Montag-Nachmittag gegen 17:30 Uhr trudelte bei uns eine Blockier-Meldung des Panda Adaptive Defense 360-Virenschutzes eines Kunden ein. Der erweiterte Schutz hatte die Ausführung von Powershell durch Word, genauer gesagt ein Makro, unterbunden.
Zu diesem Zeitpunkt wurde die unbekannte Datei noch als “W32/Exploit.gen” benannt, soll bedeuten: (Noch) nicht näher bestimmt. Der ersten Vermutung nach handelt es sich um einen Downloader. Auf Nachfrage beim Kunden kam diese nahezu unglaubliche Geschichte auf den Tisch:
Es kam eine verdächtige E-Mail rein, die Mitarbeiter als auch die Tochter des Chefs weigerten sich, den Anhang, eine Word-Datei, zu öffnen. Daraufhin wurde die Mail auf nachdrückliche Weisung vom Chef an einen bekannten weitergeleitet, der diese auf seinem MAC nicht öffnen konnte. Er speicherte den Anhang auf einen USB-Stick und kam in die Firma. Dort angekommen wurde eine Mitarbeiterin von ihrem PC “verscheucht”, Chef als auch der Bekannte versuchten nun diese Datei zu Öffnen. Selbst bei der Makro-Abfrage wurde schlichtweg zugestimmt und dann Schritt bereits Panda AD360 ein.
Bemerkung am Rande: Der Chef hat keinen eigenen PC.
Application Whitelisting bzw. SRP (Software Restriction Policies, Softwareeinschränkungen) ist bei diesem Kunden konfiguriert, hat aber nicht gegriffen, denn Word bzw. Office als auch die Windows-Bordmittel sind zugelassen. Dieser Ansatz hilft also wenig, wenn die eigenen “Waffen” gegen einen gerichtet werden.
Die Makro-Sicherheit von Office ist bei den Vorgaben geblieben, d.h. vor der Ausführung muss der Anwender explizit zustimmen. An dieser Stelle könnte man Ansetzen und z.B. nur signierte Makros zulassen. Das ist leichter gesagt als getan, wenn von Kunden, Partnern und Lieferanten Office-Dateien mit gewünschten/gewollten Makros reinkommen. Diese kennt man in der Regel, folglich werden keine Makros aus unbekannter Quelle für die Ausführung zugelassen.
Die Mitarbeiter sind sensibilisiert, wie dieses Beispiel deutlich zeigt, aber gegen eine solche “Obrigkeit” ist nahezu kein Kraut gewachsen. Das Ganze hätte freilich völlig anders ausgehen können.
Da im Moment die neueste Petya-Variante für Aufregung, Ärger und Arbeit sorgt, als auch die Angaben bei VirusTotal zu der vorliegenden Datei unter anderem als Zeichensatz “Kyrrilisch” zeigen ist die Vermutung naheliegend, das es in diese Richtung geht als auch der Ursprung in Osteuropa liegen könnte.
Welchen Schädling der Downloader letztlich geladen hätte, lässt sich schwer sagen, denn diese sind wie Wundertüten: Man weiß nie was drin ist. Ausprobieren möchte ich es auf jeden Fall nicht und danke Panda Security für dieses Produkt (keine Werbung, völlig ernst gemeint!).
Ein paar Stunden später wurde der Name übrigens auf “O97M/Downloader” geändert.
Links und Quellen:
tagesschau.de – Weltweite Cyberattacke – Massive Angriffe auf Firmen und Behörden
heise Security – Rückkehr von Petya – Kryptotrojaner legt weltweit Firmen und Behörden lahm
golem.de – Petya-Ransomware: Maersk, Rosneft und die Ukraine mit Ransomware angegriffen
BSI – Erneut weltweite Cyber-Sicherheitsvorfälle durch Ransomware
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Alter Schwede, gut, dass die Firma Dich als Dienstleister hat und Du offensichtlich mit Panda eine gute Wahl getroffen hast. Danke für’s Teilen, das ist ja unglaublich! Hat der “Chef” in den letzten Jahren unter einem Stein gelebt?