paerls statt pearls | böser word-anhang

cisco_paerl_sec2analyse eines phishing-angriffs für ein microsoft word dokument (quelle: cisco, craig williams)

microsoft word ist seit vielen jahren nicht mehr in den schlagzeilen in sachen viren. als microsoft für WORD → makros einführte, also möglichkeiten, bestimmte tätigkeiten zu automatisieren, zeigte sich schnell, dass vermeintlich liebe makros auch böses tun können. das thema ist so weit vergessen, dass heutzutage bewusste email-leser zwar pdf- oder exe-anhänge nicht öffnen, einen word-text vielleicht aber schon.

der größte netzwerkelektronikhersteller der welt, cisco, hat ein großes interesse, solche angriffe von seinen lieben, zahlenden kunden in den banken, versicherungen und telekoms fernzuhalten und analysierte jetzt einen solchen microsoft word makro-virus. er funktioniert so, dass der empfänger eine mail erhält, dem ein doc angehängt ist. öffnet er diese textdatei, sieht er nur einen hinweis, er soll bitte die makro-ausführung erlauben, denn sonst könne der text nicht angezeigt werden. spätestens hier sollten die alarmglocken läuten. erlaubt man dem dokument die ausführung seines makros, ruft diese programmierroutine den besuch eines öffentlichen dropbox-links auf, wo eine exe-datei liegt. diese datei wird dann ohne weiteres zutun des anwenders ausgeführt. sie enthält den eigentlichen schadcode und tut dann das, was der herr ihr befiehlt. im IT-jargon: das programm nimmt kontakt mit dem “bösen” server auf und empfängt dann befehle, was zu tun ist. im einfachsten fall werden passwörter abgegriffen, im komplexeren fall nimmt die datei an einem konzertieren angriff auf bestimmte webseiten teil (DNS-angriff).

das angriffsszenario spielt mit einem tippfehler: statt pearls.co.uk steht hier paerls.co.uk als eine webadresse.

ich poste das hier, weil ich a) vor den WORD-anhängen unbekannter absender warnen und b) zeigen möchte, wie eine analyse solch eines infektionswegs vor sich geht. sehr detailliert. → hier im cisco blog nachzulesen. nach langem suchen nach querverbindungen kommt am schluss ganz nebenbei bei einer entschlüsselung das hier raus (es ist für den fall völlig irrelavant, aber für die welt der black hat hacker typisch):

thisshitismoresafethanpentagonfuckyoufedsbecausethisisaf.com/image.php

einen tag, nachdem ich das schrieb, bekam ich selbst mal wieder einen doc-anhang von unbekannt. der spam-filter meines mail-providers griff in diesem fall direkt zu und stellte die email in den ordner mit spam-verdacht.

vorsicht_doc-dateiinhalt des spams mit angehängtem virus: hinweis auf DOC-datei und falsche umlaute. alles verdächtig.

auffällig war, dass das adressaten-feld leer war. da müsste ja eigentlich meine mailadresse stehen. von spammer-seite her gut gewählt war der titel der mail:

ELSTER Finanzamt 2014. Ident 1660346.

und der anhang war natürlich so verdächtig, dass man keinen zweiten gedanken auf ihn verschwenden musste: eine nur 26,3 kB große zip-datei mit dem namen

order_68.zip

in diesem zip-archiv steckt das besagte word-dokument drin, ziemlich sicher (ich will gar nicht soweit nachsehen) mit einem bösen makro.