MS-Office-Viren

Hallo,

da es eine öffentlich und kostenlos zugängliche Datenbank für malware gibt, kann sich jeder genügend Beispiele von Word- oder Excel-Dokumente herunterladen und die Dateien analysieren.

Interessant ist:

- VBA in xlsx/docx
- file-open Passwort

Kostenlose Tools dafür sind Zipdump.py und msoffcrypto-tool.

Anhand von dutzenden Beispielen der letzten Monate war die Frage: Kann man die malware auch ohne AV-Software recht sicher erkennen?

Mit der Begrenzung auf OOXML (d.h. ohne MS-Office Dateitypen vor 2007) kann man mit dem Stand heute malware in xlsx und docx recht sicher erkennen, wenn man die

- Magic-bytes
- Zip-Struktur
- transparente file-open Passwort von MS

prüft.

Im Zip-File wird auf die Existenz von 'docProps/core.xml', 'docProps/app.xml', 'theme1.xml', 'styles.xml', 'activeX1.bin', 'vbaProject.bin' und auf das Datum (info.date_time)) == '1980-01-01 00:00:00) geprüft. (damit werden auch LibreOffice-Dateien erkannt)

Im Test-Scenario mit echten MS-Office-Dateien und ca. 20 malware samples vieler "Familien" war die Erkennungsrate 100%.

Der Code war in Python geschrieben und läuft damit ohne Risiko unter Linux und Windows. Sofern man einen separaten Win-Rechner ohne Internet-Zugang zur Verfügung hat, geht eine Prüfung mit VBA noch viel einfacher, lediglich der Autostart der malware muss mit "application.AutomationSecurity" abgeschaltet und der "Zugriff auf das VBAProject" aktiviert werden.


Hat jemand Interesse, das in "real live" mit einem Mail-Server zu testen?


Je nach Fähigkeit im Programmieren dauert die Entwicklung des Codes ca. 1 Stunde ++. Gerne stelle ich auch meinen Test-Code als Beispiel zur Verfügung.


PS:
Auch wenn durch Aktionen der US-Regierung und Microsoft es z.Zt fast keine MS-Office Viren mehr gibt, ist es unwahrscheinlich, dass es so bleibt.
Es bleibt nur die Frage, warum weder M$ noch die AV-Dienstleister solche Prüfungen der ZipStruktur zeitnah anbieten.
Beispiel: https://www.clever-excel-forum.de/Thread-VBA-Viren-Scanner?pid=210994#pi ...

Content-Key: 612362

Url: https://administrator.de/contentid/612362

Ausgedruckt am: 27.10.2021 um 09:10 Uhr

Mitglied: wiesi200
wiesi200 13.10.2020 um 12:32:50 Uhr
Goto Top
Hallo,

das Thema beschäftigt dich ja schon ne Weile. Hast du jetzt eigentlich schon mal geprüft ob sich der Schadcode bei den neuen Office Formaten überhaupt ausführen lässt? Nur weil ich da was reinpacken kann bedeutet das noch nicht das er so ohne weiteres auch was anstellen kann.
Mitglied: ipzipzap
ipzipzap 13.10.2020 um 12:34:26 Uhr
Goto Top
Hallo,

Zitat von @Fennek11:
da es eine öffentlich und kostenlos zugängliche Datenbank für malware gibt, kann sich jeder genügend Beispiele von Word- oder Excel-Dokumente herunterladen und die Dateien analysieren.

wo gibt es denn so eine Datenbank?

cu,
ipzipzap
Mitglied: Fennek11
Fennek11 13.10.2020 um 12:51:43 Uhr
Goto Top
Gute Frage!

Es liegt in der Natur der Sache, dass ich nicht einfach eine Schadware starte. Aber ich habe den Aufruf "Set Shl = CreateObject("Ansatz des Virus") " nachprogrammiert und gesehen, wann meine AV blockt und wann nicht.

Den Powershell-Befehl "Download(url)" habe ich nicht getestet.

Mein Vermutung war, dass Viren-Schreiber vermuten, dass in vielen Ziel-Systemen der Code laufen würde.
Mitglied: Fennek11
Fennek11 13.10.2020 um 12:54:22 Uhr
Goto Top
Alle, die im Bereich IT-Security aktiv sind, kennen Virustotal.com uä. Meine Quelle werde ich nur regelmäßigen Forums-User (Level-2 ++) per PN mitteilen, da man dort direkt Viren laden kann.
Mitglied: ipzipzap
ipzipzap 13.10.2020 aktualisiert um 13:21:31 Uhr
Goto Top
Zitat von @Fennek11:

Alle, die im Bereich IT-Security aktiv sind, kennen Virustotal.com uä. Meine Quelle werde ich nur regelmäßigen Forums-User (Level-2 ++) per PN mitteilen, da man dort direkt Viren laden kann.

Warum diese Heimlichtuerei? Wenn es eine "öffentlich und kostenlos zugängliche Datenbank" ist, ist das doch kein Problem. Und bei Virustotal kann man doch nur Samples hochladen, aber nicht runterladen.

Edit: Und was soll das mit dem Level-2++? Du bist noch nichtmal seit einem Jahr dabei und hast selber Level 1. Ich bin seit 9 Jahren dabei und auch noch Level 1. Was soll der Quatsch?

cu,
ipzipzap
Mitglied: wiesi200
wiesi200 13.10.2020 um 18:02:39 Uhr
Goto Top
Zitat von @Fennek11:

Gute Frage!

Wäre aber eine der ersten und wichtigsten Fragen um zu beurteilen ob der Spaß überhaupt sinnvoll ist.
Mitglied: Guenther45
Guenther45 17.10.2020 um 12:31:18 Uhr
Goto Top
@ Fennek11
Ich finde deine Einstellung absolut okay!

@ all
Wenn sich ein Leser wirklich für das Thema interessiert sollte es ihm auch möglich sein, per Suchmaschine seiner Wahl die gleiche oder eine gleichartige Quelle zu finden wie Fennek11. Und diese Quelle einfach "mal so eben in die Gegend" zu verteilen wird vielleicht den einen oder anderen Gelegenheits-Mitleser auf unschöne Gedanken bringen. - Ein entsprechend hoher Level ist eine ziemliche Garantie für ein entsprechendes Verantwortungsbewusstsein.

Meint
Günther
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server12 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Netzwerktool mit IP-SettingsServer2503Vor 1 TagFrageNetzwerkmanagement4 Kommentare

Hallo zusammen, ich meine aus meiner Schulzeit zu wissen, dass es ein Tool gibt, mit dem ich ein Netzwerkplan (Clients, Switches, Router etc.) samt IP-Einstellungen ...