{"id":29623,"date":"2023-01-04T12:00:53","date_gmt":"2023-01-04T10:00:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29623"},"modified":"2023-01-04T12:00:53","modified_gmt":"2023-01-04T10:00:53","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/bluenoroff-mark-of-the-web\/29623\/","title":{"rendered":"Mark-of-the-Web bypass"},"content":{"rendered":"

Wenn ein Benutzer versucht, ein per E-Mail versendetes oder von einer Webseite heruntergeladenes Dokument in Office zu lesen, \u00f6ffnet Microsoft Office es normalerweise im gesch\u00fctzten Modus. Dies geschieht mithilfe von Mark-of-the-Web (MOTW), einem der Standardschutzmechanismen von Windows. Er markiert Dateien, die aus dem Internet auf Ihren PC gelangt sind, sodass Anwendungen ihre Quelle kennen und den Benutzer auf m\u00f6gliche Gefahren aufmerksam machen k\u00f6nnen. Man sollte sich jedoch nicht blind auf die Wirksamkeit eines solchen Warnmechanismus verlassen, denn in letzter Zeit haben viele Angreifer damit begonnen, Methoden zur Umgehung von MOTW einzusetzen. Als unsere Experten beispielsweise vor kurzem die Tools der BlueNoroff-Gruppe (die vermutlich zur Lazarus-Gruppe geh\u00f6rt) untersuchten, entdeckten sie, dass diese neue Tricks zur T\u00e4uschung des Betriebssystems angewandt hat.<\/p>\n

So umgeht BlueNoroff den MOTW-Mechanismus<\/h2>\n

Und so funktioniert der Mark-of-the-Web-Mechanismus: Sobald ein Benutzer (oder ein Programm) eine Datei aus dem Netz herunterl\u00e4dt, versieht das NTFS-Dateisystem die Datei mit dem Attribut \u201eaus dem Internet\u201c. Dieses Attribut wird jedoch nicht immer \u00fcbernommen. Wenn Sie ein Archiv herunterladen, erhalten alle darin enthaltenen Dateien dieses Attribut. Ein Archiv ist jedoch bei weitem nicht die einzige M\u00f6glichkeit, eine Datei indirekt zu \u00fcbertragen.<\/p>\n

Die Angreifer der BlueNoroff-Gruppe haben damit begonnen, mit neuen Dateitypen zu experimentieren, um sch\u00e4dliche Dokumente zu \u00fcbermitteln. In einigen F\u00e4llen verwenden sie das .iso-Format, das \u00fcblicherweise f\u00fcr die Speicherung von Images optischer Datentr\u00e4ger verwendet wird. Die andere M\u00f6glichkeit ist eine .vhd-Datei, die normalerweise eine virtuelle Festplatte enth\u00e4lt. Mit anderen Worten: Sie verstecken die eigentliche Nutzlast des Angriffs \u2013 ein T\u00e4uschungsdokument und ein b\u00f6sartiges Skript \u2013 in dem Image oder dem virtuellen Laufwerk.<\/p>\n

Eine detailliertere technische Beschreibung der aktualisierten BlueNoroff-Tools und -Methoden sowie der Indikatoren f\u00fcr eine Kompromittierung finden Sie im Beitrag unserer Experten im Securelist-Blog<\/a>.<\/p>\n

\u00a0<\/p>\n

Wer sind BlueNoroff und wonach suchen sie?<\/h2>\n

Anfang dieses Jahres haben wir bereits \u00fcber die SnatchCrypto-Kampagne<\/a> geschrieben, die darauf abzielt, Kryptow\u00e4hrungen zu stehlen. Aufgrund einer Reihe von Anzeichen glauben unsere Analysten, dass die gleiche BlueNoroff-Gruppe dahinter steckt. Auch die heute beobachteten Aktivit\u00e4ten zielen in erster Linie auf finanziellen Gewinn ab. Die letzte Phase des Angriffs ist \u00fcbrigens die gleiche geblieben \u2013 die Kriminellen installieren eine Backdoor auf dem infizierten Computer.<\/p>\n

Die BlueNoroff-Gruppe hat viele Domains registriert, die Risikokapital- und Investmentgesellschaften sowie gro\u00dfe Banken vorspiegeln. Nach den Namen der Banken und den von den Angreifern verwendeten Scheindokumenten zu urteilen, sind sie derzeit vor allem an Zielen interessiert, die Japanisch sprechen. Mindestens ein Opfer der Gruppe wurde jedoch in den Vereinigten Arabischen Emiraten gefunden. Wie die Praxis zeigt, ist BlueNoroff vor allem an Unternehmen interessiert, die mit Kryptow\u00e4hrungen zu tun haben, sowie an Finanzunternehmen.<\/p>\n

So k\u00f6nnen Sie sicher bleiben<\/h2>\n

Zun\u00e4chst einmal sollten Sie sich von der Illusion verabschieden, dass die in das Betriebssystem integrierten Standardschutzmechanismen ausreichen, um Ihr Unternehmen zu sch\u00fctzen. Der Mark-of-the-Web-Mechanismus kann nicht verhindern, dass ein Mitarbeiter eine aus dem Internet empfangene Datei \u00f6ffnet und ein b\u00f6sartiges Skript ausf\u00fchrt. Damit Ihr Unternehmen nicht zum Opfer der Angriffe von BlueNororff und \u00e4hnlichen APT-Gruppen wird, empfehlen unsere Experten Folgendes:<\/p>\n