ISS: Hacker verstecken Schadcode zunehmend in Dokumenten

03.05.2007
Laut IBMs Sicherheitssparte Internet Security Systems (ISS) häufen sich gezielte Angriffe, die Schwachstellen in verbreiteten Dokumentenformaten ausnutzen.

Den Experten des ISS X-Force-Teams zufolge haben Anzahl und Vielfalt so genannter Shell-Code-Execution-Attacken in den vergangenen zwölf Monaten erheblich zugenommen. Die dazu missbrauchten Dateitypen sind gängige, üblicherweise in Unternehmen kursierende Dokumente – etwa Microsoft Word, Excel und Powerpoint-Formate sowie PDF-Dateien.

Häufig verbreiten Hacker die infizierten Dokumente in ausgewählten Firmen, und tarnen diese als legitime, innerhalb der Organisation via E-Mail verteilte Dateien. Im Gegensatz zu anderen Web-basierenden Bedrohungen, lösen die harmlos anmutenden Dokumente meist keine Warnung aus, dass sie Schadcode enthalten. Den Experten zufolge werden die manipulierten Dateien häufig von gefälschten, scheinbar vertrauenswürdigen Adressen aus versendet. Da der Schadcode zudem in Dokumente eingebettet sei, falle eine Vielzahl von Endnutzern darauf herein.

"Es gibt eine Reihe von Ursachen für die rasche Verbreitung dieser Bedrohung – primär ist dafür allerdings die für Kriminelle attraktive Angriffsmethode mit ihrem hohen Potenzial für Social-Engineering verantwortlich", erläutert Holly Stewart, Produkt-Managerin bei dem X-Force Threat Analysis Service von ISS.

Ein gutes Beispiel für diese Angriffsgattung ist eine Spear-Phishing-Attacke auf das amerikanische Verteidigungsministerium im vergangenen Jahr. Im Rahmen des Angriffs erhielten bestimmte Mitarbeiter des Department of Defense (DoD) E-Mails von gefälschten Absenderadressen mit infizierten Powerpoint-Slides. Laut einer Warnung des Defense Security Service (DSS), der den Zugriff ziviler Auftragnehmer auf die Infrastruktur des Ministeriums verwaltet, hatten weltweit Zehntausende DoD-Beschäftigte die infizierten Attachments erhalten.

Angriffe dieser Art sollen den ISS-Experten zufolge in der letzten Zeit aber auch Windows-Schwachstellen wie etwa die kürzlich gepatchte Cursor-Lücke und der VML-Bug (Vector Markup Language) sowie kritische Lecks in Adobes Acrobat begünstigt haben. Verwundbarkeiten in Dateiformaten seien für Hacker in der Vergangenheit kein Thema gewesen, so Stewart. Diese hätten mittlerweile jedoch erkannt, dass sich darüber leicht neue Angriffsarten kreieren lassen, und nutzten Fuzzing-Techniken, um potenzielle Lücken ausfindig zu machen. "Malware-Schreiber produzieren sehr schnell eine Vielzahl von Varianten ihrer Attacken nach – bisweilen sogar eine pro Stunde", berichtet die ISS-Mitarbeiterin.

Das Gros der verfügbaren Virenschutzlösungen suche nicht nach derartigen Angriffen, so ISS. Auch Intrusion Protection Systeme (IPS) dürften viele Varianten übersehen, da die Art der dazu verwendeten Dokumente schwerer auf potenzielle Bedrohungen hin zu überprüfen sei. ISS-Kunden hingegen seien vor Attacken auf Shell-Code-Ebene dank der heuritischen, verhaltensbasierenden Scanning-Techniken in den Produkten des Anbieters geschützt, behauptet der Sicherheitsanbieter. (kf)