Skoči na vsebino

SI-CERT TZ007 / VelvetSweatshop

Leta 1989 je bil v časopisu Seatle Times objavljen članek z naslovom “Inside Microsoft: A ‘Velvet Sweatshop’ or a High-Tech Heaven?” ki opisuje takratne razmere v podjetju Microsoft:

“… has a lot of nice qualities to it and the company does many things to create a pleasant environment, work definitely comes first. It’s a velvet sweatshop.” – Paul Andrews, 1989

Podjetje je zaposlenim že takrat nudilo številne ugodnosti, o katerih so drugi lahko le sanjali, a po drugi strani je bil že očiten tudi posreden pritisk v prekomerno delo, ki je lahko vodil do neprijetnih posledic in izgorelosti. Sam termin se je na koncu prijel tudi med zaposlenimi v podjetju Microsoft.

Verjetno se je do sedaj že kdo vprašal, če smo se na SI-CERT morebiti začeli ukvarjati tudi s problemom izgorevanja zaposlenih oz. kako je naše področje dela povezano z zapisanim. No, do tega še pridemo.

Zaščita MS Office Excel dokumentov

Excel omogoča, da dokumente pred nepooblaščenim pregledovanjem in/ali urejanjem zaščitimo z geslom. Če recimo želimo, da je nek dokument na voljo le za pregled, ne dovolimo pa spreminjanja vsebine, lahko list (sheet) zaklenemo. Možnost zaklepa pa je na voljo tudi brez tega, da določimo geslo. V ta namen so Microsoftovi razvijalci uporabili bližnjico in vgradili fiksno geslo (hardcoded password). Verjetno na tej točki že sumite, katero geslo so v ta namen izbrali – “VelvetSweatshop“. Ob zaklepu pa se na tak način zaščiten Excel dokument tudi zašifrira, vgrajeno geslo pa ob odpiranju dokumenta poskrbi za dešifriranje vsebine brez potrebe po interakciji uporabnika.

Primer Excel dokumenta z zaščitenimi celicami brez nastavljenega gesla iz katerega je razvidno, da je dokument šifriran
Primer Excel dokumenta z zaščitenimi celicami brez nastavljenega gesla iz katerega je razvidno, da je dokument šifriran

Če na tej točki začnemo razmišljati kot nekdo, ki se ukvarja z informacijsko varnostjo, se kaj hitro porodi vprašanje, ali je opisano mogoče izkoristiti v škodo uporabnika. Odgovor je seveda pritrdilen. Takšno šifriranje (pa čeprav z vedno istim geslom) se namreč izkaže kot dokaj učinkovit način dostave škodljive kode na sisteme uporabnikov, saj večina protivirusnih programov (še) ne poskusi znanih gesel pri pregledu pošte. Šifriranje poskrbi, da se uspešno zakrijejo vzorci, ki jih protivirusniki iščejo.

Analiza šifrirane Excel datoteke s škodljivo vsebino

V postopku statične analize ugotovimo, da gre v primeru obravnavanega vzorca za šifrirano Composite Document File V2 datoteko (CDFv2), končnica datoteke pa nakazuje da gre za MS Excel dokument.

Koda CDFv2 format
CDFv2 format omogoča shranjevanje večjega števila različnih datotek in podatkovnih tokov znotraj ene datoteke. Omenjeni format je bil razvit s strani podjetja Microsoft in je med drugim integriran tudi v MS Office paket.

Z nadaljnjo analizo in izpisom komponent Excel dokumenta potrdimo, da dokument vsebuje šifrirano vsebino:

Izsek kode
V delu “5:  EncryptedPackage ” se nahaja šifrirana vsebina, razvidna pa je tudi njena velikost, del “6: EncryptionInfo” pa vsebuje parametre šifriranja.
Bolj podroben pogled komponent Excel dokumenta
Bolj podroben pogled komponent Excel dokumenta

Da bi razkrili namen datoteke in opravili nadaljnjo analizo, je vsebino potrebno dešifrirati. V prvem koraku preverimo, ali je morebiti ta šifrirana z uporabo katerega od nam znanih gesel, ki smo jih pridobili v prej obravnavanih primerih škodljive kode oz. ali so napadalci za šifriranje vsebine datoteke izbrali geslo, ki je bil povod za ta članek – VelvetSweatshop.

Izsek kode, ki prikazuje, da so napadalci za geslo uporabili Velvetsweatshop
Napadalci so za šifriranje uporabili geslo “Velvetsweatshop”

S tem geslom dešifriramo dokument in nadaljujemo z analizo.

Izserk kode, ki prikazuje, kako smo z geslom dešifrirali dokument
Z geslom dešifriramo dokument

Izpis komponent dešifriranega Excel dokumenta sedaj pokaže, da ta vsebuje vgrajeno binarno kodo “oleObject1.bin“:

Izsek, kode, ki prikazuje, da dokument vsebuje vgrajeno binarno kodo
Dokument vsebije vgrajeno binarno kodo

Čaka nas le še ekstrakcija binarne datoteke in njena analiza, ki je pokazala, da se obravnavan Excel dokument izkorišča v namen dostave Remote Access trojanskega konja (RAT).

Škodljiva koda se po odpiranju datoteke izvede na podlagi ranljivosti komponenete Microsoft Equation Editor, ki je del MS Office paketa. Ranljivost omogoča izvajanje poljubne kode s pravicami aktivnega uporabnika preko nepravilne obravnave objektov v pomnilniku (Microsoft Office Memory Corruption). Omenjena ranljivost nosi CVE-ID oznako “CVE-2017-11882“, popravek, ki to ranljivost odpravlja, pa je bil izdan že leta 2017.

Zaključek

Tudi v tem primeru se napadalci ob izkoriščanju znanih ranljivosti v programski opremi poslužujejo vgrajenih funkcionalnosti v legitimni programski opremi. V tem primeru so eno od možnosti v funkciji zaščite vsebine Excel dokumentov uporabili v namen zakrivanja škodljive kode. To pa predvsem zaradi zmanjšanja možnosti zaznave s strani protivirusnih programov in drugimi zaščitnimi mehanizmi na omrežju. Okužba sistema uporabnika tako zahteva le odprtje takšnega dokumenta, ki se običajno dostavi v obliki priponke el. sporočila. Obravnavani Excel dokument se uporablja za dostavo Remote Access Trojanca (RAT), enega takšnih smo opisali v zapisu na naslovu https://www.cert.si/tz005/. Seveda pa uporaba tako izdelanega dokumenta ni omejena le na dostavo RAT orodij, ampak se na ta način lahko na sistem uporabnika dostavi katerakoli oblika škodljive kode.

Preberite tudi

Virusi s podpisi slovenskih podjetij

Eden od ukrepov, ki nas ščiti pred škodljivo ali zlonamerno kodo na računalnikih, je njeno digitalno podpisovanje. Če operacijski sistem ne najde podpisa avtorja programske kode, overjenega s strani priznanega …
Več

DMCA: zahtevajte umik ukradenih vsebin s spleta

Kako doseči odstranitev ukradenih slik ali phishing strani, kadar se sporno spletno mesto nahaja v ZDA?
Več

Največji napad z izsiljevalskim virusom izkorišča Kaseya VSA platformo

2. julija 2021 se je pričel odvijati največji napad z izsiljevalsko škodljivo kodo (ransomware), ki ga je izvedla kriminalna združba REvil. Uporabili so 0-day ranljivost (CVE-2021-30116) v platformi za uporavljanje …
Več