Excel XLL-Addins für Malware-Installation missbraucht

Sicherheit (Pexels, allgemeine Nutzung)[English]Das achte Türchen in Borns Security Adventskalender geht auf eine Angriffsmethode über Excel XLL-Addins ein. Diese Angriffsmethode ist seit Juli 2021 bekannt und wird von Malware-Gruppen verwendet. Gerade ist mir ein Fall untergekommen, wo über diesen Ansatz die RedLine-Malware, die Passwörter stiehl, installiert werden sollte.


Anzeige

Was sind XLL-Dateien?

Dateien mit der Erweiterung XLL sind Excel-Add-ins, die die Möglichkeit bieten, Tools und Funktionen von Drittanbietern in Microsoft Excel zu verwenden. Man kann das Ganze als DLL-Datei sehen, die aber nur in Excel einsetzbar ist. Öffnen lassen sich die XLL-Dateien in Excel über Datei -> Optionen als Add-In.

Das es sich um Binärdateien handelt, lassen sich dort auch Schadfunktionen einbinden, die dann über die Excel-Integration ausgeführt werden können. Excel fragt zwar, ob es diese Add-In-Datei ausführen darf. Stimmt der Anwender zu, kann die XLL-Datei bzw. der Code darin alles machen, was auch eine DLL-Datei kann.

XLL-Dateien als Malware-Schleuder

Der Excel XLL-Add-In-Ansatz erlaubt zwar eine große Funktionalität bereitzustellen, die sich aber auch als Malware-Schleuder missbrauchen lässt. Am 8. Juli 2021 hat Brad Duncan vom Internet Storm Center im Beitrag Hancitor tries XLL as initial malware file vor dieser Gefahr gewarnt. Ein Opfer erhielt einen Link in einer Malware-SPAM-Kampagne, über den sich eine bösartige XLL-Datei herunterladen konnte. Die seit 2013 aktive Hancitor-Malware versuchte über die XLL-Datei die Cobald Strike-Malware herunterzuladen (siehe folgendes Bild).

Hancitor Infection
Hancitor-Infektion

Der Kollege auf nospamproxy.de hat in diesem Artikel diesen Ansatz zur Infektion von Malware beschrieben. Abhilfe schafft nur, dass Administratoren XLL-Anhänge in Mails blockieren.

Neue Kampagne installiert Redline-Trojaner

Aktuell berichten die Kollegen von Bleeping Computer über eine neue Kampagne, in der die Redline-Malware zum Stehlen von Passwörtern über XLL-Dateien verbreitet wird. Die Cyberkriminellem versenden konkret Spam-Mails über Website-Kontaktformulare und Diskussionsforen. Ziel ist es, die Opfer zum Herunterladen und Installieren der Excel-XLL-Dateien zu verleiten. Dabei wird die RedLine-Malware zum Stehlen von Passwörtern verteilt. Hier einige Ansätze, um die XLL-Datei an die Opfer zu bringen:

Sell us advertising space on your site from $ 500
You can read our terms on the link below
*ttps://drive.google[.]com/file/d/xxx/view?usp=sharing

Thanks for using our app. Your payment has been approved.
You can see your payment report on the link below
*ttps://xxx[.]link/report.xll

In allen Ansätzen wird ein Link zum Download einer XLL-Datei bereitgestellt. Der Benutzer soll dann die Datei herunterladen und in Excel ausführen (installieren) lassen. Die Kollegen haben das grob skizziert, im aktuellen Fall wird dann ein WGet-Downloader gestartet, der die JavaBridge32.exe-Datei herunterlädt, im Benutzerprofil speichert und als AutoRun in der Registrierung einträgt. Dadurch wird Redline bei jedem Login des Benutzers geladen.

RedLine selbst ist zuerst ein Trojaner, der in Webbrowsern gespeicherte Cookies, Benutzernamen, Passwörter und Kreditkartendaten sowie FTP-Anmeldeinformationen und Dateien von einem infizierten Gerät stiehlt. Redline ist aber in der Lage, weitere Malware herunterzuladen und zu installieren. Zudem kann die Malware Screenshots des aktiven Windows-Bildschirms erstellen.

Details zu dieser Kampagne sind bei den Kollegen von Bleeping Computer in diesem Artikel nachzulesen. Gemäß diesem Microsoft-Dokument werden XLL-Dateien als Anhang in Microsoft Outlook standardmäßig blockiert. Der Kollege auf nospamproxy.de hat in diesem Artikel ebenfalls skizziert, wie man mit deren (kostenpflichtigem) Inhaltsfilter diesen XLL-Datei-Typ in Mails ausfiltern kann. Das verhindert aber nur, dass die XLL-Dateien per Mail-Anhang heruntergeladen werden können. In diesem Artikel (admx.help/?Category=Office2007&Policy=excel12.Office.Microsoft.Policies.Windows::L_Blockopeningofxllfiletypes) wird skizziert, wie das Laden der XLL-Dateien in Office 97 per Richtlinie bzw. FileOpenBlock-Registry-Eintrag verhindert werden kann.


Anzeige

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Excel XLL-Addins für Malware-Installation missbraucht

  1. Singlethreaded sagt:

    Es kann sicherlich nicht schaden XLL Dateien in Mails zu filtern, aber so wie ich das im Artikel lese, ist die XLL-Datei nicht Teil der Mail sondern muss über einen Link geladen werden.
    Es dürfte also ehr Aufgabe sein den Download von XLL Dateien zu verhindern. Zum Beispiel indem der Webtraffic auf einem Proxy gefiltert wird.
    Da inzwischen auch die meisten Malwareseiten valide TLS-Zertifikate verwenden, muss man mit dem Proxy schon Man-in-the-Middle spielen und die Verschlüsselung aufbrechen.
    Das ist möglich, aber technisch anspruchsvoll, weil eine Root-CA benötigt wird, welche on-the-fly Zertifikate ausstellt und dieser müssen die Clients auch vertrauen.
    Auch aus Sicht des Datenschutzes ist das Ganze nicht trivial. Es wird nicht einfacher im Moment.

    Gruß Singlethreaded

  2. A. Nonym sagt:

    XLL-Files muss es schon "ewig" geben, aber selbst in der IT-Security war das wenig bekannt:

    https://isc.sans.edu/forums/diary/Downloader+Disguised+as+Excel+AddIn+XLL/28052/

    • Carsten sagt:

      Vielen Dank für den Link!

      Hab gerade 10 Minuten nach dem richtigen MIME Type gesucht, aber war mir nicht ganz sicher. Im Screenshot ist es abgebildet. Wurde soeben im Proxy auf die Blacklist gesetzt.

  3. Sebastian sagt:

    Schädliche Office Addins sind ja nichts neues, mit XLL beschränkt sich der Angreifer natürlich auf Excel, normalerweise sind das COM Addins die in allen gängigen Office Anwendungen geladen werden. Ich kann mir nur vorstellen das der Angreifer da versucht durchzurutschen weil meist mehr auf die COM Addins geachtet wird. Das mit dem Autostart in der Registry ist allerdings wieder relativ plump.

  4. 1ST1 sagt:

    "Öffnen lassen sich die XLL-Dateien in Excel über Datei -> Optionen als Add-In." – das ist nur die halbe Wahrheit. Die lassen sich auch per Doppelklick aus dem Explorer in Excel öffnen. Das kann jeder selbst ausprobieren, ohne eine echte XLL Datei zu haben, einfach eine leere Textdatei anlegen, und in .xll umbenennen. Die Dinger bekommen sogar automatisch ein grünes Excel-Icon, so dass sofort klar ist, dass das was für Excel ist.

    Je nach Office-Härtung wird die Datei dann geöffnet, es kommt eine Rückfrage / Warnung oder nicht, oder sie wird gleich ausgeführt. Wer sein Office 365 nach den CISA- und BSI-Empfehlungen härtet, kann sich übrigens entspannt zurück lehnen, da funktionieren XLL Erweiterungen nicht mehr. Das kann allerdings auch gewisse Anwendungen ausbremsen…

    Somit hat ein Mailanhang oder Download "wichtige Mahnung.xll" mit einem grünen Excel-Icon mitunter eine einschlagende Wirkung…

  5. Stefan Kanthak sagt:

    "Abhilfe schafft nur, dass Administratoren XLL-Anhänge in Mails blockieren."
    KWATSCH!

    Diesen URALTEN, seit dem letzten Jahrtausend wohlbekannten Angriffsweg kann jeder nicht völlig merkbefreite Windows-Missbraucher seit 20 (in Worten: ZWANZIG) Jahren per Softwarebeschränkungsrichtlinien (siehe https://skanthak.homepage.t-online.de/SAFER.HTML) zur Sackgasse machen!

    Übrigens: es gibt auch .RLL oder .WLL Dateien!
    Deren Ausführung verhindert SAFER natürlich auch, wie die ALLER "portable executables", UNABHÄNGIG von deren Dateiendung!

    • chw9999 sagt:

      DER Link ist case sensitiv, das html muss klein sein:
      https://skanthak.homepage.t-online.de/SAFER.html
      Offensichtlich serviert da kein Windows (Daumen hoch!) ;)

      • Dat Bundesferkel sagt:

        Dafür weist die Internetpräsenz übrigens in diesem Falle mehr als genug "Bad Practices" auf (kein HSTS, keine X Content Type Options, keine X Frame Options, keine Content Security Policy, keine X XSS Protection (…)).

        Dazu auf dieser spezifischen Seite keinerlei Hinweis, daß zusätzlich eine Datenverbindung zu microsoft.com, zur w3.org und trendmicro.com aufgebaut wird.

        Glashaus. Steine.

  6. Stefan Kanthak sagt:

    Wer den Angriffsweg bzw. die Verwundbarkeit (s)eines Systems testen möchte lädt https://skanthak.homepage.t-online.de/download/SENTINEL.CAB herunter, extrahiert bei 32-bittigem Excel/Word/Office die 32-bittige I386\SENTINEL.DLL bzw. bei 64-bittigem Excel/Word/Office die 64-bittige AMD64\SENTINEL.DLL, speichert diese als ‹irgendwas›.XLL bzw. ‹irgendwas›.WLL und "öffnet" sie per Doppelklick.
    Siehe https://skanthak.homepage.t-online.de/sentinel.html bzw. https://insights.sei.cmu.edu/cert/2016/06/bypassing-application-whitelisting.html

    JFTR: das funktioniert auch mit jeder anderen DLL meiner "Minenfelder"…

Schreibe einen Kommentar zu Stefan Kanthak Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.