Malware 101: Methoden zur Umgehung des Dateityps

Obwohl es sich um eine viel weniger technische Umgehungsmethode handelt, ist die Verwendung von Dateityp-Tricks zur Bereitstellung von Malware dennoch sehr effektiv. Insbesondere bei Malware, die über E-Mail-Phishing-Angriffe verbreitet wird – die bei weitem häufigste Art der Verbreitung von Malware – trägt die Verwendung gängiger Dateitypen dazu bei, dass Malware unbemerkt bleibt.

Selbst wenn keine anderen Schutzmechanismen vorhanden sind, ist es nicht ungewöhnlich, dass Administratoren von E-Mail-Servern E-Mails mit ausführbaren Anhängen blockieren, da diese selten legitim versendet werden und angesichts der Häufigkeit von Phishing-Angriffen mit Malware ein hohes Risiko darstellen. Eine ZIP-Datei kann jedoch eine ausführbare Datei enthalten. Da es jedoch häufiger vorkommt, dass legitime ZIP-Dateien versendet werden, werden sie nicht so blockiert wie eine ausführbare Datei.

Umgekehrt verwendet manche Malware weniger bekannte Komprimierungs- oder Archivtypen in der Hoffnung, dass sie aufgrund ihrer Unbekanntheit nicht in die Liste der zu blockierenden Dateitypen aufgenommen werden. In diesem Fall kann gängige Komprimierungssoftware oder Sogar das Betriebssystem die Datei weiterhin öffnen. Zum Beispiel kann 7zip mit fast allen komprimierten Dateien und/oder Archiven umgehen und ist vor allem aufgrund dieser Vielseitigkeit weit verbreitet.

Warum Windows ein beliebtes Ziel für Malware ist

Die überwiegende Mehrheit der Malware zielt auf Windows-Betriebssysteme ab, die einen einzigartigen Vorteil für Malware bieten, wenn es um Dateitypen geht. Im Gegensatz zu den meisten anderen Betriebssystemen, die den Inhalt einer Datei überprüfen, um festzustellen, um welchen Dateityp es sich handelt – und mit welcher Software sie geöffnet werden soll – nimmt Windows angekündigte Dateitypen für bare Münze und berücksichtigt dabei nur die im Dateinamen angegebene Dateierweiterung. Standardmäßig ist diese Erweiterung auch für gängige Dateitypen ausgeblendet. Dies bietet Angreifern eine Reihe von Möglichkeiten.

Erstens können sie versuchen, Benutzer auszutricksen, indem sie mehrere Dateierweiterungen verwenden, da die letzte, tatsächliche Erweiterung der Datei für die meisten Benutzer verborgen sein kann. Wenn Sie beispielsweise eine Datei „Urlaubsfoto.jpg“ aufrufen, wird sie allen Benutzern, die die Anzeige von Dateierweiterungen nicht aktiviert haben, einfach als „Urlaubsfoto.jpg“ angezeigt. Es handelt sich jedoch um eine ausführbare Datei, die als solche ausgeführt wird.

Zweitens gibt es Fälle, in denen Dateien mit bestimmten Dateierweiterungen von anfälliger Software ausgeführt werden, anstelle der üblichen Software, die diesem Dateityp zugewiesen ist. Ein Beispiel hierfür, das in der Vergangenheit häufig verwendet wurde, war, Microsoft Word-Dokumente stattdessen in WordPad (das den Dateityp immer noch unterstützt) auszuführen, indem man der Dokumentdatei die Erweiterung „.rtf“ anstelle von „.doc“ zuwies, welche dem eigentlichen Dateityp entsprach. Die Dokumentdatei enthielt eine Schwachstelle für WordPad und die Standardzuordnung von „.rtf“-Dateien zu WordPad erlaubte dem Angreifer, die Datei in WordPad öffnen zu lassen.

Angriffe mit gängigen Dateitypen verstecken

Clevere Tricks mit Dateierweiterungen können zwar effektiv sein, aber die Verwendung von Dateitypen, an die Benutzer gewöhnt sind – diese vielleicht sogar täglich nutzen – kann sehr effektiv sein, sowohl um Benutzer dazu zu bringen, die Dateien tatsächlich auszuführen, als auch, durch die Menge an legitimen Dateien, einfachere Sicherheitsvorkehrungen zu umgehen. Der Stagefright-Exploit für Android wurde über Bilddateien verwendet. Dieser Dateityp ist natürlich auf Mobilgeräten üblich.

Auf Computern und vor allem in der Geschäftswelt sind Dokumentendateien – Microsoft Office-Dateien und PDF-Dateien – sehr verbreitet und unterstützen Skriptsprachen, mit denen Malware in die Dateien geschrieben werden kann. Diese Skriptsprachen werden auch für legitime Zwecke verwendet, so dass es für Anti-Malware-Software nicht ausreicht, die Datei einfach ohne weitere Analyse zu blockieren, wenn sie diese enthält.

Insbesondere bei Excel-Tabellen kann die Verbreitung von (manchmal fragwürdigen) benutzerdefinierten Makros zur Erfüllung von Geschäftsanforderungen den Unterschied zwischen sicheren und bösartigen Dateien verwischen. Während meiner Tätigkeit als Software Engineer bei ATP gab es nur wenige Techniken, die ein bösartiges Makro verwenden könnte, für die ich nicht mindestens einen Fehlalarm feststellen konnte (d. h. eine legitime Datei, die als bösartig markiert wurde), sogar beim Schreiben von Daten in die Registrierung.

Wie Angreifer Makros und Skripte verwenden

Schädliche Microsoft Office-Dateien verlassen sich hauptsächlich auf Makros, die in VBScript geschrieben wurden (mit Ausnahme der DDE-Schwachstelle, als sie zum ersten Mal entdeckt wurde), während bösartige PDFs in der Regel JavaScript verwenden. Jedoch nutzen beide Skriptsprachen häufig die Möglichkeit, Windows-Systemaufrufe über eine WScript-Shell durchzuführen, um den Schadcode auszuführen.

Die WScript Shell bietet eine API, um mit Aspekten des Systems zu interagieren, die VBScript und JavaScript allein nicht nutzen können, z. B. das Starten eines Prozesses oder Interaktionen mit der Registrierung. WScript bietet auch eine der wenigen Techniken zum Herunterladen einer Remote-Datei, was recht häufig vorkommt, da viele Office- und PDF-Malware-Varianten einfach als Downloader für eine zusätzliche Payload fungieren. Es ist auch nicht ungewöhnlich, dass die Payload verschlüsselt im Dokument vorhanden ist, um vom Skript dekodiert und ausgeführt zu werden. In diesem Fall wäre das Dokument stattdessen ein Loader.

Natürlich können Dokumente die endgültige Payload enthalten, anstatt als Vermittler zu fungieren, aber ausführbare Dateien können die Vorteile der im letzten Artikel behandelten Verschleierungs- und Verschlüsselungstechniken leichter nutzen. Es kommt auch häufig vor, dass bösartige Dokumente einfach einen Link enthalten, auf den der Benutzer klicken kann und der zu der Malware führt, obwohl man solche Dokumente eher als Phishing denn als Malware bezeichnen sollte.

Das menschliche Element

Selbst bei dokumentenbasierter Malware ist die Benutzerinteraktion oft ein Faktor. In Versionen von Microsoft Office, die nicht aktualisiert wurden, um die Änderung von Anfang dieses Jahres (des letzten Jahres für einige Update-Kanäle) einzubeziehen, die aus dem Internet heruntergeladene Makros deaktiviert, müssen Benutzer aktiv agieren, um Makros auszuführen. Der sichtbare Inhalt der Datei könnte sogar die Anleitung sein, wie dies erreicht wird, möglicherweise kombiniert mit einer Ausrede, warum man es überhaupt ausführen sollte.

Selbst einfache Links zu Remote-Malware erfordern immer noch, dass der Benutzer sowohl auf den Link klickt als auch die heruntergeladene Datei ausführt. Mehr noch als bei ausführbaren Dateien ist Social Engineering eine wichtige Komponente für den Erfolg der meisten dokumentenbasierten Malware. Dies bietet Benutzern zwar mehr Möglichkeiten, zu erkennen, dass mit der Datei etwas nicht stimmt, aber es ist dennoch sehr effektiv, und dieser Erfolg trägt dazu bei, dass Dokumentendateitypen weiterhin als Angriffsvektor genutzt werden.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.