Den Experten des ISS X-Force-Teams zufolge haben Anzahl und Vielfalt so genannter Shell-Code-Execution-Attacken in den vergangenen zwölf Monaten erheblich zugenommen. Die dazu missbrauchten Dateitypen sind gängige, üblicherweise in Unternehmen kursierende Dokumente etwa Microsoft-Word-, Excel- und Powerpoint-Formate sowie PDF-Dateien.

Häufig verbreiten Hacker die infizierten Dokumente in ausgewählten Firmen und tarnen diese als legitime, innerhalb der Organisation via E-Mail verteilte Dateien. Im Gegensatz zu anderen Web-basierenden Bedrohungen lösen die harmlos anmutenden Dokumente meist keine Warnung aus, dass sie Schadcode enthalten. Den Experten zufolge werden die manipulierten Dateien häufig von gefälschten, scheinbar vertrauenswürdigen Adressen aus versendet. Da der Schadcode zudem in die Dokumente eingebettet sei, falle eine Vielzahl von Endnutzern darauf herein.

Ein gutes Beispiel für diese Angriffsgattung ist eine Spear-Phishing-Attacke auf das amerikanische Verteidigungsministerium im vergangenen Jahr. Bei dem Angriff erhielten bestimmte Mitarbeiter des Department of Defense (DoD) E-Mails von gefälschten Absenderadressen mit infizierten Powerpoint-Slides. Laut einer Warnung des Defense Security Service (DSS), der den Zugriff ziviler Auftragnehmer auf die Infrastruktur des Ministeriums verwaltet, hatten weltweit Zehntausende DoD-Beschäftigte die infizierten Attachments erhalten.

Vielzahl von Varianten

Angriffe dieser Art sollen den ISS-Experten zufolge in der letzten Zeit aber auch Windows-Schwachstellen wie etwa die kürzlich gepatchte Cursor-Lücke und der VML-Bug (Vector Markup Language) sowie kritische Lecks in Adobes Acrobat begünstigt haben. Verwundbarkeiten in Dateiformaten seien für Hacker in der Vergangenheit kein Thema gewesen, so Stewart. Diese hätten mittlerweile jedoch erkannt, dass sich darüber leicht neue Angriffsarten kreieren lassen. Zudem nutzten sie Fuzzing-Techniken, um potenzielle Lücken ausfindig zu machen. "Malware-Schreiber produzieren sehr schnell eine Vielzahl von Varianten ihrer Attacken nach bisweilen sogar eine pro Stunde", berichtet eine ISS-Mitarbeiterin.

Wenig Schutz

Das Gros der verfügbaren Virenschutzlösungen suche nicht nach derartigen Angriffen, so ISS. Auch Intrusion Protection Systeme (IPS) dürften viele Varianten übersehen, da die Art der dazu verwendeten Dokumente schwe-rer auf potenzielle Bedrohungen hin zu überprüfen sei. ISS-Kunden hingegen seien vor Attacken auf Shell-Code-Ebene dank der heuristischen, verhaltensbasierenden Scanning-Techniken in den Produkten des Anbieters geschützt, behauptet der Sicherheitsanbieter. (kf)