaardige code, meestal zijn het hyperlinks.
Da's niet alleen handig tegen detectie, maar ook met het aanbieden van nieuwe e/o specifieke versies.

Als de host dan ook nog een IP-filtertje heeft draaien, krijgen de meeste AV's niet eens geautomatiseerd de sample's binnen.
14-05-2015, 20:33 door Anoniem
Het is nog erger dan alleen de eerste exemplaren niet detecteren. De helft van het anti-virus detecteert geen enkel exemplaar gedurende de spam runs. Je moet generieke technieken toepassen om de malware te blokkeren.

De laatste dagen zijn de aantallen enorm toegenomen.
15-05-2015, 09:21 door Anoniem
15 jaar geleden heeft HP dit probleem al opgelost. Microsoft heeft het nooit toegepast en nu krijgt de eindgebruiker het verwijt over zich heen.

Soms schaam ik mij diep dat ik in de IT werkzaam ben.

https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
15-05-2015, 10:29 door Anoniem
Hier voor 750 PC's macro's geheel uitgezet via de GPO:

in:
User Configuration/Administrative Templates/Microsoft Excel 2010/Excel Options/Security/Trust Center
User Configuration/Administrative Templates/Microsoft Access 2010/Application Settings/Security/Trust Center
User Configuration/Administrative Templates/Microsoft PowerPoint 2010/PowerPoint Options/Security/Trust Center
User Configuration/Administrative Templates/Microsoft Word 2010/Word Options/Security/Trust Center
de setting:
VBA Macro Notification Settings - Enabled (Disable all without notification)

Daarna met een uitzonderings groep voor een enkeling die toch macro's gebruikt het weer aangezet en aan hun uitleg gegeven over de gevaren van macro malware.
Werkt perfect.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.