Laut Malware Bazaar ist aktuell der „Quakbot“ weit verbreitet. Diese ursprünglich als Banking Trojaner konzipierte Malware ist schon seit über 10 Jahren aktiv, wurde immer wieder angepasst und stiehlt mittlerweile auch andere wertvolle Informationen. Per Mail wird dem Opfer je nach Version ein Word Dokument oder in einem Zip Archiv ein VBS Script zugeschickt.

Öffnet ein Benutzer das Word Dokument, so wird er darauf aufmerksam gemacht, dass er doch bitte Makros aktivieren soll. Falls er dies tut, wird im Hintergrund der nächste Teil der Malware nachgeladen und schliesslich ausgeführt. Dieser installiert einen Scheduled Task für Persistenz, verbreitet sich per SMB im lokalen Netzwerk, sammelt Daten und exfiltriert diese schliesslich zu einem externen Server per http.

Im Falle vom VBS Anhang kann dieser direkt ausgeführt werden, die 2nd Stage wird nachgeladen und die Infektion nimmt ihren Lauf.


Schutzmassnahmen

Neben mehr oder weniger ausgeklügelten Schutzmassnahmen auf dem PC durch bekannte Endpoint Protection und Detection Lösungen gibt es ein paar einfache Massnahmen, die natürlich nicht gegen jeden durchdachten gezielten Angriff, aber doch gegen viele Infektionen schützen.

    • Content Filter auf dem Mail Gateway: Wenn man auf dem Mail Gateway alle potentiell gefährlichen Anhang-Typen rausfiltert, werden viele Infektionen schon im Keim unterbunden.  Exe, vbs, cab, doc, usw. und alle Dokumente, welche Makros enthalten, sollten blockiert und in eine Quarantäne verschoben werden. Was nicht beim Client ankommt, kann dort auch nicht ausgeführt werden.
    • Word: Makros generell oder zumindest unsignierte Makros per GPO verbieten, so dass ein unbedarfter User diese nicht einfach so ausführen kann.
    • Im Falle von VBscript kann die Ausführung durch AppLocker verhindert oder der Windows Script Host gleich komplett disabled werden.
    • Durch Application Whitelisting kann das Ausführen von Executables aus temporären Pfaden und dem Download Ordner verboten werden.
    • Proxy: Sollte dennoch ein Malware Loader ausgeführt worden sein, so kann man auf dem Proxy active content und ausführbare Datei-Typen unterbinden und per URL Filter und Risk Scores Zugriffe auf verdächtige Domains blockieren.
    • Auch DNS Filter bieten ähnlich wie URL Filter einen Schutz vor Zugriff auf fragwürdige Domains, wenn auch weniger granular und auch nur, wenn überhaupt ein DNS Lookup gemacht wird.

Fazit

All die oben erwähnten Massnahmen bieten keinen 100 prozentigen Schutz, all diese können mehr oder weniger leicht umgangen werden. Aber sie gehören zur Grund-Hygiene, welche einen vor vielen Infektionen schützt – wie aktuell das Händewaschen und Abstand halten. Kann aber der Mindestabstand vor Malware auf dem Endpoint nicht eingehalten werden, so sind weitere Schutzmassnahmen nötig (Gesichtsmasken, EDR, erweiterte Massnahmen auf Gateway und Endpoint). Besonders gefärdete Systeme sollten zusätzlich geschützt und isoliert werden (Network Segmentation, air-gapped networks, um nur einige zu nennen.) Dennoch sollte dabei die Grund-Hygiene nicht vergessen gehen.