Auf Makros basierende Malware ist zurück: 6 Tipps zur Abwehr

Beobachtungen aus den F-Secure Labs

Verfasser: Eija Paajanen
Datum: 26. Mai 2015
Lesedauer: 5 Minuten

Im Laufe der letzten Monate, sind uns mehrere Gruppen von Angreifern aufgefallen, die ihre Malware mit Hilfe von Microsoft Office-Dokumenten und schädlichen Makros verbreiten. Damit lassen sie eine Jahrzehnte alte Methode wieder auferstehen, die seit den 90er Jahren nicht mehr in Gebrauch war.

Für alle, die es nicht wissen: Makros sind Skripte, die in Dateien eingebettet werden, um Aufgaben und Abläufe in verschiedenen Applikationen wie Microsoft Word oder Excel zu automatisieren, und die auch dafür genutzt werden können, schädliche Aktionen wie die Installation von Malware auszuführen.

Diese Angriffe wurden durch die Sicherheitsrichtlinien in Office XP (2001) nahezu ausgerottet, die den User vor jedem Start von Makros fragte, ob der Code ausgeführt werden sollte. Das sorgte dafür, dass diese Attacken schwer durchzuführen wurden und deshalb suchten sich die meisten Angreifer andere Methoden neben Makros zur Verbreitung ihrer Malware.

Aber jetzt, 15 Jahre später, scheint es, als würde auf Makros basierende Malware ein Revival bekommen.

HIER WURDE DAS RAD NICHT NEU ERFUNDEN

Das Revival von auf Makros basierender Malware kommt im Zusammenspiel mit einem bekannten Tool: dem so genannten Social Engineering. Wie sich herausstellt, ist es auch im Jahr 2015 noch so, dass User Dinge öffnen, von denen sie eigentlich seit den 90ern wissen müssen, dass sie schlecht für ihren Computer sind. Für IT-Verantwortliche in Unternehmen ist das allerdings keine Überraschung.

Schädliche Dateien, die Makro-Malware enthalten – und die E-Mails, die zur Verteilung genutzt werden – werden extra so aufgebaut, dass sie dem Empfänger nicht verdächtig vorkommen. Themen, die mit dem Unternehmen zu tun haben – wie Rechnungen, Steuerunterlagen oder Lebensläufe – sorgen dafür, dass Empfänger dazu verleitet werden, die Dateianhänge ohne weiteres Nachdenken zu öffnen.

Das Opfer wird dazu verleitet zu glauben, dass er oder sie das Makro ausführen muss, um an den Inhalt der Datei zu kommen. Interessanterweise enthalten viele dieser Dokumente sogar Schritt-für-Schritt-Anleitungen zur Freigabe von Makros. Die richtige Kombination von Erklärungen, relevanten Inhalten und Dateinamen ist oftmals genügend, um dafür zu sorgen, dass das Opfer die Makros erlaubt und damit die Ausführung von Malware zulässt.

Technisch haben heutzutage Makro-Attacken neue Tools zur Verfügung, die sie zu ihrem Vorteil nutzen können, weil Spam-Schutz und E-Mail-Scanner normalerweise Attacken dieser Art unterbinden. Heutzutage können Makro-Attacken zum Beispiel ZIP-Dateien, gepackte Dateiformate und Cloud-Services wie Dropbox nutzen, um an den Scannern vorbeizukommen. Für die technisch Interessierten ist es gut zu wissen, dass viele aktuelle Attacken versuchen, Makros auszuführen, indem sie Powershell nutzen, Microsofts Task-basierte Kommandozeilen- und Skript-Sprache.

microsoft-office-malware

Das Makro selbst ist in vielen Fällen ein einfacher Downloader, der lediglich als Gateway dient, um eine Backdoor im betroffenden System zu installieren.

6 TIPPS UM MAKRO-MALWARE-ATTACKEN ABZUWENDEN

1) Schützen Sie die E-Mail-Services
Der Schutz gegen auf Makros basierenden Attacken beginnt mit einem starken Schutz aller E-Mail-Services, weil die meisten Dateianhänge, Dateien und Links per E-Mail in das System kommen. Alle normalen Best Practices behalten natürlich ihren Wert, aber es ist wichtig, darüber nachzudenken, welche Möglichkeiten es gibt, Dateianhänge zu analysieren, abzuschneiden und zu sichern – zusätzlich zu Reputationschecks von Links und genereller Sicherheitssoftware.

2) Schalten Sie Makros ab (wo möglich)
Am Ende des Tages gibt es kaum eine Möglichkeit, wirklich alle Makros zu blockieren, aber durch Gruppen-Richtlinien können Sie zumindest festlegen, dass nur Personen, die Makros brauchen, sie nutzen können. Die Mehrzahl Ihrer Angestellten wird zum Beispiel niemals Makros in Word nutzen müssen.

3) Schützen Sie ihre Endgeräte mit moderner Technologie
Sollten Sie nicht einfach alle Makros blockieren können, sollten Sie sicherstellen, dass Ihre Security-Lösung heuristische, Verhaltens- und Reputations-basierte Sicherheits-Features hat. Das sorgt dafür, dass alle schädlichen Dateien, die bereits irgendwo weltweit aufgetreten sind, automatisch geblockt werden, und dass Zero-Day-Malware auf ihr Verhalten analysiert und dementsprechend geblockt wird.

4) Nutzen Sie aktuelle Office-Software
Ein Großteil der Makro-Malware wird über das .doc Dateiformat von Microsoft Office 2007 und älteren Versionen verbreitet. Dementsprechend ist es eine gute Idee, die neueste Office-Software zu nutzen, die besser gegen solche Art von Attacken geschützt ist. Zum Beispiel enthalten sie besondere Sicherheitsvorkehrungen dagegen, dass Dateien die Erweiterungen „.docm“ und „.xslm“ verschleiern können.

5) Training der Mitarbeiter: Öffnen Sie keine verdächtigen E-Mails und Dateien!
Die grundlegenden Best Practices im Bereich E-Mail-Sicherheit bestehen weiterhin: Lassen Sie Ihre User verdächtige E-Mails löschen und sorgen Sie dafür, dass Ihre User niemals Dateianhänge aus nicht vertrauenswürdigen Quellen öffnen. Das gilt besonders dann, wenn sie nicht wissen, warum sie die Dateien oder E-Mails überhaupt erhalten haben.

6) Training der Mitarbeiter: Erlauben Sie niemals die Ausführung von Makros auf Ihrem Computer!
Anders als traditionelle Exploit Kits, benötigen Makro-basierte Attacken immer die Zustimmung des Users. Am Ende des Tages kann der Unterschied zwischen Infektion und Nicht-Infektion einfach darin liegen, dass Sie Ihren Mitarbeitern gesagt haben, dass sie niemals Makros ausführen sollen.

Ein Zusatztipp: Warum schicken Sie nicht einfach nach dem Lesen dieses Artikels eine Erinnerungsmail an Ihre Mitarbeiter, um sicherzustellen, dass alle Mitarbeiter wissen, wie sie sich verhalten sollen?

7)  BONUS-TIPP UNSERES SECURITY ADVISORS

Zusätzlich zu den Sicherheitsmaßnahmen, die vorher genannt wurden, hat unser Security Advisor Sean Sullivan noch eine Empfehlung: Investieren Sie in E-Mail-Training. Mitarbeiter, die ihre E-Mails richtig managen, fallen nicht so leicht auf Attacken herein.

„Wenn Sie Ihre Mitarbeiter so schulen, wird nicht nur das gesamte Sicherheitsbewusstsein verbessert, Sie schaffen Vorteile, die sich finanziell und organisatorisch niederschlagen – zusätzlich zu mehr Sicherheit.“