{"id":262182,"date":"2022-02-02T09:14:56","date_gmt":"2022-02-02T08:14:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262182"},"modified":"2022-02-02T18:57:52","modified_gmt":"2022-02-02T17:57:52","slug":"schdliche-csv-dateien-knnen-bazarbackdoor-installieren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/02\/schdliche-csv-dateien-knnen-bazarbackdoor-installieren\/","title":{"rendered":"Schädliche CSV-Dateien können BazarBackdoor installieren"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Cyber-Kriminelle haben einen Weg gefunden, textbasierende CSV-Dateien zu missbrauchen, um auf Systemen der Opfer die BazarBackdoor-Malware zu installieren. Sicherheitsforscher sind wohl bei der \u00dcberwachung einer Phishing-Kampagne auf diesen Sachverhalt gesto\u00dfen. Verantwortlich ist die M\u00f6glichkeit, aus CSV-Dateien die Dynamic Data Exchange (DDE)-Funktion aus Microsoft Excel heraus anzusprechen. Ich nehme den Fall mal hier im Blog mit auf, damit Administratoren in Firmenumgebungen ggf. darauf reagieren k\u00f6nnen.<\/p>\n

<\/p>\n

CSV-Dateien sind doch nur Textinhalte …<\/h2>\n

\"\"Das K\u00fcrzel CSV steht f\u00fcr Comma Separated Values, und es ist ein Textformat zur Speicherung oder zum Austausch von Werten. Nachfolgend ist ein solches Beispiel f\u00fcr den Inhalt einer CSV-Datei zu sehen.<\/p>\n

Stunde,Montag,Dienstag,Mittwoch,Donnerstag,Freitag\r\n1,Mathematik,Deutsch,Englisch,Erdkunde,Politik\r\n2,Sport,Deutsch,Englisch,Sport,Geschichte\r\n3,Sport,\"Religion (ev., kath.)\",Kunst,,Kunst<\/pre>\n
Aus Excel k\u00f6nnen Tabellendaten in CSV-Dateien exportiert und auch wieder importiert werden. Obiger Datensatz aus einer CSV-Datei wird nach dem Import in Microsoft Excel folgenderma\u00dfen dargestellt.<\/p>\n
\"CSV-Import<\/p>\n
Da das Ganze ja rein textbasiert ist, wurde die Gefahr f\u00fcr einen Missbrauch durch den Export und Import (zumindest von mir) recht gering eingestuft. Aber ich hatte die Rechnung ohne den Wirt, n\u00e4mlich Microsoft Excel gemacht.<\/p>\n
DDE als Gefahr in Microsoft Excel<\/h2>\n
Es ist leider m\u00f6glich, beim Import einer CSV-Datei die Dynamic Data Exchange (DDE)-Funktion aus Microsoft Excel heraus anzusprechen. Und damit \u00f6ffnet sich die B\u00fcchse der Pandora. Chris Campbell<\/a>, ein Sicherheitsforscher aus Neuseeland ist auf eine neue Phishing-Kampagne der Cyber-Kriminellen, die die Bazar-Loader-Backdoor auf Opfer-Systeme schleusen, aufmerksam geworden.<\/p>\n
\"Phishing-Mail\"<\/a><\/p>\n
Obiger Tweet<\/a> zeigt eine solche Phishing-Mail und weist darauf hin, dass dort eine sch\u00e4dliche URL den BazarBackdoor-Loader initiiert.<\/p>\n
Details aufbereitet<\/h2>\n
Die Kollegen von Bleeping Computer habe es in folgendem Tweet<\/a> aufgegriffen und hier<\/a> n\u00e4her erl\u00e4utert.<\/p>\n
\"BazarBackdoor<\/a><\/p>\n
Die an eine Phishing-Mail angeh\u00e4ngte Datei document-21966.csv <\/em>enth\u00e4lt einen WmiC-DDE-Aufruf, der beim Export der CSV-Datei in Excel ausgef\u00fchrt wird. Dieser DDE-Aufruf aktiviert die PowerShell, die dann Daten in die Arbeitsmappe importieren k\u00f6nnte. Im konkreten Fall wird eine externe URL ge\u00f6ffnet, die dann einen weiteren PowerShell-Befehl benutzt, eine Datei picture.jpg<\/em> herunterzuladen und als:<\/p>\n
C:\\Users\\Public\\87764675478.dll<\/p>\n
zu speichern. Bis zum Download der Datei sieht alles noch alles recht harmlos aus – auch wenn beim Speicher bereits alle Alarmglocken l\u00e4uten sollten – aber ein normaler Anwender bekommt davon nichts mit. Dann wird in einem weiteren Schritt die heruntergeladene Datei 87764675478.dll per rundll32.exe<\/em>-Befehl ausgef\u00fchrt. Mit diesem Schritt wird dann der BazaarLoader heruntergeladen, der dann die BazaarBackdoor und weitere Schadfunktionen auf dem System des Opfers installiert.<\/p>\n
Bei der BazarBackdoor handelt es sich um eine Hintert\u00fcr, die von einer Malware-Familie zum Zugriff auf infizierte Systeme eingerichtet wird. Laut dieser Fraunhofer-Webseite<\/a> wird die Backdoor dem TrickBot Spin-off Anchor zugeschrieben. Trend Micro hat bereits im April 2020 darauf hingewiesen<\/a>, dass die TrickBot-Gruppe die BazarBackdoor einsetzt.<\/p>\n
Der oben skizzierte Ansatz zeigt eine neue M\u00f6glichkeit, die Infektionswege zu verschleiern. Weitere Details zu den Details lassen sich bei Bleeping Computer in diesem Artikel<\/a> nachlesen. Die Kollegen schreiben auch, dass Microsoft Excel den Nutzer beim Import der CSV-Datei und nochmals vor dem Aufruf der WmiC-Funktion auf die gefundenen Sicherheitsrisiken hinweist. Aber es gibt Leute, die das alles best\u00e4tigen und zulassen. Ist die Backdoor installiert, bekommen die Cyber-Kriminellen Zugriff auf das System und auf das Unternehmensnetzwerk. Dort k\u00f6nnen sie \u00fcber weitere Malware Daten abziehen oder weitere Sch\u00e4den (auch per Ransomware-Infektion) anrichten.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Cyber-Kriminelle haben einen Weg gefunden, textbasierende CSV-Dateien zu missbrauchen, um auf Systemen der Opfer die BazarBackdoor-Malware zu installieren. Sicherheitsforscher sind wohl bei der \u00dcberwachung einer Phishing-Kampagne auf diesen Sachverhalt gesto\u00dfen. Verantwortlich ist die M\u00f6glichkeit, aus CSV-Dateien die Dynamic Data Exchange … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-262182","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262182"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262182\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}