• Home

  • Documents

  • Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1)...
27
Malicious documents to pwn a company 16.11.2018

Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

  • Upload
    others

  • View
    9

  • Download
    2

Embed Size (px)

Citation preview

Page 1: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Malicious documents to pwn a company

16.11.2018

Page 2: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

whoami

2

Rene OffenthalerMaster Information Security @ FH St.PöltenResearch Assistent @ Josef-Ressel Zentrum Produktverantwortlicher TrackdownService @ CyberTrap

Julian LindenhoferMaster Information Security @ FH St.PöltenBachelor Wirtschafts-und Sozialwissenschaften @ WU Wien Research Assistent @ Josef-Ressel Zentrum ProduktverantwortlicherTrackdownService @ CyberTrap

Page 3: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Gefahrenpotential von Dokumenten

3

Quelle: https://www.computerweekly.com/news/252437736/Microsoft-Word-document-and-zero-day-attacks-on-the-rise, 28.03.2018

Quelle: https://researchcenter.paloaltonetworks.com/2018/07/unit42-threat-brief-office-documents-can-dangerous-well-continue-use-anyway, 24.07.2018

Quelle: https://www.sophos.com/en-us/security-news-trends/security-trends/the-rise-of-document-based-malware.aspx

Page 4: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Köderdokumente Intranet

4

(1) – Köderdokumente am lokalen Share auslegen

(2) – Potentieller Maulwurf entwendet Dokument

(3) – Potentieller Maulwurf öffnet das Dokument

(4) – Kommunikation mit Sensor wird abgewickelt

Page 5: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

KöderdokumenteInternet

5

(5) Maulwurf leakt Dokumente

(6) Mr. X öffnet Dokument und wickeltKommunikation mit Sensor ab

Page 6: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

ProblemstellungMicrosoft Office

Hoher Bekanntheits- und Beliebtheitsgrad

Office Dokumente sind vertraute Dateiformate

Mehr Features = mehr mögliche Angriffspunkte

Seit Office 2007 als Containerformat (Office-Open-XML)

6

Page 7: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

subDoc Feature

7

Masterdokument enthält mehrere Subdokumente

Bearbeitung der Subdokumente auch im Master möglich

Subdokument mittels externem Link eingebettet

Page 8: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

XML Manipulation

8

Originale Version des XML Files

Manipulierte Version des XML Files

SMB Kommunikation bei Öffnen des Files

Page 9: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis des Angriffes (1)

9

PW: 1234

Gesammelte Informationen

IP Adresse

Username

Domainname

Passworthash

Passwortcrack bei zu einfach gewähltem Passwort

Page 10: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis des Angriffes (2)

10

Page 11: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Folgen

Sämtliche 1-Faktor Authentifizierungen betroffen

„Credential Stuffing“Zugriffsautomatisierung bei Onlinediensten mithilfe der gestohlenen Credentials

Besondere Gefahr für SSO – VPN Systemen

11

Page 12: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Angriff auf Energiesektor

12

Page 13: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Angriffe auf das Hostsystem

13

Page 14: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

PDF „das“ Austauschformat schlechthin

riesiger Funktionsumfang

gewachsenes Format

differenzierte Standardimplementierung

viele unterschiedliche Client-Applikationen

14

Page 15: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Aktionen Im Standard definiert

Für Formulare und Userbilityzwecke konzipiert

GoToR – in externens Dokument springen

Launch – Programme ausführen

URL – Zugriff auf Webseiten

JavaScript

15

Page 16: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Trigger Reagieren auf Events

Einstiegspunkte für weitere Funktionen

Kombination mit Aktionen

OpenAction – beim Öffnen des Dokuments

AA – beim Öffnen der ersten Seite

16

Page 17: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis und Folgen (1)

Launch → beliebige Programmausführung

17

Page 18: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis und Folgen (2)

Sicherheitsfeatures gegen Standardfunktionen

Standard nicht komplett implementiert

18

Page 19: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Microsoft Office Attacken

Angriffe via Makros

Angriffsmethode DDEAUTODynamic Data Exchange

Datenaustausch zwischen Programmen

DDE darf Programme ausführen

19

Page 20: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis und Folgen (1)

20

Page 21: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Ergebnis und Folgen (2)

21

Sicherheitsupdate im Dezember 2017

Dynamic Data Exchange manuell aktivieren in Excel

Für DDE in Microsoft Word → Registry Key setzen

Page 22: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Manipulation des Inhaltes

22

Page 23: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

App-basierter Content (1)

Gleiches Dokument – unterschiedlicher Inhalt?

Unterschiedliche Implementierung des Standards

JS Unterstützung ja/nein?

Adobe Javascript: Privileged – None privileged

Nicht einheitlich

23

Page 24: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

24

App-basierter Content (2)

Page 25: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Findings & Fazit

Maulwurf CEO Assistent

Software nicht gepatcht

Unterschiedliche PDF Applikationen

Dokumente sind aktiv

Sicherheitsmaßnahmen teilweise nicht ausreichend

Unterschiedliche Angriffsvektoren

Unsicherheit by Design

JEDER ist betroffen

25

Page 26: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Danke für Ihre Aufmerksamkeit! Fragen?

CyberTrap Software GmbH

Eßlinggasse 7/3A-1010 Vienna

T: +43 1 8904700E: [email protected]: https://cybertrap.com

26

JRZ St. Pölten

Matthias Corvinus-Straße 15A-3100 St. Pölten

T: +43/2742/313 228-200E: [email protected]: https://www.jrz-target.at/

Page 27: Malicious documents to pwn a company - itsecx.fhstp.ac.at · Köderdokumente Intranet 4 (1) –Köderdokumente am lokalen Share auslegen (2) –Potentieller Maulwurf entwendet Dokument

Referenzenhttps://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/

ISO 32000-1:2008

Adobe PDF Javascript Referenz

https://pixelprivacy.com/resources/reusing-passwords/

https://www.searchsecurity.de/meinung/Passwoerter-Der-groesste-Risikofaktor-in-der-IT-Sicherheit

https://www.borncity.com/blog/2017/12/13/patchday-office-sicherheitsupdates-12-dezember-2017/

https://blog.to.com/ms-office-feature-dde-fluch-oder-segen/#

https://researchcenter.paloaltonetworks.com/2018/07/unit42-threat-brief-office-documents-can-dangerous-well-continue-use-anyway/

https://www.computerweekly.com/news/252437736/Microsoft-Word-document-and-zero-day-attacks-on-the-rise

http://www.ksteam.de/word-dde-aktivieren.html27


CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild

CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild

Documents
Malicious Software for Smartphones - DAI-Labor

Malicious Software for Smartphones - DAI-Labor

Documents
Viren, Würmer und Trojaner - AV-TEST · PDF fileBegriffe (I) lMalware = Oberbegriff (Malicious Software) – Per Intention schädliche Software – Umgangssprachlich oft mit „Viren“

Viren, Würmer und Trojaner - AV-TEST · PDF fileBegriffe (I) lMalware = Oberbegriff (Malicious Software) – Per Intention schädliche Software – Umgangssprachlich oft mit „Viren“

Documents
Umfassende Content Security Sicheres Web-Browsing Anti ... · Laut Analysten betrug im Jahr 2004 der finanzielle Schaden durch Content Security Verletzungen, inklusive Malicious Code,Viren,Trojaner,

Umfassende Content Security Sicheres Web-Browsing Anti ... · Laut Analysten betrug im Jahr 2004 der finanzielle Schaden durch Content Security Verletzungen, inklusive Malicious Code,Viren,Trojaner,

Documents
Intelligent Cyber Defense System - CEUR-WS.orgceur-ws.org/Vol-1614/paper_118.pdf · 2016-06-25 · unseen cyber attacks (malicious code, intrusion detection, etc.). The mechanism

Intelligent Cyber Defense System - CEUR-WS.orgceur-ws.org/Vol-1614/paper_118.pdf · 2016-06-25 · unseen cyber attacks (malicious code, intrusion detection, etc.). The mechanism

Documents
Christian Schromm (christian@schromm-net.de)€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen

Christian Schromm ([email protected])€¦ · (Distributed) Denial of Service: DoS/DDoS Malicious Software Ausnutzung von Fehlern (Exploits) Manipulieren/Abhören von IP-Paketen

Documents
Malicious Software for Smartphones - DAI-LaborMalware, e.g. like virus, worms and Trojan horses have been threats to computer systems for many years, so, it was only a question of

Malicious Software for Smartphones - DAI-LaborMalware, e.g. like virus, worms and Trojan horses have been threats to computer systems for many years, so, it was only a question of

Documents
Vom “Need-to-Know” zum “Need-to-Share”itsecx.fhstp.ac.at/wp-content/uploads/2013/11/Kiesling-Tobias_Keynote.pdf© 2013 Cassidian Cybersecurity - All rights reserved Einleitung

Vom “Need-to-Know” zum “Need-to-Share”itsecx.fhstp.ac.at/wp-content/uploads/2013/11/Kiesling-Tobias_Keynote.pdf© 2013 Cassidian Cybersecurity - All rights reserved Einleitung

Documents
SEC Consult Zukunftsstiftung Mobile Security...Mobile Botnets – Für Distributed Denial of Service (DDoS) Angriffe. Industriespionage – Informationen welche mobilen Geräte entwendet

SEC Consult Zukunftsstiftung Mobile Security...Mobile Botnets – Für Distributed Denial of Service (DDoS) Angriffe. Industriespionage – Informationen welche mobilen Geräte entwendet

Documents
Deutschland | 4,50 | Ausgabe 1/10 „Einguter Jahrgang.“...Greuther Fürth demnächst “Trolli-Arena“ heißt. Aber der Kosename der Rebe wurde nicht etwa von den Franken entwendet,

Deutschland | 4,50 | Ausgabe 1/10 „Einguter Jahrgang.“...Greuther Fürth demnächst “Trolli-Arena“ heißt. Aber der Kosename der Rebe wurde nicht etwa von den Franken entwendet,

Documents
Forensik in der Cloud: Eine Vorhersage für forensische ...itsecx.fhstp.ac.at/downloads_2012/01_poisel.pdf · Forensik in der Cloud: Eine Vorhersage für forensische Untersuchungen

Forensik in der Cloud: Eine Vorhersage für forensische ...itsecx.fhstp.ac.at/downloads_2012/01_poisel.pdf · Forensik in der Cloud: Eine Vorhersage für forensische Untersuchungen

Documents
Forschungsbericht - Forum Privatheit€¦ · 04.05.2019  · dem Portal nach einem Hacking-Angriff die Passwörter, E-Mail-Adressen und Pseudo-nyme von rund 330.000 Nutzern entwendet

Forschungsbericht - Forum Privatheit€¦ · 04.05.2019  · dem Portal nach einem Hacking-Angriff die Passwörter, E-Mail-Adressen und Pseudo-nyme von rund 330.000 Nutzern entwendet

Documents