Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Tatort Internet: Zeig mir das Bild vom Tod

Tatort Internet: Zeig mir das Bild vom Tod

Hintergrund 05.07.2010 10:38 Uhr Frank Boldewin
Inhaltsverzeichnis
  1. Tatort Internet: Zeig mir das Bild vom Tod
  2. Premiere
  3. Zugabe
  4. Auf einer Seite lesen

Beim morgendlichen Check meiner E-Mail sticht mir die Nachricht "Air France Flight 447 (crash pictures)" ins Auge. Angeblich hat jemand Bilder vom Kamera-Memory-Stick eines verunglückten Flugpassagiers rekonstruiert, die man sich im Anhang als Powerpoint-Präsentation ansehen könne. Bei so was schrillen bei mir sofort die Alarmglocken.

Gestern gingen tatsächlich Schlagzeilen über eine vor der Küste Brasiliens abgestürzte Air-France-Maschine durch die Nachrichten. Das Flugzeug gilt immer noch als verschollen und exklusive Bilder der Katastrophe wären ein gutes Lockmittel, um die Empfänger dazu zu veranlassen, auf den Anhang zu klicken. Zu gut für meinen Geschmack! Bei so was schrillen bei mir sofort die Alarmglocken.

Ich speichere also den Anhang der E-Mail in einem "Shared Folder", auf den auch meine virtuelle Malware-Analyseumgebung Zugriff hat. Keine Experimente mit meinem Arbeitsplatz-System. Im geschützten virtuellen Umfeld lade ich die Powerpoint-Datei zunächst bei Virustotal hoch, um zu schauen, ob sich bereits einer der AV-Hersteller die Mühe gemacht hat, sie zu analysieren. Fehlanzeige! Gerade mal ein Hersteller stuft sie als irgendwie "verdächtig" ein. Ein leider nicht eben seltenes Ergebnis für Schädlinge, die gerade frisch die Runde machen.

Mails wie diese, die versuchen, den Empfänger zum Öffnen des Anhangs zu bewegen, enthalten fast immer Malware.

Also an die Arbeit – das könnte spannend werden. Erstmal sehen, ob die einfachen Methoden was zu Tage fördern. Es ist erstaunlich, wie oft man schon mit dem Unix-Befehl strings verdächtige Zeichenketten wie einen typischen PE-Header, Importnamen wie Createfile oder WinExec aufspüren kann. Das sind dann eindeutige Anzeichen für ausführbaren Code, der in einer Office-Datei eigentlich nichts zu suchen hat. Doch hier fördert strings außer ein paar Powerpoint-typischen Zeichenketten wie "Arial" nichts Lesbares zu Tage.

Im nächsten Schritt setzte ich das schon deutlich raffiniertere Tool Officecat des Snort-Teams auf die mysteriöse Powerpoint-Datei an. Erst kürzlich leistete es mir bei der Analyse einer angeblichen Rechnung wertvolle Dienste, weil es nicht nur behauptete, dass die Datei infiziert sei, sondern auch noch den "Common Vulnerability Enumerator" CVE-2006-6456 ausspuckte. Dieser Zeiger auf die Schwachstellendatenbank des MITRE versorgte mich mit Links zu diversen Beschreibungen der ausgenutzten Lücke in Microsoft Word einschließlich des Microsoft Security Bulletins MS07-014, mit dem die Lücke geschlossen wurde.

Doch bei meinen angeblichen Crash-Bildern liefert Officecat nur die wenig glaubwürdige Aussage: "SAFE File". Dass diese Datei wirklich sicher sein soll, kann ich mir beim besten Willen nicht vorstellen. Schon eher glaube ich, dass der einfache, signaturbasierte Ansatz von Officecat mal wieder versagt hat. Denn ohne die passende Signatur für bereits bekannte und analysierte Exploits gehen diese Tests in Leere.

Also werde ich wohl selbst den Honigtopf spielen und die Powerpoint-Datei in meiner abgesicherten Umgebung mit einem alten, ungepatchten Office 2003 öffnen. Es wäre doch gelacht, wenn sich der Übeltäter nicht durch auffällige Aktivitäten wie das Erstellen neuer Dateien oder das Nachladen von Schadcode aus dem Internet verrät.

Ein wahrer Segen ist dabei das Tool ProcMon aus der SysInternals-Suite, das alle Aktivitäten an Dateissystem, Registry und den Start neuer Prozesse protokolliert. Und in der Tat: Direkt nach dem Öffnen der Powerpoint-Datei erscheint ein neuer Prozess namens fssm32.exe. Des Weiteren öffnet Powerpoint im Hintergrund eine plötzlich aufgetauchte Datei unter Temp\Celebrities_Without_Makeup.pps. Eine geschickte Taktik, die ich schon des Öfteren bei bösartigen Dateien in Formaten wie DOC, XLS, PPT oder auch PDF beobachtet habe: Erst legen sie eine ausführbare Datei ab und führen sie aus. Direkt im Anschluss öffnen sie eine harmlose Datei, wie hier die Präsentation der abgeschminkten Modeschönheiten, um das Opfer nicht misstrauisch zu machen.

Außerdem zeigt Wireshark seltsamen HTTP-Traffic, bei dem ein POST-Request auf Port 8080 der IP-Adresse 202.52.X.Y abgesetzt wird. Ein Blick auf den whois-Dienst von heise Netze verrät mir, dass der Server in Kathmandu, Nepal, steht. Das kann beim besten Willen keines der regulär installierten Programme gewesen sein. Den Netzwerk-Sniffer lass ich bei so was routinemäßig auf dem Host-System mitlaufen. Da er außerhalb des Testsystems am Netzwerk lauscht, kann nicht einmal ein aktives Rootkit, das sich im Kernel eingenistet hat, seine Aktivitäten ganz vor ihm verstecken. Schlimmstenfalls würde ich immer noch einen verschlüsselten Datenstrom sehen.

Auch beim zweiten Blick lässt sich weder der Prozess noch die Datenübertragung nach Nepal auf eine natürliche Ursache zurückführen. Damit ist schon mal bewiesen, dass hier Malware am Werk ist. Doch die spannende Frage ist: Wie hat sie es angestellt, Code auszuführen? Selbst eine intensive Suche im Web bringt mich nicht weiter. Offenbar gibt es einfach keine vernünftigen Werkzeuge, um Makros aus Office-Dateien zu extrahieren oder sie gar auf Shellcode zu untersuchen. Also muss ich mir die wohl selber schreiben.

Das wäre weitaus einfacher, wenn die Datei bereits im neuen XML-Format vorläge, das Microsoft mit Office 2007 eingeführt hat. Da könnte man bereits mit einem Unzip-Tool halbwegs lesbare Dateien zutage fördern und im Editor anschauen. Doch meine Powerpoint-Datei ist im alten Binärformat. Also verbringe ich die nächsten Tage mit Recherche und der Lektüre mehrerer Microsoft-Artikel. Die Spannung steigt, als ich die erste, halbwegs lauffähige Version meines OfficeMalScanners auf die Powerpoint-Datei ansetze.

Vorherige 1 2 3 Nächste

Mehr zum Thema

  • Cybercrime
  • Malware
  • Office-Suite
  • Tatort Internet

Forum bei heise online: Tatort Internet

Teile diesen Beitrag

https://heise.de/-1028204 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Junos OS

Tor Browser

Cisco: Updates für div. Produkte

Patchday SAP

Der digitale Treffpunkt für Security-Experten

secIT by Heise

Auf der secIT Digital präsentieren wir Ihnen die neuesten Trends, Lösungen und Informationen zum Thema IT-Security. Freuen Sie sich auf ein neues, innovatives Format, das Ihnen alle Möglichkeiten eines Präsenzevents ermöglicht. Zudem haben wir die secIT Digital auf 3 Tage verlängert – 23. bis 25. Februar 2021, damit wir ausreichend Raum für alle aktuellen Themen haben.

Anzeige
Anzeige
  • Neue Tipps: Was ist ein starkes Passwort?
  • IT-Sicherheit mit staatlicher Förderung
  • UEM: Macs einheitlich managen und absichern!
  • Laptops maßgeschneidert für Business-Ansprüche
  • Zweitgrößte FinanzGruppe Deutschlands sucht dich
  • So sieht der Arbeitsplatz der Zukunft aus!
  • Threat-Hunting: Gefahr erkannt, Gefahr gebannt!
  • Einheitliche Plattform für digitale Zusammenarbeit
  • Mehr Sicherheit für digitale Prozesse
  • Huawei AppGallery: Nie mehr Apps suchen müssen!
Artikel

Ausprobiert: BlackArch Linux als umfangreiches Penetration-Testing-Toolkit

2621 mitgelieferte Security-Tools und die Option, vorhandene Arch-Systeme mit den Paketquellen flexibel aufzurüsten sind gute Gründe zum Antesten von BlackArch.

38 Kommentare mit Bilderstrecke

Kommentar: Wie offen ist FireEye?

Angriffstechniken, die noch keiner kenne, sollen den Hack gegen FireEye ermöglicht haben. Höchste Zeit, diese offenzulegen, findet Jürgen Schmidt.

50 Kommentare

Risk Based Authentication: Die Krücke für Passwörter und wie sie ausgenutzt wird

Mit der Risikoabschätzung RBA wollen Online-Dienste den Passwortmissbrauch bekämpfen. Doch Cybercrime macht daraus ein Geschäft: mit digitalen Doppelgängern.

300 Kommentare mit Bilderstrecke

Neueste Forenbeiträge

  1. Re: Open Thread Scanner - dauert ewig?
    Wenn sie abbrechen haben sie die fertigen Log-Dateien, aus denen müssen sie sich dann aber selbst alles mühselig raussuchen. Was den…

    Forum:  Desinfect

    The lonely hat keinen Avatar
    von The lonely; vor 6 Stunden
  2. F-Secure, ERROR: Permission denied
    Beim scannen eines Ordners des M$ Flight Simulators meinte F-Secure das ihm der Zugriff verweigert wurde. Mit den Ordnern der WindowsApps hatte…

    Forum:  Desinfect

    The lonely hat keinen Avatar
    von The lonely; Samstag, 17:47
  3. HDD Schreibschutz
    Hallo, vorausschicken möchte ich dass ich nur sehr rudimentäre Kenntnisse von Linux habe. Nun mein Problem: Mein Win 10 Rechner bootet nicht…

    Forum:  Desinfect

    berndione hat keinen Avatar
    von berndione; Samstag, 13:58
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 535489
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien