Macro-urile rămân cel mai popular vector de transmitere a programelor malware și a încărcăturii utile. De fapt, autorii de programe malware trec la metodologii de atac care valorifică MS Office și amenințările bazate pe scripturi. S-a înregistrat o creștere semnificativă a detecțiilor bazate pe scripturi (73,55%) și a detecțiilor de macro-uri bazate pe Office (30,43%), conform Malware Threat Report: Q2 2020 Statistics and Trends de Avira Protection Labs.(1) Diverse tehnici sunt utilizate de actorii de amenințare pentru a ascunde macro-urile malițioase, cum ar fi VBA evaziv și proiectul VBA blocat care face codul macro-ului "nevizibil". Aceste amenințări pot fi neutralizate prin tehnologia OPSWAT Deep Content Disarm and Reconstruction (Deep CDR). Eficacitatea Deep CDR este descrisă în postarea noastră anterioară de pe blog. În acest blog, vom arăta modul în care Deep CDR previne o altă tehnică avansată de evitare a malware-ului numită VBA Stomping.
VBA stomping a fost ilustrat de Dr. Vesselin Bontchev în introducerea dezasamblatorului VBA p-code. Problema constă în faptul că VBA stomping distruge codul sursă VBA original încorporat într-un fișier Office și îl compilează într-un p-code (un pseudocod pentru o mașină cu stivă), care poate fi executat pentru a livra programe malware. În acest caz, detectarea documentelor malware (maldoc) bazată pe codul sursă VBA este ocolită, iar încărcătura utilă malițioasă este livrată cu succes. Iată un exemplu detaliat de călcare în picioare VBA.
Folosind tehnica VBA stomping, scriptul macro original este modificat pentru a afișa un mesaj simplu. Acest lucru împiedică programele anti-malware să detecteze conținutul activ suspect din fișier. Cu toate acestea, macroul este în continuare executabil (prin intermediul codului p) și solicită executarea liniei de comandă.
Deep CDR vă protejează de tot conținutul malițios ascuns în fișiere. Elimină atât codul sursă macro, cât și codul p din documente. Tehnologia noastră avansată de prevenire a amenințărilor nu se bazează pe detectare. Ea presupune că toate fișierele care intră în rețeaua dvs. sunt suspecte și igienizează și reconstruiește fiecare fișier numai cu componentele sale legitime. Indiferent de modul în care conținutul activ (macro, câmp de formular, hyperlink etc.) este ascuns într-un document, acesta este eliminat înainte ca fișierul să fie trimis către utilizatori. Urmăriți videoclipul demonstrativ de mai jos pentru a înțelege modul în care Deep CDR este eficient în scenariul VBA Stomping.
Deep CDR asigură că fiecare fișier care intră în organizația dvs. este făcut inofensiv. Acest lucru ajută la prevenirea atacurilor de tip zero-day și oprește pătrunderea programelor malware evazive în organizația dvs. Soluția noastră suportă dezinfectarea a peste 100 de tipuri comune de fișiere, inclusiv PDF, fișiere Microsoft Office, HTML, fișiere de imagine și multe formate regionale specifice, cum ar fi JTD și HWP.
Contactați-ne pentru a înțelege mai multe despre tehnologiile avansate ale OPSWATși pentru a vă proteja organizația împotriva atacurilor din ce în ce mai sofisticate.
Referință:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
