Konkrete Kritik an CVSS4
Marc Ruef
Das Durchführen von Backdoor Tests zur mehrschichtigen Prüfung von Umgebungen ist mehr dennje beliebt bei unseren Kunden. So können sie an einem konkreten Beispiel sehen, wie ein hochgradig professioneller Angreifer eine Attacke vorbereitet, diese durchführt, wie sie sich im Unternehmensnetzwerk verhält und durch die jeweiligen Stellen (Mitarbeiter, Administratoren und Incident Response Team) wahrgenommen wird.
Als Erweiterung zum klassischen Angriff mittels korrupter EXE-Datei, diese werden mittlerweile von den meisten Webproxies und Mail-Gateways gefiltert, bieten wir einen Test mit einem nativen Word Makro Backdoor an: Der gesamte korrupte Programmcode, der zur Fernsteuerung eines Systems genutzt wird, ist als VBA (Visual Basic for Applications) in einem harmlosen Word-Dokument (wahlweise auch in Excel, Access oder Powerpoint umsetzbar) abgelegt.
Variante | Trägerformat | Programmiersprache | Komplexität | Zuverlässigkeit |
---|---|---|---|---|
Win32 | Win32 EXE | VB6 / .NET / C++ | gering | mittel/hoch |
VBA Dropper | MS Office | VBA + VB6 / .NET / C++ | hoch | gering/mittel |
VBA Native | MS Office | VBA | gering/mittel | mittel |
Ajax Web Backdor | HTML + Javascript | Javascript + PHP / ASP | mittel | hoch |
Windows Mobile | CAB ⇒ EXE | .NET | mittel | mittel |
Der Effekt ist für den Kunden umso grösser, desto mehr man ihn am Vorgehen des Angreifers beteiligt. So verzichten wir in der Regel darauf, umfangreiche Stealth-Angriffe, bei denen die Aktivitäten nur mit erheblichem Aufwand erkannt werden können, durchzuführen. Stattdessen zeigen unsere Backdoors ihre Aktivitäten in einem dediziert aktivierbaren Verbose-Mode an (siehe Screenshot).
Die Word VBA Backdoor lädt sodann ein Frame, in dem die Infektion, Datensammlung und Kommunikation mit dem Angreifer illustriert wird. Dabei sind wir über ein sonderbares Problem gestolpert. Und zwar stürzt die Komponente fm20.dll bei Office 2000 mit einer Speicherschutzverletzung während des Ladens eines Images ab, wenn dessen Eigenschaft Autosize
auf True
gesetzt wurde.
Es verblüfft in diesem Zusammenhang ungemein, dass mehr oder weniger problemlos mit virtuosen API-Calls und zeitkritischen Funktionen gearbeitet werden kann, während ein Autosize auf ein Image zu einem Problem mit solcher Tragweite führt. Zum Glück haben wir diese Einschränkung beim umfangreichen Unit-Test frühzeitig bemerkt und entsprechende Massnahmen ergreifen können. Es gibt schliesslich nichts Schlimmeres, weder wenn korrupter Programmcode in einem Realworld-Test mit einer aufdringlichen Fehlermeldung abstürzt.
In unserem Kundenumfeld ist in den letzten 2 Jahren der Trend zu beobachten, erweiterte Makros in Office-Dokumenten wieder zuzulassen. Die Sicherheitseinstellungen in den Applikationen werden oftmals auf Mittel oder gar Gering gesetzt und die Sicherheit einzig und allein auf Antiviren-Mechanismen abgestützt. Wir raten vollumfänglich von diesem Ansatz ab, da er die Risiken von durchdachter Malware auf der Basis von Makros nicht vertretbar adressieren kann (dies betrifft ebenfalls LotusScript). Durch verschiedene Evasion-Techniken, die wir erfolgreich weiterentwickelt und eingesetzt haben, lassen sich ein Grossteil der etablierten Technologien und Ansätze umgehen.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!