Angriff per Word-Datei

invoice-306912.doc

Die Angriffe per Office-Dateien haben in den vergangenen Monaten rapide zugenommen. Sie wirken deutlich harmloser als per E-Mail versandte ZIP- oder gar EXE-Dateien. Kombiniert mit einer gut und sinnig formulierten E-Mail lassen sich Nutzer allzu leicht zum Öffnen der infizierten Datei verleiten. Während dann in der Regel noch Makros aktiviert werden müssen, setzt der Angriff "Microsoft Word Intruder" auf nicht geschlossene Sicherheitslücken. Dann genügt schon das Öffnen und der Rechner ist infiziert.
Die Suche nach Fehlern im Unternehmensnetz ist meist aufwendig und zeitraubend. Mit dem richtigen Ansatz und den passenden Werkzeugen jedoch machen sich Admins ... (mehr)

Die Verbreitung von Malware- oder Crimeware-Kits nimmt auch in 2015 nicht ab – im Gegenteil. Bereits in den frühen 1990ern gab es erste Tools, die das Erstellen von Schadcode erheblich erleichterten und dies auch für Anfänger ermöglichten. Beste Beispiele hierfür waren unter anderem das "Virus Creation Laboratory" (VCL) oder der "Phalcon-Skism Mass Produced Code Generator" (PS-MPC), beide noch unter MS-DOS. Daran hat sich nichts geändert – damals wie heute werden in regelmäßigen Abständen neue Tools und Kits veröffentlicht. Der größte Unterschied zu den 1990ern besteht jedoch darin, dass diese Kits heutzutage hauptsächlich aus einem wesentlichen Grund genutzt werden: um Geld zu verdienen. Seit mehreren Jahren gibt es auf diesem Gebiet einen gigantischen Markt. Dort wird professionell Malware – oder gleich die Baukästen im Ganzen – auf Bestellung geliefert.

Ein gutes Beispiel hierfür ist das Exploit- und Crimeware-Kit "Microsoft Word Intruder" (MWI). Das in Russland entwickelte "Malware Creation Kit" ermöglicht es, Word-Dokumente so zu präparieren, dass bereits das Öffnen genügt, um ein Windows-System mit Schadcode zu infizieren. In der Vergangenheit wurden hierzu beispielsweise folgende bereits bekannte Sicherheitslücken genutzt: CVE-2012-0158, CVE-2013-3906, CVE-2014-1761. Derzeit kommt jedoch vermehrt ein Exploit für eine Sicherheitslücke in Microsoft Office zum Einsatz, die Microsoft im April 2015 geschlossen hatte (CVE-2015-1641).

Die beiden Arten von Malware, die damit erstellt werden können, sind Dropper- und Downloader-Varianten. Ein Dropper ist eine eigenständig ausführbare Programmdatei, die meist bereits den gesamten auszuführenden Code (Payload) enthält. Demgegenüber lädt der Downloader diesen Code zumeist komplett oder teilweise von infizierten und vorher präparierten Servern nachträglich herunter. Laut Sophos liegt das Verhältnis zwischen im Umlauf

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite