Angriff per Word-Datei

Die Verbreitung von Malware- oder Crimeware-Kits nimmt auch in 2015 nicht ab – im Gegenteil. Bereits in den frühen 1990ern gab es erste Tools, die das Erstellen von Schadcode erheblich erleichterten und dies auch für Anfänger ermöglichten. Beste Beispiele hierfür waren unter anderem das "Virus Creation Laboratory" (VCL) oder der "Phalcon-Skism Mass Produced Code Generator" (PS-MPC), beide noch unter MS-DOS. Daran hat sich nichts geändert – damals wie heute werden in regelmäßigen Abständen neue Tools und Kits veröffentlicht. Der größte Unterschied zu den 1990ern besteht jedoch darin, dass diese Kits heutzutage hauptsächlich aus einem wesentlichen Grund genutzt werden: um Geld zu verdienen. Seit mehreren Jahren gibt es auf diesem Gebiet einen gigantischen Markt. Dort wird professionell Malware – oder gleich die Baukästen im Ganzen – auf Bestellung geliefert.

Ein gutes Beispiel hierfür ist das Exploit- und Crimeware-Kit "Microsoft Word Intruder" (MWI). Das in Russland entwickelte "Malware Creation Kit" ermöglicht es, Word-Dokumente so zu präparieren, dass bereits das Öffnen genügt, um ein Windows-System mit Schadcode zu infizieren. In der Vergangenheit wurden hierzu beispielsweise folgende bereits bekannte Sicherheitslücken genutzt: CVE-2012-0158, CVE-2013-3906, CVE-2014-1761. Derzeit kommt jedoch vermehrt ein Exploit für eine Sicherheitslücke in Microsoft Office zum Einsatz, die Microsoft im April 2015 geschlossen hatte (CVE-2015-1641).

Die beiden Arten von Malware, die damit erstellt werden können, sind Dropper- und Downloader-Varianten. Ein Dropper ist eine eigenständig ausführbare Programmdatei, die meist bereits den gesamten auszuführenden Code (Payload) enthält. Demgegenüber lädt der Downloader diesen Code zumeist komplett oder teilweise von infizierten und vorher präparierten Servern nachträglich herunter. Laut Sophos liegt das Verhältnis zwischen im Umlauf

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.