Schädliche Office Dokumente

Pünktlich auch 2016 wieder zum Jahresanfang: Nachdem wir schon Anfang letzten Jahres eine SPAM Welle neuer Qualität hatten (DHL, Mastercard &Co), die Administratoren viel Arbeit und den Anti-Spam Herstellern schlaflose Nächte bereitet haben, haben einige Hersteller nachgerüstet und können diese Klasse von sehr gut gemachten SPAM Mails abwehren.

Genau genau genommen ist es kein klassischer Spam mit Werbung, sondern der Versuch über ein Makro in einem Office Dokument eine Malware zu installieren. Damit das Makro zur Ausführung kommt, müssen Sie auf einem halbwegs modernen Computer mit Office beim Öffnen des Dokuments einmal den "LeseMode" in den Bearbeiten Mode" umstellen und dann noch mal explizit die Ausführung von Makros erlauben. Sie als Anwender müssen also zwei Türen aufmachen, ehe etwas passieren kann, es sei denn ihre Voreinstellungen bezüglich Makrosicherheit sind "unsicher".

Dann aber braucht es gar keine Administrator-Rechte mehr. Der Schadcode wird über einen Link auf Weiterleitungen auf mehrere vertrauenswürdigen Seiten verborgen, bis sie am Ende schließlich auf eine Seite mit Malware landen, wobei die Ketten und Ziele variieren. Auch dieses Verfahren ist nicht besonders neu.

Neu ist aber die aktuelle (2016) Welle mit sehr eincache Mails mit einem infizierten Word-Dokument, dass Schadcode als Makro ausführt. Nachstehend ein Beispiel einer solchen Mail:

Analog dazu dürfen es natürlich auch Excel-Dokumente sein:

 

Das Perfide an dieser Art Mails ist nicht die äußere Gestaltung – nach dem Motto: wenn ich nicht viel schreibe, kann der Spam-Filter nicht viel prüfen – sondern die plausible einfache Nachricht und das Fehlen aller sonst auffallenden technischen Merkmale, wie nicht vertrauenswürdige IP-Adresse, von der Absender-Adresse abweichende Mail-Server-Domain. Auch der Name und die Prüfsumme der Worddatei variiert.

Damit haben klassische Filter nichts, an denen Sie sich orientieren können. Jede Spam-Mail ist quasi individuell und einmalig und über Ähnlichkeiten nicht einfach zu erkennen. Erst ein (hoffentlich) aktualisierter Virenscanner auf dem Desktop kann zuschlagen, wenn der Anwender versucht, die Datei zu öffnen und sie ihr Schadpotential ausleben willl. Klar, wird das Problem in wenigen Tagen oder Wochen erledigt sein, wenn die Anti-Spam Filter nachgerüstet wurden, aber grundsätzlich ist die Situation unbefriedigend.

Natürlich „sieht“ jeder halbwegs sicherheitsbewusste User, dass die Absenderadresse komisch ist, nicht der richtige Zeichensatz für die Umlaute verwendet wurde und dass er, wie in diesem Beispiel, auch kein Öl bestellt hat. Aber die Spammer setzen zuverlässig darauf, dass es jeder zehnte oder hundertste eben doch anklickt! Und das auch, nachdem das Problem ja schon Jahre bekannt ist.

Ich habe schon sehr lange für die Ergänzung von konventionellen Filtern durch Prüfung der Vertrauenswürdigkeit der Absenderadresse plädiert, wie es zum Beispiel NoSpamProxy macht. Über den dort Level of Trust genannten Filter stellen Administratoren ein, dass Mails von bis dahin unbekannten Absendern, die Anlagen enthalten, festgehalten werden, bis sie vom Admin freigegeben wurden. Damit lässt sich die Reaktionszeit zum Update der Filter, die immer vorhanden ist, überbrücken, ohne einer neuen SPAM-/Phishing-Form, die über Mail Attachements läuft, schutzlos ausgeliefert zu sein.

Denkbar ist auch, dass der Spamfilter Mails von nicht klar als "vertrauenswürdig" erkannten Kommunikationspartnern erst ohne Anlagen zum Anwender weiter sendet. Damit reduzieren Sie ebenfalls das Risiko, dass ein Anwender aus versehen so eine Mail anklickt. Je nach Produkt sollten Sie aber dem Absender eine Option einräumen, die Anlage oder die komplette Mail nachzufordern, wenn der Anwender dies als erforderlich ansieht. Dann sollte ihre Lösung aber mit denn dann aktuellen Scannern die Anlage noch einmal überprüfen. Oft reicht schon die Verzögerung bis zum Abruf des Anwendern, damit aktuelle Filter den Schadcode erkennen. So wird die gefährliche Anlage von Malware aus dem Postfach fern gehalten und nebenbei noch etwas Platz gespart.

Es könnte zukünftig aber noch etwas anderes passieren: Die Malware-Versender schalten den Schadcode auf den Webseiten erst verzögert frei. So können die schädlichen Anlagen unerkannt bis ins das Postfach kommen, auch wenn Sie diese vielleicht nur einige Zeit verzögern. Alle Scanner prüfen natürlich die Webseite aber können nichts erkennen. Die Webseite liefert beim Klick des Anwenders auf den Link auch nur eine Meldung aus, dass er es wegen Überlastung später noch einmal versuchen sollte. Und dann kommt der Schadcode zum Einsatz. Ich habe sogar schon gehört, dass die Webserver mit dem Schadcode überprüfen, wer gerade auf ihre Seite zugreift. So lässt sich Schadcode natürlich auch besser auf die Zielgruppe ausrichten.

Weitere Links