Skip to content

Ein Benutzer öffnete ein Office-Dokument und aktivierte Makros; das EDR zeigt anschließend einen von Word erzeugten Kindprozess. Was ist Ihre erste Maßnahme?

Kurzantwort

Word, das direkt nach dem Aktivieren von Makros einen Kindprozess erzeugt, ist ein klassisches Muster für Erstzugriff per Schaddokument. Isolieren Sie den Host, um die Ausbreitung zu begrenzen, erfassen Sie flüchtige Beweise und untersuchen Sie den erzeugten Prozess, seine Netzwerkaktivität und jegliche Persistenz. Den Benutzer zu bitten, die Datei zu schließen, oder Office zu reparieren, behandelt keine ausführende Nutzlast, die möglicherweise bereits gelaufen ist. Nichts zu tun, weil die Datei per E-Mail kam, ist verkehrt herum — E-Mail ist genau der Lieferweg dieses Angriffs. Erst eindämmen, dann untersuchen.

Wenn ein Benutzer Makros in einem Office-Dokument aktiviert und Word (winword.exe) sofort einen Kindprozess erzeugtpowershell.exe, cmd.exe, wscript.exe oder eine abgelegte Binärdatei — ist das die Lehrbuchsignatur eines Schaddokuments, das Erstzugriff liefert. Das Makro ist der Starter der Nutzlast; der Kindprozess ist die ausführende Nutzlast (oder deren Downloader). Dies ist eine der häufigsten Arten, wie Einbrüche beginnen.

Die richtige erste Maßnahme: eindämmen, dann untersuchen

  • Isolieren Sie den Host per EDR, um jegliche Command-and-Control-Verbindung zu kappen und die Nutzlast an der lateralen Ausbreitung zu hindern, während Sie ihn eingeschaltet lassen, um keine im Speicher befindlichen Beweise zu verlieren.
  • Erfassen Sie flüchtige Daten — laufende Prozesse, Netzwerkverbindungen, den vollständigen Prozessbaum, geladene Module — bevor sie sich ändern.
  • Untersuchen Sie den erzeugten Prozess: was er ist, was er kontaktierte, was er auf die Festplatte schrieb und ob er Persistenz erstellte (eine geplante Aufgabe, einen Run-Schlüssel oder einen Dienst). Das sagt Ihnen, ob ein einzelner isolierter Host genügt oder ob Sie ein größeres Problem haben.

Warum die Ablenker scheitern

  • „Dem Benutzer sagen, er solle das Dokument schließen" tut nichts gegen eine Nutzlast, die bereits ausgeführt wurde. Word zu schließen, beendet keinen erzeugten powershell.exe und macht keine Persistenz rückgängig.
  • „Eine Office-Reparatur ausführen" behandelt dies als Anwendungsfehler. Es ist kein Fehler — es ist Codeausführung.
  • „Nichts — Makros sind sicher, wenn die Datei per E-Mail kam" ist genau verkehrt herum. E-Mail-Anhänge sind der primäre Lieferkanal für bösartige Makros (MITRE ATT&CK T1566.001). Die Herkunft macht es verdächtiger, nicht weniger.

Was der Interviewer prüft

Selbst auf Junior-Ebene, ob Ihr Reflex bei einer Live-Warnung eindämmen und Beweise bewahren lautet, statt aufzuräumen oder Wunschdenken zu betreiben. Sie wollen sehen, dass Sie Makro-zu-Kindprozess als Erstzugriff erkennen und dass Sie weder den Benutzer warnen noch den flüchtigen Zustand zerstören, bevor Sie verstanden haben, was ausgeführt wurde.

Wahrscheinliche Anschlussfragen

  • Was tut ein bösartiges Makro typischerweise, sobald es läuft — nennen Sie die häufigen Folgestufen?
  • Warum lassen Sie den Host eingeschaltet, wenn Sie ihn isolieren, und welche flüchtigen Daten würden Sie sichern?
  • Wie würden Sie bestätigen, ob die Nutzlast Persistenz etabliert hat, bevor Sie sie eingedämmt haben?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.