VBAs sind doch nicht ausgestorben VBAs sind doch nicht ausgestorben - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


29.10.2014 pi/Rudolf Felser

VBAs sind doch nicht ausgestorben

Die schon quasi ausgestorbene Malwareform Visual Basic Code (VBA) wird laut den SophosLabs seit einigen Monaten wieder vermehrt gesichtet. Neue Statistiken zeigen nun einen sprunghaften Anstieg.

© Grafvision - Fotolia.com

Gabor Szappanos, Forschungsleiter bei SophosLabs, beobachtet seit einigen Monaten das jähe Auftauchen der fast schon vergessenen Makrovirenart Visual Basic Code. Neueste Beobachtungen des IT-Sicherheitsspezialisten Sophos zeigen einen Anstieg von Makro-basierender Malware von bescheidenen 6 Prozent aller Dokumentenmalware im Juni auf bemerkenswerte 28 Prozent im Juli. Warum ist das so?
 
Gegenüber der Nutzung bekannterer Exploits, so erklärt Graham Chantry, Senior Threat Researcher bei SophosLabs UK auf Naked Security, hat VBA einige nennenswerte Vorteile.
 
VBA VS. EXPLOITS
Nur wenige Nutzer verzichten dieser Tage völlig auf Antiviren-Lösungen, Virenfamilien müssen sich also so häufig wie möglich verändern, um die Aufmerksamkeit des AV-Schutzes zu umgehen. Eine Exploit-Dateistruktur ist in der Regel eher statisch, was eine Bearbeitung schwierig macht.
 
Visual Basic-Code hingegen ist einfach zu schreiben, flexibel und leicht umzugestalten. Ähnliche Funktionalitäten können auf viele verschiedene Arten dargestellt werden. Malware-Autoren haben so mehr Möglichkeiten, bessere Versionen ihrer Software zu produzieren, als sie es über Exploits könnten. Diese sind zudem an bestimmte Versionen von Microsoft Office, gebunden. Die Malware-Autoren müssen also hoffen, dass die Opfer eine angreifbare Office-Version nutzen und ihr Antivirenschutz veraltet ist. Wird eine dieser Bedingungen nicht erfüllt, scheitert der Angriff.
 
Nicht so bei VBA. Der große Nachteil bei der Verwendung liegt allerdings in Microsofts Makro Security Level-Funktion. Bei Microsoft Office 2007 und höher sind alle Makros aus nicht vertrauenswürdigen Quellen standardmäßig deaktiviert und ihr Code wird nur ausgeführt, wenn der Benutzer sie explizit aktiviert. Um diese Einschränkung zu umgehen, müssen Autoren von bösartigem Code VBA Social Engineering-Techniken verwenden, um die User zur Ausführung der Makros zu bewegen.
 
TEMPLATES FÜR DUMMIES

Spezialisten der SophosLabs haben entdeckt, dass es eine Reihe von VBA-Downloader-Vorlagen gibt. Diese enthalten Visual Basic-Code mit hilfreichen Kommentaren, wo die Autoren einen bösartigen Link sowie Informationen über Methoden zur Verschleierung des Codes einfügen sollten.
 
Der Code hat in der Regel ein einfaches Design. Einige der Templates importieren die Windows API URLDownloadToFile um eine ausführbare Datei in das Temporäre Verzeichnis der User zu laden. Ist das geschehen, verwendet der Code einen Befehl um die Samples als separaten Prozess auszuführen.
 
Angehende Malware-Autoren müssen nur noch die Direct-Link-Here-Zeichenfolge mit einer URI zu der bösartigen, ausführbaren Datei übermitteln und der Downloader sollte fast wie von selbst funktionieren.
 
Diese Codestruktur ist äußerst beliebt. Tatsächlich wiesen zirka 34 Prozent aller Samples von Makro-Downloadern im Juli diese Struktur auf und waren mit Hunderten von verschiedenen URIs übersät, was darauf hindeutet, dass dies eine weit verbreitete und recht beliebte Vorlage ist.
 
SORGFÄLTIGER BETRUG
SophosLabs stieß vor kurzem auf eine Reihe Samples, die behaupten, mit "SOPHOS-Verschlüsselungs-Software" verschlüsselt worden zu sein. Zwar verfügt auch Sophos über eine Verschlüsselungssoftware – SafeGuard Encryption verschlüsselt Windows und Mac OS Endpoints – aber die Schreibweise war nicht identisch mit dem Original. Der Visual Basic Code in dem gefälschten Sophos Sample war durchaus anspruchsvoll. Abhängig von der Tatsache, ob PowerShell auf dem Computer installiert ist, konnte das Sample zwei unterschiedliche Methoden zur Infektion nutzen.
 
Ausgestorben ist VBA also ganz sicher nicht. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: