Macro-urile rămân cel mai popular vector de distribuire a programelor malware și a încărcăturilor dăunătoare. De fapt, autorii de programe malware trec la metodologii de atac care exploatează MS Office și amenințările bazate pe scripturi. S-a înregistrat o creștere semnificativă a detectărilor bazate pe scripturi (73,55%) și a celor bazate pe macro-uri Office (30,43%), conform Raportului privind amenințările malware: Statistici și tendințe pentru trimestrul al doilea al anului 2020, realizat de Avira Protection Labs.(1) Actorii amenințării utilizează diverse tehnici pentru a ascunde macro-urile rău intenționate, cum ar fi VBA evaziv și proiectul VBA blocat, care face codul macro „invizibil”. Aceste amenințări pot fi neutralizate prin tehnologia OPSWAT Deep Content Disarm and Reconstruction Deep CDR™). Eficacitatea tehnologiei Deep CDR™ este descrisă în articolul nostru anterior de pe blog. În acest blog, vom arăta cum tehnologia Deep CDR™ previne o altă tehnică avansată de evaziune a malware-ului numită VBA Stomping.
VBA stomping a fost ilustrat de Dr. Vesselin Bontchev în introducerea dezasamblatorului VBA p-code. Problema constă în faptul că VBA stomping distruge codul sursă VBA original încorporat într-un fișier Office și îl compilează într-un p-code (un pseudocod pentru o mașină cu stivă), care poate fi executat pentru a livra programe malware. În acest caz, detectarea documentelor malware (maldoc) bazată pe codul sursă VBA este ocolită, iar încărcătura utilă malițioasă este livrată cu succes. Iată un exemplu detaliat de călcare în picioare VBA.
Folosind tehnica VBA stomping, scriptul macro original este modificat pentru a afișa un mesaj simplu. Acest lucru împiedică programele anti-malware să detecteze conținutul activ suspect din fișier. Cu toate acestea, macroul este în continuare executabil (prin intermediul codului p) și solicită executarea liniei de comandă.
Tehnologia Deep CDR™ te protejează împotriva tuturor conținuturilor rău intenționate ascunse în fișiere. Aceasta elimină atât codul sursă al macro-urilor, cât și codul p din documente. Tehnologia noastră avansată de prevenire a amenințărilor nu se bazează pe detectare. Ea pornește de la premisa că toate fișierele care intră în rețeaua ta sunt suspecte și curăță și reconstruiește fiecare fișier folosind doar componentele sale legitime. Indiferent de modul în care conținutul activ (macro, câmp de formular, hyperlink etc.) este ascuns într-un document, acesta este eliminat înainte ca fișierul să fie trimis utilizatorilor. Urmăriți videoclipul demonstrativ de mai jos pentru a înțelege cât de eficientă este tehnologia Deep CDR™ în scenariul VBA Stomping.
Tehnologia Deep CDR™ garantează că fiecare fișier care intră în organizația dumneavoastră este neutralizat. Acest lucru contribuie la prevenirea atacurilor de tip „zero-day” și împiedică pătrunderea programelor malware evazive în organizația dumneavoastră. Soluția noastră permite sterilizarea a peste 100 de tipuri de fișiere comune, inclusiv PDF, fișiere Microsoft Office, HTML, fișiere imagine și numeroase formate specifice anumitor regiuni, precum JTD și HWP.
Contactați-ne pentru a înțelege mai multe despre tehnologiile avansate ale OPSWATși pentru a vă proteja organizația împotriva atacurilor din ce în ce mai sofisticate.
Referință:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
