A makrók továbbra is a kártevők és a hasznos teher terjesztésének legnépszerűbb vektora. Valójában a rosszindulatú programok szerzői olyan támadási módszerekre térnek át, amelyek az MS Office és a szkript-alapú fenyegetéseket használják ki. A Malware Threat Report szerint jelentősen nőtt a szkript-alapú észlelések (73,55%) és az Office-alapú makró-észlelések (30,43%) száma: Q2 2020 Statistics and Trends by Avira Protection Labs.(1 ) A fenyegető szereplők különböző technikákat használnak a rosszindulatú makrók elrejtésére, például a kitérő VBA és a VBA projekt zárolását, amely a makró kódot "láthatatlanná" teszi. Ezeket a fenyegetéseket az OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) technológia semlegesítheti. A Deep CDR hatékonyságát korábbi blogbejegyzésünkben ismertetjük. Ebben a blogban bemutatjuk, hogy a Deep CDR hogyan akadályozza meg a VBA Stomping nevű másik fejlett kártevőprogram-kikerülési technikát.
A VBA toporzékolást Dr. Vesselin Bontchev illusztrálta a VBA p-kód szétszerelőjének bevezetőjében. A probléma az, hogy a VBA stomping elpusztítja az Office-fájlba ágyazott eredeti VBA-forráskódot, és p-kóddá (pszeudokóddá egy veremgép számára) fordítja le, amely végrehajtva rosszindulatú programot juttathat célba. Ebben az esetben a VBA forráskódon alapuló rosszindulatú dokumentum (maldoc) felismerése megkerülhető, és a rosszindulatú hasznos teher sikeresen kézbesíthető. Íme egy részletes példa a VBA taposásra.
A VBA taposó technikával az eredeti makroszkriptet úgy módosítjuk, hogy egy egyszerű üzenetet jelenítsen meg. Ez megakadályozza, hogy a malware-ellenes programok felismerjék a fájl gyanús aktív tartalmát. A makró azonban továbbra is futtatható (a p-kódon keresztül), és a parancssor végrehajtását kéri.
Deep CDR megvédi Önt a fájlokban elrejtett minden rosszindulatú tartalomtól. Eltávolítja mind a makró forráskódot, mind a p-kódot a dokumentumokon belül. Fejlett fenyegetésmegelőző technológiánk nem a felismerésre támaszkodik. Feltételezi, hogy a hálózatába belépő összes fájl gyanús, és minden fájlt tisztít és rekonstruál, csak a jogos összetevőit tartalmazza. Függetlenül attól, hogy az aktív tartalom (makró, űrlapmező, hiperhivatkozás stb.) hogyan van elrejtve egy dokumentumban, eltávolításra kerül, mielőtt a fájl elküldésre kerül a felhasználóknak. Nézze meg az alábbi demóvideót, hogy megértse, hogyan hatékony a Deep CDR a VBA Stomping forgatókönyvben.
Deep CDR biztosítja, hogy minden, a szervezetébe érkező fájl ártalmatlanná válik. Ez segít megelőzni a nulladik napi támadásokat, és megakadályozza, hogy kitérő rosszindulatú programok jussanak be a szervezetébe. Megoldásunk több mint 100 gyakori fájltípus, köztük PDF, Microsoft Office fájlok, HTML, képfájlok és számos regionálisan specifikus formátum, például JTD és HWP esetében támogatja a szanálást.
Vegye fel velünk a kapcsolatot, ha többet szeretne megtudni az OPSWATfejlett technológiáiról, és meg akarja védeni szervezetét az egyre kifinomultabb támadásoktól.
Hivatkozás:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
