{"id":809,"date":"2008-12-29T21:22:50","date_gmt":"2008-12-29T20:22:50","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/809-25c3-methods-for-understanding-targeted-attacks-with-office-documents"},"modified":"2018-05-31T14:49:56","modified_gmt":"2018-05-31T13:49:56","slug":"25c3-methods-for-understanding-targeted-attacks-with-office-documents","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/809-25c3-methods-for-understanding-targeted-attacks-with-office-documents","title":{"rendered":"25C3: Methods for Understanding Targeted Attacks with Office Documents"},"content":{"rendered":"<p>Targeted Attacks unterscheiden sich von Drive-By Attacks dadurch, dass die Angreifer in der Regel detaillierte Informationen zum angegriffenen Ziel sammeln, z.B. \u00fcber eingesetzte Sicherheitsprodukte wie Virenscanner. Besonders beliebt sind targeted Attacks im Bereich der Industriespionage. Besonders betroffen ist mit <a href=\"http:\/\/events.ccc.de\/congress\/2008\/Fahrplan\/events\/2938.en.html\">Microsoft der Arbeitgeber von Bruce<\/a>.<\/p>\n<p>Targeted Attacks in Microsoft Office-Dokumenten sind deshalb geeignet, weil Office zu weit verbreitet ist und viele Leute Microsoft Office-Dokumente gedankenlos austauschen. Au\u00dferdem sind sie aufgrund der Komplexit\u00e4t und bescheidenen Dokumentation der Formate trotz inzwischen auf Druck der EU ver\u00f6ffentlichten Spezifikationen schwer zu erkennen. Das Office Binary Format ist\u00c2\u00a0 f\u00fcr Parser eine echte Krankheit. Auf Details will ich hier gar nicht eingehen. Microsoft selbst bezeichnet das als &#8222;filesystem in a file&#8220;. Leider ist das Parsen daher nicht &#8222;byteweise&#8220; m\u00f6glich.<\/p>\n<p>OffVis ist ein Microsoft-Tool, das die interne Struktur eines Office-Dokuments defragmentiert so, dass es leichter zu parsen ist. Ansonsten sieht es mit praktikablen Schutzma\u00dfnahmen von Microsoft eher mau aus, au\u00dfer dem (teuren) Wechsel zu Office 2007 f\u00e4llt ihnen leider nichts ein.<\/p>\n<p>Die Schadprogramme sind recht straight-forward. Es gibt einen Exploit, den Payload (irgendeinen Shellcode, meist ein Trojaner-Dropper) und ggf. ein harmlos aussehendes Dokument, damit es dem Betrachter nicht auff\u00e4llt, was im Hintergrund passiert. Der Exploit basiert meist darauf, die Kontrolle \u00fcber den EIP zu erlangen, z.B. mit einem klassischen Buffer Overflow. Die Payloads sind meistens verschl\u00fcsselt und daher schwerer zu erkennen.<\/p>\n<p>Ein m\u00f6glicher Ablauf kann wie folgt aussehen:<\/p>\n<ul>\n<li>Shellcode decodes itself and runs<\/li>\n<li>Builds up list of function pointers<\/li>\n<li>Finds itself in memory<\/li>\n<li>Read data from specific location in file<\/li>\n<li>Extract the trojan and clean the document<\/li>\n<li>Restarts application with clean document<\/li>\n<\/ul>\n<p>Den gleichen Vortrag hat Bruce auch schon auf der Recon 2008 in Montreal und der Black Hat Conference dieses Jahr in Japan gehalten. Dort findet man auch die Slides zur Pr\u00e4sentation. Insgesamt jedoch bringt der Vortrag nur Entwickler von Virenscannern weiter, f\u00fcr den typischen Hacker fehlen nat\u00fcrlich Details und Source Code.<\/p>\n<p>PS: Bruce, if you&#8217;ve never seen so much Macs on one place &#8230; get used to it. \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Targeted Attacks unterscheiden sich von Drive-By Attacks dadurch, dass die Angreifer in der Regel detaillierte Informationen zum angegriffenen Ziel sammeln, z.B. \u00fcber eingesetzte Sicherheitsprodukte wie Virenscanner. Besonders beliebt sind targeted Attacks im Bereich der Industriespionage. Besonders betroffen ist mit Microsoft der Arbeitgeber von Bruce. Targeted Attacks in Microsoft Office-Dokumenten sind deshalb geeignet, weil Office zu [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/809"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=809"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/809\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}