Knowbe4

Manipulierte VHD-Dateien werden von Windows- und AV-Engines ignoriert

Manipulierte VHD-Dateien werden von Windows- und AV-Engines ignoriert

Festplatten-Images und Zip-Dateien

Dieser beunruhigende Befund eines CERT-Security-Forschers zeigt, wie Angreifer bösartige Dateien in einem VHD-Image (Virtual Hard Disk) verschlüsseln können, dass sich wie ein ZIP-Archiv verhält.

Es ist weit verbreitet, dass ein Phishing-Angriff eine ZIP-Datei als Anhang enthält. Das potenzielle Opfer muss nur noch darauf doppelklicken, den Inhalt im Explorer anzeigen und auf die beigefügte (und schädliche) Datei doppelklicken.

Unter Windows erhalten Dateien, die von einem Online-Speicherort abgerufen werden, eine Webmarkierung. Dadurch wird das Betriebssystem angewiesen, der Datei eine eingeschränkte Vertrauenswürdigkeit zuzuweisen und diese mit Vorsicht zu behandeln. Dateien eines ZIP-Dateityps fallen in diese Kategorie. Windows kann daher Betriebssystem- und Office-Warnungen anzeigen, wenn es den Eindruck hat, dass die Datei schädlich sein könnte.

Der CERT-Forscher Will Dormann stellte jedoch fest, dass VHD- und VHDX-Dateien, die mit dem Windows-OS fast wie mit einer ZIP-Datei interagieren, nicht auf die gleiche Weise behandelt werden. Stattdessen geht Windows davon aus, dass es sich angeblich um ein Festplatten-Image für eine VM handelt und daher harmlos sein muss (oder?).

Im folgenden Video wird gezeigt, dass das Windows-Betriebssystem nicht auf eine schädliche, manipulierte VHD-Datei, im Vergleich zu einer Zip-Datei, anspricht. Dorman verwendete zu Anschauungszwecken eine EICAR-Standarddatei, um die Virenerkennung auszulösen.

Phishing-Versuche, die eine VHD-Datei als Ersatz für ein ZIP-Archiv verwenden, könnten daher mit ihrem Angriff einige Sicherheitsmechanismen aushebeln. Daher sollte der Benutzer die letzte Verteidigungslinie sein. Dazu müsste er aber über entsprechendes Wissen und die Aufmerksamkeit verfügen, um nicht auf einen Anhang oder Link zu klicken, der in erster Linie verdächtig aussieht. Regelmäßige Security Awareness Trainings sind dabei ein wichtiger Bestandteil um den Security-Level eines Unternehmens in die Höhe zu treiben.

Während ein VHD-basierter Angriff bisher noch nicht weit verbreitet war, stehen Dormanns Erkenntnisse nun jedem Cyberkriminellen zur Verfügung. Höchste Zeit also, diese VHD-Erweiterung in den E-Mail-Filter einzufügen und diese in den Spam-Ordner zu verdammen.

Security Awareness von Knowbe4