MS-Office-Viren

Mitglied: Fennek11

Fennek11 (Level 1) - Jetzt verbinden

13.10.2020 um 12:05 Uhr, 511 Aufrufe, 7 Kommentare

Hallo,

da es eine öffentlich und kostenlos zugängliche Datenbank für malware gibt, kann sich jeder genügend Beispiele von Word- oder Excel-Dokumente herunterladen und die Dateien analysieren.

Interessant ist:

- VBA in xlsx/docx
- file-open Passwort

Kostenlose Tools dafür sind Zipdump.py und msoffcrypto-tool.

Anhand von dutzenden Beispielen der letzten Monate war die Frage: Kann man die malware auch ohne AV-Software recht sicher erkennen?

Mit der Begrenzung auf OOXML (d.h. ohne MS-Office Dateitypen vor 2007) kann man mit dem Stand heute malware in xlsx und docx recht sicher erkennen, wenn man die

- Magic-bytes
- Zip-Struktur
- transparente file-open Passwort von MS

prüft.

Im Zip-File wird auf die Existenz von 'docProps/core.xml', 'docProps/app.xml', 'theme1.xml', 'styles.xml', 'activeX1.bin', 'vbaProject.bin' und auf das Datum (info.date_time)) == '1980-01-01 00:00:00) geprüft. (damit werden auch LibreOffice-Dateien erkannt)

Im Test-Scenario mit echten MS-Office-Dateien und ca. 20 malware samples vieler "Familien" war die Erkennungsrate 100%.

Der Code war in Python geschrieben und läuft damit ohne Risiko unter Linux und Windows. Sofern man einen separaten Win-Rechner ohne Internet-Zugang zur Verfügung hat, geht eine Prüfung mit VBA noch viel einfacher, lediglich der Autostart der malware muss mit "application.AutomationSecurity" abgeschaltet und der "Zugriff auf das VBAProject" aktiviert werden.


Hat jemand Interesse, das in "real live" mit einem Mail-Server zu testen?


Je nach Fähigkeit im Programmieren dauert die Entwicklung des Codes ca. 1 Stunde ++. Gerne stelle ich auch meinen Test-Code als Beispiel zur Verfügung.


PS:
Auch wenn durch Aktionen der US-Regierung und Microsoft es z.Zt fast keine MS-Office Viren mehr gibt, ist es unwahrscheinlich, dass es so bleibt.
Es bleibt nur die Frage, warum weder M$ noch die AV-Dienstleister solche Prüfungen der ZipStruktur zeitnah anbieten.
Beispiel: https://www.clever-excel-forum.de/Thread-VBA-Viren-Scanner?pid=210994#pi ...
Mitglied: wiesi200
13.10.2020 um 12:32 Uhr
Hallo,

das Thema beschäftigt dich ja schon ne Weile. Hast du jetzt eigentlich schon mal geprüft ob sich der Schadcode bei den neuen Office Formaten überhaupt ausführen lässt? Nur weil ich da was reinpacken kann bedeutet das noch nicht das er so ohne weiteres auch was anstellen kann.
Bitte warten ..
Mitglied: ipzipzap
13.10.2020 um 12:34 Uhr
Hallo,

Zitat von Fennek11:
da es eine öffentlich und kostenlos zugängliche Datenbank für malware gibt, kann sich jeder genügend Beispiele von Word- oder Excel-Dokumente herunterladen und die Dateien analysieren.

wo gibt es denn so eine Datenbank?

cu,
ipzipzap
Bitte warten ..
Mitglied: Fennek11
13.10.2020 um 12:51 Uhr
Gute Frage!

Es liegt in der Natur der Sache, dass ich nicht einfach eine Schadware starte. Aber ich habe den Aufruf "Set Shl = CreateObject("Ansatz des Virus") " nachprogrammiert und gesehen, wann meine AV blockt und wann nicht.

Den Powershell-Befehl "Download(url)" habe ich nicht getestet.

Mein Vermutung war, dass Viren-Schreiber vermuten, dass in vielen Ziel-Systemen der Code laufen würde.
Bitte warten ..
Mitglied: Fennek11
13.10.2020 um 12:54 Uhr
Alle, die im Bereich IT-Security aktiv sind, kennen Virustotal.com uä. Meine Quelle werde ich nur regelmäßigen Forums-User (Level-2 ++) per PN mitteilen, da man dort direkt Viren laden kann.
Bitte warten ..
Mitglied: ipzipzap
13.10.2020, aktualisiert um 13:21 Uhr
Zitat von Fennek11:

Alle, die im Bereich IT-Security aktiv sind, kennen Virustotal.com uä. Meine Quelle werde ich nur regelmäßigen Forums-User (Level-2 ++) per PN mitteilen, da man dort direkt Viren laden kann.

Warum diese Heimlichtuerei? Wenn es eine "öffentlich und kostenlos zugängliche Datenbank" ist, ist das doch kein Problem. Und bei Virustotal kann man doch nur Samples hochladen, aber nicht runterladen.

Edit: Und was soll das mit dem Level-2++? Du bist noch nichtmal seit einem Jahr dabei und hast selber Level 1. Ich bin seit 9 Jahren dabei und auch noch Level 1. Was soll der Quatsch?

cu,
ipzipzap
Bitte warten ..
Mitglied: wiesi200
13.10.2020 um 18:02 Uhr
Zitat von Fennek11:

Gute Frage!

Wäre aber eine der ersten und wichtigsten Fragen um zu beurteilen ob der Spaß überhaupt sinnvoll ist.
Bitte warten ..
Mitglied: Guenther45
17.10.2020 um 12:31 Uhr
@ Fennek11
Ich finde deine Einstellung absolut okay!

@ all
Wenn sich ein Leser wirklich für das Thema interessiert sollte es ihm auch möglich sein, per Suchmaschine seiner Wahl die gleiche oder eine gleichartige Quelle zu finden wie Fennek11. Und diese Quelle einfach "mal so eben in die Gegend" zu verteilen wird vielleicht den einen oder anderen Gelegenheits-Mitleser auf unschöne Gedanken bringen. - Ein entsprechend hoher Level ist eine ziemliche Garantie für ein entsprechendes Verantwortungsbewusstsein.

Meint
Günther
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

CPU, RAM, Mainboards
Hardwareanforderung für Remote Desktop
gelöst Diddi-tbFrageCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich brauche mal wieder einen Rat von euch. Mein Chef möchte gerne öfter von zu Hause aus ...

Multimedia & Zubehör
Anforderungen an Telefonanlage
jensgebkenFrageMultimedia & Zubehör10 Kommentare

Hallo Gemeinschaft, bin auf der Suche nach einer Telefonanlage die folgendes können muss: - unterschiedliche Ansagen (z.b. während der ...

LAN, WAN, Wireless
Studentenwohnheim LAN Anschluss mit Router verbinden
SchweisserFrageLAN, WAN, Wireless8 Kommentare

Hallo Leute, ich habe zu dem Thema schon einige Beiträge gelesen, konnte aber für meinen Fall bisher keine funktionierende ...

Humor (lol)
Wir werden alt
Dilbert-MDFrageHumor (lol)7 Kommentare

Themenbereich OT Neulich bei einem IT-Problem: Ein IT-Problem ist kein Problem, wenn man die richtigen Suchbegriffe und Fachwörter in ...

DNS
DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt
DerDummePeterFrageDNS7 Kommentare

Moin, ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu ...

Ähnliche Inhalte
Backup
MS Backup 2008R2
OSelbeckFrageBackup2 Kommentare

Hallo zusammen, ich habe ein Problem mit dem Windows Backup ;-) Gesichert wird auf 5 usb Platten sind alle ...

Erkennung und -Abwehr
MS-Hotline-Telefonterror
HenereFrageErkennung und -Abwehr25 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Microsoft Office
MS Teams Apps
snigglsFrageMicrosoft Office

Hi zusammen, ich möchte in MS Teams den Usern eine Third Party App zur Verfügung stellen (connectors). Über die ...

Windows Tools
MS TechNet abgebrannt?
gelöst emeriksFrageWindows Tools4 Kommentare

Hi, ich komme nicht auf die Seiten vom MS TechNet. Kann das jemand bestätigen? E.

Windows Tools
MS SQL Instanz
sebastian2608FrageWindows Tools6 Kommentare

N´ Abend Leute, heute habe ich einen besonders seltsamen Fall für euch ;) Folgende Grundsituation: Ein Bekannter hatte bis ...

Windows 10
Ms-resource:appdisplayname entfernen
gelöst PeterzFrageWindows 105 Kommentare

Hallo, ich möchte mir ein Windows 10 Installationsmedium erstellen, das von bestimmten Apps bereinigt ist. Dieses bereinigte Installationsmedium will ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT