evilclippy

„Evil Clippy“ hilft Sicherheits-Testern bei Makro-Erstellung

„Es sieht so aus, als möchten Sie einen Brief schreiben! Kann ich Ihnen helfen?“. Wer sich noch an Clippy alias Karl Klammer erinnert, weiß das der kleine Comic-Assstent neben dem Anmerken des völlig Offensichtlichen vor allem eins gut konnte: Dem User gehörig auf die Nerven gehen. Millionen Windows-User haben seit Office 97 die Augen gerollt, wenn der kleine Kerl mal wieder völlig ungefragt den Bildschirm belegte.

Evil Clippy: Clippys böser Zwilling

Jetzt erhält der Papierclip-Assistent ein Revival und zwar als böser Zwilling „Evil Clippy“. Das niederländische IT-Sicherheitsunternehmen Outflank präsentierte den etwas anderen Helfer auf der Cybersecurity-Messe BlackHat Asia.

Mit dem neuen Tool sollen Sicherheits-Tester und Red Teams die Möglichkeit bekommen, Malware-behaftete Makros zu erstellen, die die gängigen Makro-Analyse-Tools umgehen können. Obwohl Clippy untrennbar mit Windows verbunden ist, gibt es das neue Werkzeug auch für MacOS und Linux.

Die Idee hinter Evil Clippy: Per Visual-Basic-Code lassen sich schadhafte Makros erstellen, die die Office-Dokumente schon auf der Dateiformats-Ebene manipulieren. Makros sind selbst erstellte Dateierweiterungen, die etwa in Word- oder Excel-Dateien festgelegte Routinen abarbeiten.

Malware zum Testen von Analysetools

Für diese Makros gibt es einige Analysetools, die sie auf Malware testen. Mittels verschiedener Techniken, wie etwa „VBA-Stomping“ ersetzt Evil Clippy das Original-Makro gegen eine schadhafte Variante per p-code (Pseudo Code). So ausgetrickst wird die Malware beim Öffnen der Datei trotzdem ausgeführt.

Evil Clippy funktioniert mit DOC- und XLS-Dateien bei Office 97 bis 2003 und mit DOCM- und XLSM-Dateien ab Office 2007. Die Manipulation per VBA-Stomping ist dabei nur eine Manipulations-Variante. Die Fähigkeiten des Tools sollen nach und nach weiter ausgebaut werden.

Office-Makros sind standardmäßig deaktiviert, eben weil sie oft Malware beinhalten. Allerdings lassen sich viele Dokumente, wie etwa Excel-Dateien ohne Makros oft nicht nutzen. Die Anwender können die Erweiterungen dann selbst aktivieren.

Bislang waren die Analyse-Tools relativ zuverlässig in der Prüfung dieser Erweiterungen. Evil Clippy zeigt nun eindrucksvoll, wie sich diese Sicherheitsmaßnahmen dennoch umgehen lassen.

Der Original-Clippy wurde übrigens mal als „einer der größten Software-Fehler, der  jemals gemacht wurde“ bezeichnet. Bleibt zu hoffen, dass Evil Clippy dieses Schicksal erspart bleibt.