29. Dezember 2008

25C3: Methods for Understanding Targeted Attacks with Office Documents

Category: CCC — Christian @ 21:22

Targeted Attacks unterscheiden sich von Drive-By Attacks dadurch, dass die Angreifer in der Regel detaillierte Informationen zum angegriffenen Ziel sammeln, z.B. über eingesetzte Sicherheitsprodukte wie Virenscanner. Besonders beliebt sind targeted Attacks im Bereich der Industriespionage. Besonders betroffen ist mit Microsoft der Arbeitgeber von Bruce.

Targeted Attacks in Microsoft Office-Dokumenten sind deshalb geeignet, weil Office zu weit verbreitet ist und viele Leute Microsoft Office-Dokumente gedankenlos austauschen. Außerdem sind sie aufgrund der Komplexität und bescheidenen Dokumentation der Formate trotz inzwischen auf Druck der EU veröffentlichten Spezifikationen schwer zu erkennen. Das Office Binary Format ist  für Parser eine echte Krankheit. Auf Details will ich hier gar nicht eingehen. Microsoft selbst bezeichnet das als „filesystem in a file“. Leider ist das Parsen daher nicht „byteweise“ möglich.

OffVis ist ein Microsoft-Tool, das die interne Struktur eines Office-Dokuments defragmentiert so, dass es leichter zu parsen ist. Ansonsten sieht es mit praktikablen Schutzmaßnahmen von Microsoft eher mau aus, außer dem (teuren) Wechsel zu Office 2007 fällt ihnen leider nichts ein.

Die Schadprogramme sind recht straight-forward. Es gibt einen Exploit, den Payload (irgendeinen Shellcode, meist ein Trojaner-Dropper) und ggf. ein harmlos aussehendes Dokument, damit es dem Betrachter nicht auffällt, was im Hintergrund passiert. Der Exploit basiert meist darauf, die Kontrolle über den EIP zu erlangen, z.B. mit einem klassischen Buffer Overflow. Die Payloads sind meistens verschlüsselt und daher schwerer zu erkennen.

Ein möglicher Ablauf kann wie folgt aussehen:

  • Shellcode decodes itself and runs
  • Builds up list of function pointers
  • Finds itself in memory
  • Read data from specific location in file
  • Extract the trojan and clean the document
  • Restarts application with clean document

Den gleichen Vortrag hat Bruce auch schon auf der Recon 2008 in Montreal und der Black Hat Conference dieses Jahr in Japan gehalten. Dort findet man auch die Slides zur Präsentation. Insgesamt jedoch bringt der Vortrag nur Entwickler von Virenscannern weiter, für den typischen Hacker fehlen natürlich Details und Source Code.

PS: Bruce, if you’ve never seen so much Macs on one place … get used to it. 🙂

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 15. März 2009 @ 19:49

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.