{"id":3070,"date":"2014-10-06T00:14:42","date_gmt":"2014-10-05T22:14:42","guid":{"rendered":"http:\/\/www.maxschoenherr.de\/clock\/?p=3070"},"modified":"2014-10-06T16:42:30","modified_gmt":"2014-10-06T14:42:30","slug":"paerls-statt-pearls-boeser-word-anhang","status":"publish","type":"post","link":"https:\/\/www.maxschoenherr.de\/clock\/paerls-statt-pearls-boeser-word-anhang\/","title":{"rendered":"paerls statt pearls | b\u00f6ser word-anhang"},"content":{"rendered":"<p style=\"text-align: center;\"><a href=\"http:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/cisco_paerl_sec2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-3071\" src=\"http:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/cisco_paerl_sec2.png\" alt=\"cisco_paerl_sec2\" width=\"510\" height=\"141\" srcset=\"https:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/cisco_paerl_sec2.png 510w, https:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/cisco_paerl_sec2-300x82.png 300w\" sizes=\"auto, (max-width: 510px) 100vw, 510px\" \/><\/a><em>analyse eines phishing-angriffs f\u00fcr ein microsoft word dokument (quelle: cisco, <a title=\"craig williams bei cisco\" href=\"http:\/\/blogs.cisco.com\/author\/CraigWilliams\/\" target=\"_blank\">craig williams<\/a>)<\/em><\/p>\n<p>microsoft word ist seit vielen jahren nicht mehr in den schlagzeilen in sachen viren. als microsoft f\u00fcr WORD \u2192 <a title=\"makrosprache f\u00fcr microsoft word - wikipedia\" href=\"https:\/\/de.wikipedia.org\/wiki\/WordBasic\" target=\"_blank\">makros<\/a> einf\u00fchrte, also m\u00f6glichkeiten, bestimmte t\u00e4tigkeiten zu automatisieren, zeigte sich schnell, dass vermeintlich liebe makros auch b\u00f6ses tun k\u00f6nnen. das thema ist so weit vergessen, dass heutzutage bewusste email-leser zwar pdf- oder exe-anh\u00e4nge nicht \u00f6ffnen, einen word-text vielleicht aber schon.<\/p>\n<p>der gr\u00f6\u00dfte netzwerkelektronikhersteller der welt, <a title=\"cisco in der wikipedia\" href=\"https:\/\/de.wikipedia.org\/wiki\/Cisco_Systems\" target=\"_blank\">cisco<\/a>, hat ein gro\u00dfes interesse, solche angriffe von seinen lieben, zahlenden kunden in den banken, versicherungen und telekoms fernzuhalten und analysierte jetzt einen solchen microsoft word makro-virus. er funktioniert so, dass der empf\u00e4nger eine mail erh\u00e4lt, dem ein doc angeh\u00e4ngt ist. \u00f6ffnet er diese textdatei, sieht er nur einen hinweis, er soll bitte die makro-ausf\u00fchrung erlauben, denn sonst k\u00f6nne der text nicht angezeigt werden. sp\u00e4testens hier sollten die alarmglocken l\u00e4uten. erlaubt man dem dokument die ausf\u00fchrung seines makros, ruft diese programmierroutine den besuch eines \u00f6ffentlichen dropbox-links auf, wo eine exe-datei liegt. diese datei wird dann ohne weiteres zutun des anwenders ausgef\u00fchrt. sie enth\u00e4lt den eigentlichen schadcode und tut dann das, was der herr ihr befiehlt. im IT-jargon: das programm nimmt kontakt mit dem &#8222;b\u00f6sen&#8220; server auf und empf\u00e4ngt dann befehle, was zu tun ist. im einfachsten fall werden passw\u00f6rter abgegriffen, im komplexeren fall nimmt die datei an einem konzertieren angriff auf bestimmte webseiten teil (DNS-angriff).<\/p>\n<p>das angriffsszenario spielt mit einem tippfehler: statt pearls.co.uk steht hier paerls.co.uk als eine webadresse.<\/p>\n<p>ich poste das hier, weil ich a) vor den WORD-anh\u00e4ngen unbekannter absender warnen und b) zeigen m\u00f6chte, wie eine analyse solch eines infektionswegs vor sich geht. sehr detailliert. \u2192 <a title=\"cisco blog - string of paerls\" href=\"http:\/\/blogs.cisco.com\/security\/a-string-of-paerls\/\" target=\"_blank\">hier im cisco blog<\/a> nachzulesen. nach langem suchen nach querverbindungen kommt am schluss ganz nebenbei bei einer entschl\u00fcsselung das hier raus (es ist f\u00fcr den fall v\u00f6llig irrelavant, aber f\u00fcr die welt der black hat hacker typisch):<\/p>\n<h5 style=\"text-align: center;\">thisshitismoresafethanpentagonfuckyoufedsbecausethisisaf.com\/image.php<\/h5>\n<hr \/>\n<p>einen tag, nachdem ich das schrieb, bekam ich selbst mal wieder einen doc-anhang von unbekannt. der spam-filter meines mail-providers griff in diesem fall direkt zu und stellte die email in den ordner mit spam-verdacht.<\/p>\n<p style=\"text-align: center;\"><a href=\"http:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/vorsicht_doc-datei.gif\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-3078\" src=\"http:\/\/www.maxschoenherr.de\/clock\/wp-content\/uploads\/2014\/10\/vorsicht_doc-datei.gif\" alt=\"vorsicht_doc-datei\" width=\"616\" height=\"325\" \/><\/a><em>inhalt des spams mit angeh\u00e4ngtem virus: hinweis auf DOC-datei und falsche umlaute. alles verd\u00e4chtig.<\/em><\/p>\n<p>auff\u00e4llig war, dass das adressaten-feld leer war. da m\u00fcsste ja eigentlich meine mailadresse stehen. von spammer-seite her gut gew\u00e4hlt war der titel der mail:<\/p>\n<p style=\"text-align: center;\"><strong>ELSTER Finanzamt 2014. Ident 1660346.<\/strong><\/p>\n<p>und der anhang war nat\u00fcrlich so verd\u00e4chtig, dass man keinen zweiten gedanken auf ihn verschwenden musste: eine nur 26,3 kB gro\u00dfe zip-datei mit dem namen<\/p>\n<p style=\"text-align: center;\"><strong>order_68.zip<\/strong><\/p>\n<p>in diesem zip-archiv steckt das besagte word-dokument drin, ziemlich sicher (ich will gar nicht soweit nachsehen) mit einem b\u00f6sen makro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>analyse eines phishing-angriffs f\u00fcr ein microsoft word dokument (quelle: cisco, craig williams) microsoft word ist seit vielen jahren nicht mehr in den schlagzeilen in sachen viren. als microsoft f\u00fcr WORD \u2192 makros einf\u00fchrte, also m\u00f6glichkeiten, bestimmte t\u00e4tigkeiten zu automatisieren, zeigte sich schnell, dass vermeintlich liebe makros auch b\u00f6ses tun k\u00f6nnen. das thema ist so weit [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,922,859],"tags":[1110,903,1109,1108],"class_list":["post-3070","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-computer-und-it","category-verbraucherschutz-2","tag-dns","tag-hacker","tag-verseuchung","tag-virus-phishing-mail"],"wp-worthy-pixel":{"ignored":false,"public":"6e33498f8d9941be8a1029fe7901dadf","server":"vg01.met.vgwort.de","url":"https:\/\/vg01.met.vgwort.de\/na\/6e33498f8d9941be8a1029fe7901dadf"},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/posts\/3070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/comments?post=3070"}],"version-history":[{"count":5,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/posts\/3070\/revisions"}],"predecessor-version":[{"id":3079,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/posts\/3070\/revisions\/3079"}],"wp:attachment":[{"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/media?parent=3070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/categories?post=3070"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.maxschoenherr.de\/clock\/wp-json\/wp\/v2\/tags?post=3070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}