Evil Clippy: Assistent versteckt Malware erfolgreich in Office-Dateien

Sicherheit, Office, Evil Clippy Bildquelle: Outflank
Der alte Office-Assistent Clippy erlebt gerade eine kleine Wiederauferstehung bei Nutzern, die ihn in der Originalversion niemals zum Einsatz gebracht hätten. Unter dem Namen "Evil Clippy" gibt es jetzt ein Tool, das dabei hilft, Malware-Makros in Dokumenten zu verstecken und die gängigen Sicherheits-Mechanismen hinters Licht zu führen. Die Software tritt dabei allerdings weniger in ihrer originalen Erscheinung als grafischer Assistent auf und arbeitet auch nicht im Dienste krimineller Banden. Vielmehr hat man es mit einem Tool zu tun, das durchaus bei der Optimierung von Office-Dokumenten hilft, allerdings auf Kommandozeilen-Ebene und im Auftrag von Sicherheits-Forschern und Admins, die ihre eigene Security-Infrastruktur überprüfen wollen.

Überlistet fast alle AV-Scanner

Entwickelt wurde Evil Clippy von Security-Experten von Outflank aus den Niederlanden, die es auf der BlackHat Asia-Konferenz vorgestellt haben. Geschrieben wurde die Software in Visual C# und der Sourcecode ist auf GitHub frei verfügbar. Dort finden sich auch Beispiele und Anleitungen, wie mit dem Werkzeug eigene Schadcodes generiert und möglichst gut getarnt in Office-Files integriert werden können.

Wie effektiv der böse Bruder von Clippy dabei arbeitet, zeigt ein beispielhafter Test einer Word-Datei, in die ein klassischer Makrovirus eingebaut wurde, gegen die diversen AV-Engines beim Dienst VirusTotal. Dort wird der eingebettete Schadcode erst von über der Hälfte der Engines erkannt. Nachdem Evil Clippy aktiv wurde, fällt gerade noch einem AV-Scanner etwas auf.
Evil Clippy vs. VirusTotalAV-Scanner: Vor... Evil Clippy vs. VirusTotal...und nach Evil Clippy
Um Evil Clippy verwenden zu können, muss der auf GutHub zu findende Code mit dem Mono C#-Compiler übersetzt werden. Nach Angaben der Entwickler wurde er als ausführbare Datei sowohl unter Windows als auch unter Linux und MacOS erfolgreich getestet. Die Software sollte Administratoren gute Dienste dabei leisten, ihre Infrastruktur zu testen. Denn Malware-Makros in Office-Dokumenten sind immer noch einer der häufigsten Wege, über die sich Angreifer einen ersten Zugang in eine Firmen-Infrastruktur verschaffen.

Siehe auch: Clippy: Schon frühe Tester hassten 'gruseligen' Office-Assistenten Sicherheit, Office, Evil Clippy Sicherheit, Office, Evil Clippy Outflank
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden