Böses per Dokumentenanhang

Klaus Gheri ist Vice President und General Manager Network Security bei Barracuda Networks. Klaus Gheri ist Vice President und General Manager Network Security bei Barracuda Networks. Foto: Barracuda Networks

Dokumentenecht? – Das Böse kommt immer öfter per Dokumentenanhan, warnt Klaus Gheri, VP und GM Network Security bei Barracuda Networks.

„Das Böse ist immer und überall“, warnt die Pop-Gruppe EAV. Das sollte E-Mail-Nutzer zwar nicht dauerhaft verunsichern, aber sie sollten stets wachsam sein, was da an Dokumenten so alles mitgeschickt wird. Denn die Security-Analysten von Barracuda Networks verzeichnen seit Jahresbeginn einen deutlichen Anstieg dokumentenbasierter Malware. Eine aktuelle E-Mail-Analyse, die das Unternehmen vornahm, offenbarte, dass es sich im ersten Quartal 2019 bei 59 Prozent aller entdeckten bösartigen Dateien um Dokumente handelte. Im gleichen Zeitraum des Vorjahres waren es noch 41 Prozent. In den letzten zwölf Monaten kamen 48 Prozent aller entdeckten bösartigen Dateien als Dokument daher. Über 300.000 Dokumente ließen sich als eindeutig und bösartig identifizieren. 

Bei einem Angriff mittels dokumentenbasierter Malware nutzen Cyberkriminelle E-Mails, um ein Dokument mit bösartiger Software auf den Weg zu seinen Opfern zu schicken. Üblich ist es, die Malware entweder direkt im Dokument selbst zu verstecken oder aber ein eingebettetes Skript lädt sie von einer externen Website herunter. Und schon starten Viren, Trojaner, Spyware, Würmer und Ransomware ihr bösartiges Vorhaben.

Was macht etwas bösartig? – Das ist heutzutage die Frage

Nachdem man sich in der Vergangenheit auf signaturbasierte Methoden verlassen hatte, die Malware erst stoppen konnten, nachdem eine Signatur daraus abgeleitet wurde, denken Sicherheitsunternehmen heute diffiziler über Malware-Erkennung nach: Man fragt: "Was macht etwas bösartig?" und nicht "Wie erkenne ich Dinge, von denen ich weiß, dass sie bösartig sind"? Ziel dieser aktuellen Sichtweise ist es, frühe Anzeichen dafür zu erkennen, dass eine Datei Schaden anrichten könnte, noch bevor sie überhaupt als schädlich eingestuft wird.

Cyber Kill Chain: Phasen eines Angriffsszenarios

Ein gängiges Modell zum besseren Verständnis von Angriffen heißt Cyber Kill Chain. Es baut darauf auf, Angreifer, bevor sie richtigen Schaden anrichten können, zu erkennen und unschädlich zu machen. Das siebenstufige Modell ist der militärischen Abwehr entlehnt, wonach Angriffe unmittelbar zu analysieren, zu strukturieren und in einzelne Schritte zu zerlegen seien:

1. Erkundung zur Zielauswahl und -einordnung
2. Waffen individuell auf das Ziel abstimmen, d.h., die geeignete Angriffsmethode finden
3. Gezielter Angriff
4.
Brückenkopf bilden, d.h., in der erkannten Schwachstelle wird mittels Exploits ein Programm hinterlegt, das einen Zugriff von außen ermöglicht
5. Installation schafft Persistenz innerhalb des Zielsystems
6. Steuerung und Kontrolle - Nutzung der Persistenz von außerhalb des Netzwerks
7. Maßnahmen zur Erreichung des Ziels, das Zweck des Angriffs war; oft Exfiltration von Daten

Das Gros an bösartiger Schadsoftware wird als Spam an weit verbreitete E-Mail-Listen gesendet. Diese werden verkauft, gehandelt, aggregiert und überarbeitet, während sie sich durch die Untiefen des Netzes bewegen. Ein Beispiel für diese Art der Listenaggregation und -nutzung sind etwa Kombilisten, wie sie in den gegenwärtig sehr beliebten Sextortion-Angriffen verwendet werden. Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt.

Obacht bei Microsoft- und Adobe-Dateitypen

Sobald der Angreifer über eine Liste potenzieller Opfer verfügt, schickt er die Malware-Kampagne auf ihren verbrecherischen Weg. Immer häufiger kommt dabei Social Engineering zum Einsatz, um Benutzer zu beeinflussen, ein angehängtes bösartiges Dokument zu öffnen. Aus nachvollziehbaren Gründen erfreuen sich Microsoft- und Adobe-Dateitypen bei den Kriminellen einer zweifelhaften Beliebtheit für dokumentenbasierte Malwareangriffe. Word-, Excel-, PowerPoint-, Acrobat- und PDF-Dateien werden eben allzu häufig verwendet. Öffnet nun der Benutzer das Dokument, installiert sich die Malware entweder automatisch oder es wird ein stark verschleiertes Makro/Skript verwendet, um es von einer externen Quelle herunterzuladen und zu installieren.

Archivdateien und Skriptdateien sind die beiden anderen am häufigsten verwendeten anlagenbasierten Verteilungsmethoden für Malware. Oft versuchen Angreifer Benutzer mit verwirrenden Dateierweiterungen hereinzulegen, um das Öffnen eines bösartigen Dokuments zu erzwingen.

Lösungen zum Schutz vor dokumentenbasierter Malware

Moderne Malware-Angriffe sind komplex und mehrschichtig. Die Lösungen, die solche Attacken erkennen und blockieren sollen, sollten es auch sein.

  • Blacklisting: Mit zunehmend limitierten IP-Adressbereichen nutzen Spammer häufiger ihre eigene Infrastruktur. Gleiche IPs werden daher lange genug verwendet, so dass die Software sie erkennen und auf die schwarze Liste setzen kann. Selbst bei gehackten Websites und Botnetzen ist es möglich, Angriffe über IP vorübergehend zu blockieren, sobald ein ausreichend großes Volumen an Spam erkannt wurde.
  • Spam-Filter/Phishing-Detection-Systeme: Während viele bösartige E-Mails auf den ersten Blick überzeugend erscheinen, können Spam-Filter, Phishing-Detection-Systeme und zugehörige Sicherheitssoftware subtile Hinweise aufnehmen und helfen, potenziell gefährliche Nachrichten und Anhänge daran hindern, in E-Mail-Posteingänge zu gelangen.
  • Malware-Erkennung: Bei E-Mails mit bösartigen Dokumentenanhängen können sowohl statische als auch dynamische Analysen erkennen, dass über das infizierte Dokument versucht wird, eine kompromittierte Datei herunterzuladen und auszuführen. Die URL für die ausführbare Datei lässt sich oft heuristisch oder mittels Threat Intelligence-Systemen identifizieren. Die durch die statische Analyse erkannte Verschleierung lässt auch erkennen, ob ein Dokument überhaupt verdächtig sein könnte.
  • Erweiterte Firewall: Öffnet ein Benutzer eine bösartige Anlage oder klickt auf einen Link zu einem Drive-by-Download, ermöglicht es eine erweiterte Netzwerk-Firewall, die in der Lage ist, Malware-Analysen durchzuführen, den Angriff zu stoppen, indem sie die ausführbare Datei kennzeichnet.

Am überall gegenwärtigen Bösen lässt sich vermutlich nicht viel ändern. Aufmerksame Kolleginnen und Kollegen sowie eine ausgereifte IT-Security können aber dabei helfen, dass das Gute in den meisten Fällen die Oberhand behält.

back to top