Hoe kwaadaardige Word-documenten detectiesystemen omzeilen

Cybercriminelen gebruiken regelmatig Word-documenten om hun malware te verspreiden. De hackers schrijven kwaadaardige code met behulp van macro’s om onder andere ransomware en backdoor trojans te downloaden naar de computer van hun slachtoffers. Om deze reden zijn macro’s standaard uitgeschakeld voor Office-documenten. Met behulp van social engineering kunnen de criminelen echter een hoop computergebruikers overhalen om de macro’s in te schakelen, met alle gevolgen van dien.

Beveiligingsfirma’s gebruiken virtual machines en sandboxingtechnieken om dergelijke documenten te ontdekken. Eenmaal de malware is ontdekt door één van deze bedrijven kan antivirussoftware zijn gebruikers hiertegen beschermen. Dankzij enkele slimme truckjes voorkomen cybercriminelen echter steeds vaker dat hun malware wordt ontdekt.

EnableMacro_social2

Dankzij social engineering lopen veel mensen in de val.

Virtuele machines

Beveiligingsspecialisten van Zscaler hebben verschillende technieken die hackers gebruiken om detectie te voorkomen in kaart gebracht. In de eerste plaats wordt hun kwaadaardige code zo onleesbaar mogelijk gemaakt. Hierdoor kunnen detectiesystemen die op zoek gaan naar bepaalde kenmerken van malware de slechte software niet herkennen.

Verder gebruiken malwareschrijvers verschillende technieken om virtuele omgevingen, waarin beveiligingsspecialisten voornamelijk werken, te detecteren. Een vrij recente truck die wordt toegepast door cybercriminelen is het nakijken van de hoeveelheid recent geopende Word-documenten. Bij de installatie van een virtuele machine wordt Word immers meestal nieuw geïnstalleerd, waardoor er slechts een paar recent geopende documenten zullen zijn.

 

Adres

Een andere techniek die nog maar pas in omloop is geraakt, is het nakijken van het externe IP-adres van de computer. De cybercriminelen kennen een hoop adressen van beveiligingsfirma’s, waardoor ze op deze manier kunnen achterhalen dat het geen gemiddelde gebruiker betreft.

Pas wanneer de kwaadaardige code zich ervan heeft verzekerd dat het niet op een computer van een beveiligingsfirma werd geïnstalleerd, zal het malware beginnen downloaden. Indien de software merkt dat het in handen is gevallen van beveiligingsspecialisten, zal de code worden beëindigd en de malware niet worden gedownload.