{"id":260285,"date":"2021-12-08T05:19:35","date_gmt":"2021-12-08T04:19:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260285"},"modified":"2022-04-08T12:30:08","modified_gmt":"2022-04-08T10:30:08","slug":"excel-xll-addins-fr-malware-installation-missbraucht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/08\/excel-xll-addins-fr-malware-installation-missbraucht\/","title":{"rendered":"Excel XLL-Addins für Malware-Installation missbraucht"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das achte T\u00fcrchen in Borns Security Adventskalender geht auf eine Angriffsmethode \u00fcber Excel XLL-Addins ein. Diese Angriffsmethode ist seit Juli 2021 bekannt und wird von Malware-Gruppen verwendet. Gerade ist mir ein Fall untergekommen, wo \u00fcber diesen Ansatz die RedLine-Malware, die Passw\u00f6rter stiehl, installiert werden sollte.<\/p>\n

Was sind XLL-Dateien?<\/h2>\n

\"\"Dateien mit der Erweiterung XLL sind Excel-Add-ins, die die M\u00f6glichkeit bieten, Tools und Funktionen von Drittanbietern in Microsoft Excel zu verwenden. Man kann das Ganze als DLL-Datei sehen, die aber nur in Excel einsetzbar ist. \u00d6ffnen lassen sich die XLL-Dateien in Excel \u00fcber Datei -> Optionen <\/em>als Add-In.<\/p>\n

Das es sich um Bin\u00e4rdateien handelt, lassen sich dort auch Schadfunktionen einbinden, die dann \u00fcber die Excel-Integration ausgef\u00fchrt werden k\u00f6nnen. Excel fragt zwar, ob es diese Add-In-Datei ausf\u00fchren darf. Stimmt der Anwender zu, kann die XLL-Datei bzw. der Code darin alles machen, was auch eine DLL-Datei kann.<\/p>\n

XLL-Dateien als Malware-Schleuder<\/h2>\n

Der Excel XLL-Add-In-Ansatz erlaubt zwar eine gro\u00dfe Funktionalit\u00e4t bereitzustellen, die sich aber auch als Malware-Schleuder missbrauchen l\u00e4sst. Am 8. Juli 2021 hat Brad Duncan vom Internet Storm Center im Beitrag Hancitor tries XLL as initial malware file<\/a> vor dieser Gefahr gewarnt. Ein Opfer erhielt einen Link in einer Malware-SPAM-Kampagne, \u00fcber den sich eine b\u00f6sartige XLL-Datei herunterladen konnte. Die seit 2013 aktive Hancitor-Malware<\/a> versuchte \u00fcber die XLL-Datei die Cobald Strike-Malware herunterzuladen (siehe folgendes Bild).<\/p>\n

\"Hancitor
\nHancitor-Infektion<\/p>\n

Der Kollege auf nospamproxy.de hat in diesem Artikel<\/a> diesen Ansatz zur Infektion von Malware beschrieben. Abhilfe schafft nur, dass Administratoren XLL-Anh\u00e4nge in Mails blockieren.<\/p>\n

Neue Kampagne installiert Redline-Trojaner<\/h2>\n

Aktuell berichten<\/a> die Kollegen von Bleeping Computer \u00fcber eine neue Kampagne, in der die Redline-Malware zum Stehlen von Passw\u00f6rtern \u00fcber XLL-Dateien verbreitet wird. Die Cyberkriminellem versenden konkret Spam-Mails \u00fcber Website-Kontaktformulare und Diskussionsforen. Ziel ist es, die Opfer zum Herunterladen und Installieren der Excel-XLL-Dateien zu verleiten. Dabei wird die RedLine-Malware zum Stehlen von Passw\u00f6rtern verteilt. Hier einige Ans\u00e4tze, um die XLL-Datei an die Opfer zu bringen:<\/p>\n

Sell us advertising space on your site from $ 500
\nYou can read our terms on the link below
\n*ttps:\/\/drive.google[.]com\/file\/d\/xxx\/view?usp=sharing<\/p>\n

Thanks for using our app. Your payment has been approved.
\nYou can see your payment report on the link below
\n*ttps:\/\/xxx[.]link\/report.xll<\/p><\/blockquote>\n

In allen Ans\u00e4tzen wird ein Link zum Download einer XLL-Datei bereitgestellt. Der Benutzer soll dann die Datei herunterladen und in Excel ausf\u00fchren (installieren) lassen. Die Kollegen haben das grob skizziert<\/a>, im aktuellen Fall wird dann ein WGet-Downloader gestartet, der die JavaBridge32.exe-Datei herunterl\u00e4dt, im Benutzerprofil speichert und als AutoRun in der Registrierung eintr\u00e4gt. Dadurch wird Redline bei jedem Login des Benutzers geladen.<\/p>\n

RedLine selbst ist zuerst ein Trojaner, der in Webbrowsern gespeicherte Cookies, Benutzernamen, Passw\u00f6rter und Kreditkartendaten sowie FTP-Anmeldeinformationen und Dateien von einem infizierten Ger\u00e4t stiehlt. Redline ist aber in der Lage, weitere Malware herunterzuladen und zu installieren. Zudem kann die Malware Screenshots des aktiven Windows-Bildschirms erstellen.<\/p>\n

Details zu dieser Kampagne sind bei den Kollegen von Bleeping Computer in diesem Artikel<\/a> nachzulesen. Gem\u00e4\u00df diesem Microsoft-Dokument<\/a> werden XLL-Dateien als Anhang in Microsoft Outlook standardm\u00e4\u00dfig blockiert. Der Kollege auf nospamproxy.de hat in diesem Artikel<\/a> ebenfalls skizziert, wie man mit deren (kostenpflichtigem) Inhaltsfilter diesen XLL-Datei-Typ in Mails ausfiltern kann. Das verhindert aber nur, dass die XLL-Dateien per Mail-Anhang heruntergeladen werden k\u00f6nnen. In diesem Artikel (admx.help\/?Category=Office2007&Policy=excel12.Office.Microsoft.Policies.Windows::L_Blockopeningofxllfiletypes) wird skizziert, wie das Laden der XLL-Dateien in Office 97 per Richtlinie bzw. FileOpenBlock-Registry-Eintrag verhindert werden kann.<\/p>\n

Artikel des Security-Adventskalenders
\n<\/strong>1.\u00a0Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2.\u00a0Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3.\u00a0Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4.\u00a0Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5.\u00a0BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6.\u00a0Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7.\u00a0Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8.\u00a0Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9.\u00a0Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10.\u00a0Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11.\u00a0Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12.\u00a0Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13.\u00a0Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14.\u00a0Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15.\u00a0Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16:\u00a0H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n17:\u00a0Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18:\u00a0Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das achte T\u00fcrchen in Borns Security Adventskalender geht auf eine Angriffsmethode \u00fcber Excel XLL-Addins ein. Diese Angriffsmethode ist seit Juli 2021 bekannt und wird von Malware-Gruppen verwendet. Gerade ist mir ein Fall untergekommen, wo \u00fcber diesen Ansatz die RedLine-Malware, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[3548,1018,4322,4328],"class_list":["post-260285","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-excel","tag-malware","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260285"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260285\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}