VelvetSweatshop: Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware

Mattew Gardiner, Director of Enterprise Security Campaigns, Mimecast

Ein Kommentar von Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast

Microsofts Office-Programme sind mit Sicherheit die am weitesten verbreitete Bürosoftware weltweit. Aus diesem Grund stellen sie auch für Cyber-Kriminelle ein beliebtes Mittel dar, um Angriffe auf Organisationen zu starten.

Eine immer häufiger auftretende Methode, mit der Kriminelle versuchen, Schadprogramme auf den Rechnern ihrer Opfer zu installieren, bedient sich der Standardfunktion von Microsoft Excel, schreibgeschützte Dokumente erstellen zu können. Diese kann anscheinend auch für böswillige Zwecke verwendet werden. Hierzu muss beim betreffenden Dokument nur ein Häkchen gesetzt werden und schon ist es „read only“ und verschlüsselt. Ungeachtet dessen kann das Excel-Dokument Makros enthalten, die beim Öffnen ausgeführt werden, ohne ein Passwort eingeben zu müssen. Ein weiterer Vorteil: Ist das Dokument schreibgeschützt, ist es zugleich verschlüsselt. Das Standardpasswort „VelvetSweatshop“ wird von Excel automatisch verwendet, um zunächst zu prüfen, ob es sich um eine schreibgeschützte verschlüsselte Datei oder um eine vollständig gesperrte Datei mit einem vom Benutzer erstellten Passwort handelt. Einmal verschlüsselt, ist der Schadcode, der sich in ihm befindet – etwa ein Malware Dropper – zudem nicht mehr von gängigen Security-Lösungen erkennbar, sodass er ungehindert die meisten Sicherheitsmechanismen passieren kann.

Ein Angriff mit einem auf diese Weise verschlüsselten Excel-Dokument findet folgendermaßen statt: Der Cyber-Kriminelle erstellt ein Spreadsheet mit Makro, das schadhaften Code enthält und ausführt, beispielsweise den Trojaner LimeRAT, der nach erfolgreicher Installation weitere Schadsoftware wie Ransomware, Cryptominer etc. nachladen kann. Dieses Dokument schickt der Angreifer an einen Mitarbeiter des Unternehmens, das er angreifen will. Im Vorhinein hat er Informationen über das Unternehmen und die Person gesammelt, um seine Mail glaubhaft und vertrauenswürdig aussehen zu lassen. Denkbar sind hier hierarchische Strukturen des Unternehmens, Events oder auch persönliche Details, die in sozialen Netzwerken geteilt wurden und auf die sich der Angreifer in seiner Phishing-Mail beziehen kann.

Öffnet der Empfänger das schreibgeschützte, verschlüsselte Dokument, entschlüsselt es sich selbständig und führt das Makro sowie den darin enthaltenen Schadcode sofort aus, ohne Opfer wie gewohnt um Erlaubnis oder ein Passwort fragen zu müssen. Hiermit geht die Installation der Malware einher und das System ist somit kompromittiert. Im Gegensatz zu anderen, auf der Verschlüsselungsfunktion von Excel beruhenden Angriffen sind hier weniger Aktionen seitens des Opfers notwendig, um den Angriff erfolgreich sein zu lassen.

Da diese Angriffsmethode keine Sicherheitslücke bei Excel im eigentlichen Sinne ist, sondern ein gängiges Feature ausnutzt, existiert kein Patch – und es wird auch in Zukunft keinen Patch geben. Unternehmen müssen sich also selbst zu helfen wissen. Diese Schritte können dazu dienen, einer solchen Attacke nicht zum Opfer zu fallen:

  • Mitarbeiter für die Gefahren von E-Mail-Anhängen sensibilisieren und trainieren. Obwohl die aktuelle Angriffsmethode wenig Interaktion vom Empfänger fordert, funktioniert sie nicht gänzlich ohne menschliches Zutun: Den Anhang zu öffnen.
  • Eine erweiterte E-Mail-Sicherheitslösung nutzen, die über einen ausreichenden Malware-Schutz verfügt, um diese Art von Angriffen abzuwehren. Diese sollte eingehende E-Mails sowohl auf schadhafte Anhänge als auch auf Links hin untersuchen, die zu potentiell gefährlichen Websites führen. Darüber hinaus muss sie eingehende Mails und Dateien sandboxen und somit Schadcode erkennen können.
  • Den Netzwerkverkehr auf mögliche Verbindungen zu Command-and-Control-Servern  überwachen.
  • Sicherheitssysteme auf allen Endpunkten im Unternehmen auf dem aktuellsten Stand halten, um Malware so früh wie möglich zu erkennen.

Es ist nicht davon auszugehen, dass Angriffe mit der VelvetSweatshop-Methode zurückgehen werden oder dieser Angriffsvektor in nächster Zeit geschlossen werden wird. Umso wichtiger ist es, das eigene Unternehmen bestmöglich vor diese Schwachstelle zu schützen.