Publicat inițial la 05 iunie 2020.
Programele malware sunt în continuă evoluție, la fel ca și tehnicile de evitare a acestora. Într-un studiu realizat de Universitatea din Genova, care a analizat 180.000 de mostre de malware pentru Windows, 40% dintre acestea utilizează cel puțin o tehnică de evaziune. În această postare pe blog, explorăm două metode utilizate de actorii de amenințare pentru a ocoli software-ul antivirus (AV).
Vom analiza un eșantion de malware pentru a afla cum atacatorii folosesc fișiere Excel aparent inofensive pentru a infecta organizațiile. Fișierul conține o macro care descarcă un fișier stenografic și îl decodifică pentru a extrage o sarcină utilă malițioasă.
Parolă VelvetSweatshop
Parola implicită "VelvetSweatshop" este o vulnerabilitate veche, care a fost introdusă pentru prima dată în 2012. Cel mai recent a fost folosită pentru a răspândi malware-ul LimeRAT. Infractorii cibernetici au ales această tactică deoarece Microsoft Excel are capacitatea de a utiliza parola implicită, implicită VelvetSweatshop pentru a decripta un fișier, a-l deschide în modul doar pentru citire fără a fi necesară o parolă și a rula simultan macro-uri încorporate.
Prin criptarea fișierului de probă cu parola VelvetSweatshop, unele motoare de scanare antivirus au fost împiedicate să detecteze codul malițios. În testele noastre, doar 15 din cele 40 de AV-uri au găsit amenințarea.
Macro protejat prin parolă
La fel ca și în cazul protejării cu parolă a unei foi de calcul, Microsoft Excel permite utilizatorilor să blocheze o macro în Excel împotriva vizualizării. Cu toate acestea, această caracteristică nu criptează macrourile.
Atunci când am folosit această caracteristică pentru a ascunde macroul malware de probă, aceasta a făcut ca detecția unor AV-uri să fie mai puțin eficientă. Trei motoare AV, care au detectat cu succes eșantionul de malware, nu au putut vedea amenințarea atunci când macroul era protejat prin parolă.
Ce se întâmplă dacă combinăm cele două tactici?
Atunci când am aplicat atât parola VelvetSweatshop cât și funcția Macro protejat prin parolă pentru a ajuta eșantionul malițios să ocolească detecția, am observat o scădere semnificativă a rezultatului scanării. Doar 13 din cele 40 de motoare AV au reușit să detecteze amenințarea.
Care este soluția pentru a preveni tehnicile de evaziune malware?
Actorii amenințători caută mereu noi tehnici pentru a-și ascunde fișierele malițioase de sistemele antivirus. Una dintre cele mai bune practici pentru a învinge programele malware evazive constă în dezactivarea tuturor obiectelor potențial malițioase din fișierele transferate în sistem. Chiar și un macro inofensiv poate deveni ulterior o vulnerabilitate.
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) elimină tot conținutul activ încorporat în fișiere (inclusiv macro-uri, obiecte OLE, hyperlink-uri etc.) și reconstruiește fișierele numai cu componente legitime. În plus, Deep CDR vă permite să investigați macro-urile protejate prin parolă fără a cunoaște parola. Această tehnologie de vârf din industrie de la OPSWAT este foarte eficientă pentru prevenirea amenințărilor cunoscute și necunoscute, inclusiv a atacurilor țintite de tip zero-day și a programelor malware evazive avansate.
După ce eșantionul a fost igienizat de Deep CDR, avem acum un fișier fără amenințări, cu funcționalitate completă.
Dacă macrosurile sunt necesare pentru operațiunile dvs. de afaceri, este important să scanați simultan fiecare fișier cu mai multe antiviruși pentru a crește șansele de detectare a amenințărilor. OPSWAT a fost pionierul conceptului de Multiscanning, scanând fișierele cu peste 30 de motoare comerciale anti-malware. Combinând diverse mecanisme și tehnici de analiză, inclusiv semnături, euristică, AI/ML și emulație, tehnologiaOPSWAT Multiscanning vă ajută să maximizați ratele de detecție cu un cost total de proprietate (TCO) redus.
Aflați mai multe despre Deep CDR și Multiscanning sau discutați cu un expert tehnic OPSWAT pentru a descoperi cea mai bună soluție de securitate pentru a preveni programele malware de tip zero-day și cele evazive avansate.
