Beim morgendlichen Check meiner E-Mail sticht mir die Nachricht "Air France Flight 447 (crash pictures)" ins Auge. Angeblich hat jemand Bilder vom Kamera-Memory-Stick eines verunglückten Flugpassagiers rekonstruiert, die man sich im Anhang als Powerpoint-Präsentation ansehen könne. Bei so was schrillen bei mir sofort die Alarmglocken.
Gestern gingen tatsächlich Schlagzeilen über eine vor der Küste Brasiliens abgestürzte Air-France-Maschine durch die Nachrichten. Das Flugzeug gilt immer noch als verschollen und exklusive Bilder der Katastrophe wären ein gutes Lockmittel, um die Empfänger dazu zu veranlassen, auf den Anhang zu klicken. Zu gut für meinen Geschmack! Bei so was schrillen bei mir sofort die Alarmglocken.
Ich speichere also den Anhang der E-Mail in einem "Shared Folder", auf den auch meine virtuelle Malware-Analyseumgebung Zugriff hat. Keine Experimente mit meinem Arbeitsplatz-System. Im geschützten virtuellen Umfeld lade ich die Powerpoint-Datei zunächst bei Virustotal hoch, um zu schauen, ob sich bereits einer der AV-Hersteller die Mühe gemacht hat, sie zu analysieren. Fehlanzeige! Gerade mal ein Hersteller stuft sie als irgendwie "verdächtig" ein. Ein leider nicht eben seltenes Ergebnis für Schädlinge, die gerade frisch die Runde machen.
Mails wie diese, die versuchen, den Empfänger zum Öffnen des Anhangs zu bewegen, enthalten fast immer Malware.
Also an die Arbeit – das könnte spannend werden. Erstmal sehen, ob die einfachen Methoden was zu Tage fördern. Es ist erstaunlich, wie oft man schon mit dem Unix-Befehl strings verdächtige Zeichenketten wie einen typischen PE-Header, Importnamen wie Createfile oder WinExec aufspüren kann. Das sind dann eindeutige Anzeichen für ausführbaren Code, der in einer Office-Datei eigentlich nichts zu suchen hat. Doch hier fördert strings außer ein paar Powerpoint-typischen Zeichenketten wie "Arial" nichts Lesbares zu Tage.
Im nächsten Schritt setzte ich das schon deutlich raffiniertere Tool Officecat des Snort-Teams auf die mysteriöse Powerpoint-Datei an. Erst kürzlich leistete es mir bei der Analyse einer angeblichen Rechnung wertvolle Dienste, weil es nicht nur behauptete, dass die Datei infiziert sei, sondern auch noch den "Common Vulnerability Enumerator" CVE-2006-6456 ausspuckte. Dieser Zeiger auf die Schwachstellendatenbank des MITRE versorgte mich mit Links zu diversen Beschreibungen der ausgenutzten Lücke in Microsoft Word einschließlich des Microsoft Security Bulletins MS07-014, mit dem die Lücke geschlossen wurde.
Doch bei meinen angeblichen Crash-Bildern liefert Officecat nur die wenig glaubwürdige Aussage: "SAFE File". Dass diese Datei wirklich sicher sein soll, kann ich mir beim besten Willen nicht vorstellen. Schon eher glaube ich, dass der einfache, signaturbasierte Ansatz von Officecat mal wieder versagt hat. Denn ohne die passende Signatur für bereits bekannte und analysierte Exploits gehen diese Tests in Leere.
Also werde ich wohl selbst den Honigtopf spielen und die Powerpoint-Datei in meiner abgesicherten Umgebung mit einem alten, ungepatchten Office 2003 öffnen. Es wäre doch gelacht, wenn sich der Übeltäter nicht durch auffällige Aktivitäten wie das Erstellen neuer Dateien oder das Nachladen von Schadcode aus dem Internet verrät.
Ein wahrer Segen ist dabei das Tool ProcMon aus der SysInternals-Suite, das alle Aktivitäten an Dateissystem, Registry und den Start neuer Prozesse protokolliert. Und in der Tat: Direkt nach dem Öffnen der Powerpoint-Datei erscheint ein neuer Prozess namens fssm32.exe. Des Weiteren öffnet Powerpoint im Hintergrund eine plötzlich aufgetauchte Datei unter Temp\Celebrities_Without_Makeup.pps. Eine geschickte Taktik, die ich schon des Öfteren bei bösartigen Dateien in Formaten wie DOC, XLS, PPT oder auch PDF beobachtet habe: Erst legen sie eine ausführbare Datei ab und führen sie aus. Direkt im Anschluss öffnen sie eine harmlose Datei, wie hier die Präsentation der abgeschminkten Modeschönheiten, um das Opfer nicht misstrauisch zu machen.
Außerdem zeigt Wireshark seltsamen HTTP-Traffic, bei dem ein POST-Request auf Port 8080 der IP-Adresse 202.52.X.Y abgesetzt wird. Ein Blick auf den whois-Dienst von heise Netze verrät mir, dass der Server in Kathmandu, Nepal, steht. Das kann beim besten Willen keines der regulär installierten Programme gewesen sein. Den Netzwerk-Sniffer lass ich bei so was routinemäßig auf dem Host-System mitlaufen. Da er außerhalb des Testsystems am Netzwerk lauscht, kann nicht einmal ein aktives Rootkit, das sich im Kernel eingenistet hat, seine Aktivitäten ganz vor ihm verstecken. Schlimmstenfalls würde ich immer noch einen verschlüsselten Datenstrom sehen.
Auch beim zweiten Blick lässt sich weder der Prozess noch die Datenübertragung nach Nepal auf eine natürliche Ursache zurückführen. Damit ist schon mal bewiesen, dass hier Malware am Werk ist. Doch die spannende Frage ist: Wie hat sie es angestellt, Code auszuführen? Selbst eine intensive Suche im Web bringt mich nicht weiter. Offenbar gibt es einfach keine vernünftigen Werkzeuge, um Makros aus Office-Dateien zu extrahieren oder sie gar auf Shellcode zu untersuchen. Also muss ich mir die wohl selber schreiben.
Das wäre weitaus einfacher, wenn die Datei bereits im neuen XML-Format vorläge, das Microsoft mit Office 2007 eingeführt hat. Da könnte man bereits mit einem Unzip-Tool halbwegs lesbare Dateien zutage fördern und im Editor anschauen. Doch meine Powerpoint-Datei ist im alten Binärformat. Also verbringe ich die nächsten Tage mit Recherche und der Lektüre mehrerer Microsoft-Artikel. Die Spannung steigt, als ich die erste, halbwegs lauffähige Version meines OfficeMalScanners auf die Powerpoint-Datei ansetze.