image

Malware gebruikt rtf-bestanden om virusscanners te omzeilen

maandag 21 maart 2016, 14:34 door Redactie, 7 reacties

Een beruchte malwarefamilie die zich de afgelopen maanden vooral via Word-, Excel- en JavaScriptbestanden verspreidde maakt nu van rtf-bestanden gebruik, in de hoop om zo virusscanners te misleiden. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye in een analyse.

Het gaat om Dridex, een Trojaans paard dat speciaal ontwikkeld is om geld via internetbankieren te stelen. Bij nieuwe campagnes maakt Dridex geen gebruik meer van de eerder genoemde bestandsformaten, maar gebruikt WordprocessingML dat als een rtf-bestand is opgeslagen. WordprocessingML is een xml-formaat dat een Worddocument beschrijft. Volgens FireEye probeert de malware op deze manier bepaalde signatures van virusscanners te omzeilen.

Net als de eerder gebruikte Word- en Excelbestanden wordt er een macro gebruikt om de malware op de computer te krijgen. Om detectie door virusscanners te voorkomen bevat de kwaadaardige macro zelf geen kwaadaardige code. Die wordt in een textbox-object van een formulier opgeslagen. FireEye stelt dat de meeste exemplaren die nu worden verspreid niet door virusscanners worden opgemerkt. Zo zou slechts 1 van de 56 anti-virusbedrijven waarmee op VirusTotal wordt gescand de malware detecteren.

"Cybercriminelen blijven innoveren, waarbij ze dit keer een creatieve manier laten zien om de detectie van dreigingen via statische signatures te bemoeilijken. Om veilig te blijven is het belangrijk om op drie gebieden waakzaam en proactief te zijn, namelijk bewustzijn bij gebruikers, beleid en technologie", zegt analist Robert Venal.

Reacties (7)
21-03-2016, 15:30 door Anoniem
De malware verspreidt zichzelf niet. Het is geen virus.

De titel van dit artikel is fout. De malware is geen RTF, het is een XML Microsoft Word opslag format. De RTF extensie betekent niet dat de content ook RTF is. Dat schrijft FireEye ook.

De XML file bevat base64 encoded mso (docSuppData, ActiveMime format), waarin ingebed een macro.
21-03-2016, 15:43 door Anoniem
Voor op de inkomende mailservers.
Alles wat langs de clamav-unofficial-sigs komt, daar heb ik zelf custom yara rules voor gemaakt

https://plusvic.github.io/yara/
21-03-2016, 16:10 door Anoniem
Wij blokkeren hier op onze Exchange server alle Macro's met Mcafee Security for Exchange. Deze pakt gelukkig ook de RTF documenten met macro's eruit, zelfs als de bestanden verpakt zijn in een ZIP
21-03-2016, 16:47 door Anoniem
Door Anoniem: Wij blokkeren hier op onze Exchange server alle Macro's met Mcafee Security for Exchange. Deze pakt gelukkig ook de RTF documenten met macro's eruit, zelfs als de bestanden verpakt zijn in een ZIP

Goed, maar dit heeft niets met RTF bestanden van doen. Het is een Word XML document.

Dit is als volgt ingebed: XML met mso links -> ActiveMime -> macro. De scanner dient dus XML met mso, ActiveMime en macro te ondersteunen.
21-03-2016, 17:20 door Anoniem
Zie screenshot FireEye, daar staat toch echt bestandsnaam.rtf. Lijkt me dan ook handig voor RTF files te waarschuwen dan moeilijk te gaan lopen doen over content type. En ook FireEye mentions RTF files: Dropping a VBE based downloader that could not be seen without execution of the malicious RTF file.
21-03-2016, 18:29 door karma4
Door Anoniem: Zie screenshot FireEye, daar staat toch echt bestandsnaam.rtf. Lijkt me dan ook handig voor RTF files te waarschuwen dan moeilijk te gaan lopen doen over content type.
Het bestandstype de extensie zegt niets over de content. Ga nu een nets naar de applicatie word Excel 7zip en open dan elk willekeurig bestand. Dat gaat gewoon. Het heeft weinig zin om over die extensie te zeuren als je er zo makkelijk om heen kan. Het zou wat mij betreft beter zijn als gebruikers niet op linkjes bestandsnamen of wat dan ook klikken maar het netjes eerst opslaan dan laten controleren op inhoud en daarna pas openen. Dat was in de tijd van lotus 123a gewoon. Het moest gebruikersvriendelijker.
21-03-2016, 18:56 door Anoniem
Door Anoniem: Zie screenshot FireEye, daar staat toch echt bestandsnaam.rtf. Lijkt me dan ook handig voor RTF files te waarschuwen dan moeilijk te gaan lopen doen over content type. En ook FireEye mentions RTF files: Dropping a VBE based downloader that could not be seen without execution of the malicious RTF file.

De gequote zin is een fout van de auteur, mogelijk bedoelde hij te schrijven: "...without execution of the malicious XML file".
De auteur vermeldt ook dat het geen RTF file is: "Masquerading WordprocessingML as RTF file". Een hele paragraaf daarover. Dat het een XML file is met RTF extensie klopt. Maar het had evengoed een andere Word gerelateerde extensie kunnen zijn, zoals dot of wbk. Er is een hele reeks extensies die werken om het doel van het openen van het bestand door Word te bereiken.

De extensie kan dus worden gebruikt door de aanvaller om een bestand door Word te laten openen waar die extensie niet bijhoort.

Ook MIME content types worden bedacht door de aanvallers. Je kunt bijvoorbeeld de bijlage geen extensie geven door een MIME content type van msword te gebruiken. Dan wordt Word alsnog gebruikt om het bestand te openen. Word kijkt wat voor soort bestand het is en gebruikt meestal geschikte laadcode.

Concluderend: het zou niet slim zijn van een scannerontwikkelaar om de extensie of MIME te gebruiken voor file type bepaling. Die kun je zo wijzigen in diverse andere extensies en content zonder dat je de XML inhoud hoeft aan te passen.

Probeer onderscheid te maken tussen:
1. Extensie
2. MIME content type
3. Inhoud (bestandstype)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.