Branche - geschrieben von cp am Montag, April 13, 2020 22:41 - ein Kommentar
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen
Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware
[datensicherheit.de, 13.04.2020] Microsofts Office-Programme sind die am meisten genutzte Bürosoftware weltweit. Aus diesem Grund stellen sie auch für Cyber-Kriminelle ein beliebtes Mittel dar, um Angriffe auf Organisationen zu starten.
Eine immer häufiger auftretende Methode, mit der Kriminelle versuchen, Schadprogramme auf den Rechnern ihrer Opfer zu installieren, bedient sich der Standardfunktion von Microsoft Excel, schreibgeschützte Dokumente erstellen zu können. Diese kann anscheinend auch für böswillige Zwecke verwendet werden. Hierzu muss beim betreffenden Dokument nur ein Häkchen gesetzt werden und schon ist es „read only“ und verschlüsselt. Ungeachtet dessen kann das Excel-Dokument Makros enthalten, die beim Öffnen ausgeführt werden, ohne ein Passwort eingeben zu müssen. Ein weiterer Vorteil: Ist das Dokument schreibgeschützt, ist es zugleich verschlüsselt. Das Standardpasswort „VelvetSweatshop“ wird von Excel automatisch verwendet, um zunächst zu prüfen, ob es sich um eine schreibgeschützte verschlüsselte Datei oder um eine vollständig gesperrte Datei mit einem vom Benutzer erstellten Passwort handelt. Einmal verschlüsselt, ist der Schadcode, der sich in ihm befindet – etwa ein Malware Dropper – zudem nicht mehr von gängigen Security-Lösungen erkennbar, sodass er ungehindert die meisten Sicherheitsmechanismen passieren kann.
Makros in Excel-Dokumenten enthalten Schadsoftware
Ein Angriff mit einem auf diese Weise verschlüsselten Excel-Dokument findet folgendermaßen statt: Der Cyber-Kriminelle erstellt ein Spreadsheet mit Makro, das schadhaften Code enthält und ausführt, beispielsweise den Trojaner LimeRAT, der nach erfolgreicher Installation weitere Schadsoftware wie Ransomware, Cryptominer etc. nachladen kann. Dieses Dokument schickt der Angreifer an einen Mitarbeiter des Unternehmens, das er angreifen will. Im Vorhinein hat er Informationen über das Unternehmen und die Person gesammelt, um seine Mail glaubhaft und vertrauenswürdig aussehen zu lassen. Denkbar sind hier hierarchische Strukturen des Unternehmens, Events oder auch persönliche Details, die in sozialen Netzwerken geteilt wurden und auf die sich der Angreifer in seiner Phishing-Mail beziehen kann.
Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast
Wenige Aktionen der Opfer nötig, um erfolgreiche Angriffe zu starten
Öffnet der Empfänger das schreibgeschützte, verschlüsselte Dokument, entschlüsselt es sich selbständig und führt das Makro sowie den darin enthaltenen Schadcode sofort aus, ohne Opfer wie gewohnt um Erlaubnis oder ein Passwort fragen zu müssen. Hiermit geht die Installation der Malware einher und das System ist somit kompromittiert. Im Gegensatz zu anderen, auf der Verschlüsselungsfunktion von Excel beruhenden Angriffen sind hier weniger Aktionen seitens des Opfers notwendig, um den Angriff erfolgreich sein zu lassen.
Mitarbeiter sensibilisieren und trainieren
Da diese Angriffsmethode keine Sicherheitslücke bei Excel im eigentlichen Sinne ist, sondern ein gängiges Feature ausnutzt, existiert kein Patch – und es wird auch in Zukunft keinen Patch geben. Unternehmen müssen sich also selbst zu helfen wissen. Diese Schritte können dazu dienen, einer solchen Attacke nicht zum Opfer zu fallen:
- Mitarbeiter für die Gefahren von E-Mail-Anhängen sensibilisieren und trainieren. Obwohl die aktuelle Angriffsmethode wenig Interaktion vom Empfänger fordert, funktioniert sie nicht gänzlich ohne menschliches Zutun: Den Anhang zu öffnen.
- Eine erweiterte E-Mail-Sicherheitslösung nutzen, die über einen ausreichenden Malware-Schutz verfügt, um diese Art von Angriffen abzuwehren. Diese sollte eingehende E-Mails sowohl auf schadhafte Anhänge als auch auf Links hin untersuchen, die zu potentiell gefährlichen Websites führen. Darüber hinaus muss sie eingehende Mails und Dateien sandboxen und somit Schadcode erkennen können.
- Den Netzwerkverkehr auf mögliche Verbindungen zu Command-and-Control-Servern überwachen.
- Sicherheitssysteme auf allen Endpunkten im Unternehmen auf dem aktuellsten Stand halten, um Malware so früh wie möglich zu erkennen.
Es ist nach Angaben von Mimecast nicht davon auszugehen, dass Angriffe mit der VelvetSweatshop-Methode zurückgehen werden oder dieser Angriffsvektor in nächster Zeit geschlossen werden wird. Umso wichtiger ist es, das eigene Unternehmen bestmöglich vor diese Schwachstelle zu schützen.
Weitere Informationen zum Thema:
datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht
datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht
datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität
datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren