Malware
Backdoor-Variante infiziert Word-Dokumente und PDFs
Sicherheitsforscher stießen auf Asruex in einer PDF-Datei und stellten fest, dass eine Variante der Malware auch als Infector fungieren kann, insbesondere durch die Ausnutzung alter Schwachstellen.
Save to Folio
Originalbeitrag von Ian Mercado and Mhica Romero
Asruex wurde 2015 zum ersten Mal gesichtet und ist bekannt für seine Backdoor-Funktionen und die Verbindung zur Spyware DarkHotel. Nun stießen die Sicherheitsforscher auf Asruex in einer PDF-Datei und stellten fest, dass eine Variante der Malware auch als Infector fungieren kann, insbesondere durch die Ausnutzung alter Schwachstellen wie CVE-2012-0158 und CVE-2010-2883, die Code in Word- bzw. PDF-Dateien injizieren.
Die Ausnutzung alter, gepatchter Schwachstellen könnte darauf hinweisen, dass die Autoren der Variante davon ausgingen, ihre potenziellen Opfer haben ältere Versionen von Adobe Reader (Versionen 9.x bis vor 9.4) und Acrobat (Versionen 8.x bis vor 8.2.5) unter Windows und Mac OS X verwendet.
Aufgrund dieser einzigartigen Fähigkeit, Infektionen betreffend, kann es passieren, dass Sicherheitsforscher nicht auf den Gedanken kommen, Dateien auf eine Asruex-Infektion zu überprüfen und weiterhin ausschließlich auf ihre Backdoor-Fähigkeiten zu achten. Das Wissen um diese neue Infektionsmethode könnte Anwendern helfen, sich gegen die Malware-Variante zu wehren.
Die technischen Details zur Funktionsweise der Malware liefert der Originalbeitrag.
Sicherheitsempfehlungen
Natürlich besteht die beste Verteidigung gegen die Bedrohung darin, die Anwendungen immer auf aktuellem Stand zu halten. Wenn jedoch Patching und Updating nicht immer möglich ist, so sollten Unternehmen als Sicherheitsmaßnahme Virtual Patching in Betracht ziehen als zusätzlichen Sicherheitsmechanismus zu den Patch-Managementprozessen. Zudem sind die folgenden Best Practices zu empfehlen:
- Scannen von Wechselmedien vor der Ausführung einer Datei, die darauf gespeichert ist,
- Kein Zugriff auf verdächtige oder unbekannte URLs und
- Vorsicht beim Öffnen oder Herunterladen von Mail-Anhängen, vor allem im Fall von unbekannten oder nicht angeforderten Emails.
Anwender und Unternehmen sollten Lösungen mit einem mehrschichtigen Ansatz gegen Bedrohungen ähnlich Asruex einsetzen. Zudem empfiehlt Trend Micro eine Endpoint Applikationskontrolle, die die Angriffsfläche reduziert, indem sie sicherstellt, dass nur Dateien, Dokumente und Updates installiert, heruntergeladen oder geöffnet werden, die zu Anwendungen und Sites in der Whitelist gehören.
Endpoint-Lösungen die durch Trend Micro XGen™ Security unterstützt werden, wie Trend Micro™ Security und Trend Micro Network Defense können die mit den Bedrohungen zusammenhängenden bösartigen Dateien und URLs erkennen und die Systeme der Anwender schützen. Trend Micro™ Smart Protection Suites und Trend Micro Worry-Free™ Business Security haben Funktionen für das Verhaltens-Monitoring und können somit einen zusätzlichen Schutz vor dieser Art der Bedrohung bieten.