Cisco Talos warnt vor ungewöhnlicher Word-Malware

Die eher ungewöhnliche Malware, die die Sicherheitexperten von Ciscos Talos-Group analysiert haben, verbirgt sich in Microsoft-Word-Dokumenten und scheint es vor allem auf Regierungsstellen von Staaten, die der NATO angehören, abgesehen zu haben. Die Schadsoftware solle offenbar dazu dienen, Staatsgeheimnisse auszuspionieren. Die Kampagne sei zwischen Weihnachten und Neujahr durchgeführt worden. Darauf, dass Regierungsstellen mit der Malware infiziert wurden, deute derzeit nichts hin.

Vermeintlich harmloses Dokument mit ausgefeilter Infektions-Routine. Das Cisco-Talos-Team vermutet staatliche Stellen hinter der Malware. (Bild: Cisco)

Da die Spezialisten in dem digitalen Schädling zahlreiche ausgefeilte Komponenten fanden, lege das die Vermutung nahe, dass es sich nicht um eine herkömmliche Malware handle, sondern dass staatliche Stellen die Entwicklung des digitalen Schädlings betrieben haben könnten.

In der Analyse mit dem Titel ‚Matryoshka Doll Reconnaissance Framework‘ stellten die Experten fest, dass diese Malware über verschiedene ungewöhnliche Features verfügt. Die Malware sei so unter anderem in der Lage, Sandbox-Sicherheitslösungen zu umgehen und sorgt über das Einspielen von Daten-Müll dafür, dass Sicherheitstechnologien zum Absturz gebracht werden.

Das bösartige Dokument verfüge außerdem über eine Abfolge von eingebetteten Objekten. Diese lösen über mehrere Stufen hinweg den eigentlichen Payload der Malware aus. Danach wird eine Verbindung mit einem Command-and-Control-Server hergestellt. Neben verschiedenen anderen Informationen liest die Malware dann auch die Version des Betriebssystems und von Adobe Flash aus und meldet diese an den C&C-Server.

„Die Analyse des Microsoft Office Dokuments zeigt einen sehr hoch entwickelten Workflow der Infizierung. Die eigentliche Aufgabe des Dokuments liegt darin, das Opfer auszuspionieren, um die Kommunikation mit einer Sandbox oder den Maschinen eines Sicherheitsanalysten zu umgehen. Zweitens, über Adobe Flash wird der Payload und ein Exploit für Adobe Flash abgerufen, der geladen und ausgeführt wird“, erklärt das Talos-Team von Cisco.

Cisco spricht von dem Matryoshka Doll Reconnaissance Framework, das sich über verschiedene eingebettete Objekte vor dem Zugriff durch Sicherheitslösungen wehrt. (Bild: Cisco)

Es handelt sich bei der untersuchten Word-Datei um RTF-Dokument, in das zunächst ein OLE-Objekt eingebettet ist. Und in diesem OLE-Objekt steckt wiederum ein Adobe-Flash-Objekt. Über ein ActionScript wird dann ein Binary extrahiert, bei dem es sich ebenfalls um ein Adobe-Flash-Objekt handelt, das mit XOR und zlib komprimiert ist. Erst dieses zweite Adobe Flash-Objekt ist der eigentliche Payload der Malware, der dann eine HTTP-Verbindung mit dem C&C-Server erstellt.

Dieser Ansatz sei aus Sicht der Angreifer sehr geschickt, heißt es weiter, weil so der eigentliche Exploit nicht in das Dokument eingebettet ist und nicht von einem Antivirenprogramm erkannt werden kann. Die Angreifer hätten ein minimalistisches aber sehr effizientes Framework aufgesetzt, das sich aber je nach Bedarf auch während des Einsatzes ändern lässt, so die Autoren weiter.

Interessant sei auch, dass der eigentliche Payload zusammen mit großen Mengen Junk-Daten ausgegeben werde. Damit wollen die Angreifer offenbar Ressourcen-Probleme bei den Sicherheitssystemen verursachen. Damit soll vor allem eine Untersuchung der Malware unmöglich gemacht werden. Dass mit dieser Malware vor allem NATO-Mitglieder ausgekundschaftet werden sollten, schließen die Sicherheitsexperten lediglich aus dem Dateinamen des manipulierten Dokuments.

[Mit Material von Martin Schindler, silicon.de]