Native Word Makro Backdoor Image Autosize Probleme

Native Word Makro Backdoor Image Autosize Probleme

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Das Durchführen von Backdoor Tests zur mehrschichtigen Prüfung von Umgebungen ist mehr dennje beliebt bei unseren Kunden. So können sie an einem konkreten Beispiel sehen, wie ein hochgradig professioneller Angreifer eine Attacke vorbereitet, diese durchführt, wie sie sich im Unternehmensnetzwerk verhält und durch die jeweiligen Stellen (Mitarbeiter, Administratoren und Incident Response Team) wahrgenommen wird.

Als Erweiterung zum klassischen Angriff mittels korrupter EXE-Datei, diese werden mittlerweile von den meisten Webproxies und Mail-Gateways gefiltert, bieten wir einen Test mit einem nativen Word Makro Backdoor an: Der gesamte korrupte Programmcode, der zur Fernsteuerung eines Systems genutzt wird, ist als VBA (Visual Basic for Applications) in einem harmlosen Word-Dokument (wahlweise auch in Excel, Access oder Powerpoint umsetzbar) abgelegt.

Variante Trägerformat Programmiersprache Komplexität Zuverlässigkeit
Win32 Win32 EXE VB6 / .NET / C++ gering mittel/hoch
VBA Dropper MS Office VBA + VB6 / .NET / C++ hoch gering/mittel
VBA Native MS Office VBA gering/mittel mittel
Ajax Web Backdor HTML + Javascript Javascript + PHP / ASP mittel hoch
Windows Mobile CABEXE .NET mittel mittel

Der Effekt ist für den Kunden umso grösser, desto mehr man ihn am Vorgehen des Angreifers beteiligt. So verzichten wir in der Regel darauf, umfangreiche Stealth-Angriffe, bei denen die Aktivitäten nur mit erheblichem Aufwand erkannt werden können, durchzuführen. Stattdessen zeigen unsere Backdoors ihre Aktivitäten in einem dediziert aktivierbaren Verbose-Mode an (siehe Screenshot).

Unsere Backdoor in Aktion

Die Word VBA Backdoor lädt sodann ein Frame, in dem die Infektion, Datensammlung und Kommunikation mit dem Angreifer illustriert wird. Dabei sind wir über ein sonderbares Problem gestolpert. Und zwar stürzt die Komponente fm20.dll bei Office 2000 mit einer Speicherschutzverletzung während des Ladens eines Images ab, wenn dessen Eigenschaft Autosize auf True gesetzt wurde.

Speicherschutzverletzung in fm20.dll

Es verblüfft in diesem Zusammenhang ungemein, dass mehr oder weniger problemlos mit virtuosen API-Calls und zeitkritischen Funktionen gearbeitet werden kann, während ein Autosize auf ein Image zu einem Problem mit solcher Tragweite führt. Zum Glück haben wir diese Einschränkung beim umfangreichen Unit-Test frühzeitig bemerkt und entsprechende Massnahmen ergreifen können. Es gibt schliesslich nichts Schlimmeres, weder wenn korrupter Programmcode in einem Realworld-Test mit einer aufdringlichen Fehlermeldung abstürzt.

In unserem Kundenumfeld ist in den letzten 2 Jahren der Trend zu beobachten, erweiterte Makros in Office-Dokumenten wieder zuzulassen. Die Sicherheitseinstellungen in den Applikationen werden oftmals auf Mittel oder gar Gering gesetzt und die Sicherheit einzig und allein auf Antiviren-Mechanismen abgestützt. Wir raten vollumfänglich von diesem Ansatz ab, da er die Risiken von durchdachter Malware auf der Basis von Makros nicht vertretbar adressieren kann (dies betrifft ebenfalls LotusScript). Durch verschiedene Evasion-Techniken, die wir erfolgreich weiterentwickelt und eingesetzt haben, lassen sich ein Grossteil der etablierten Technologien und Ansätze umgehen.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv