A makrók továbbra is a legnépszerűbb vektorok a rosszindulatú programok és a hasznos adatok továbbításához. Valójában a rosszindulatú programok szerzői olyan támadási módszerekre térnek át, amelyek az MS Office-t és a szkriptalapú fenyegetéseket használják ki. Az Avira Protection Labs „Malware Threat Report: Q2 2020 Statistics and Trends” (Rosszindulatú programok jelentése: 2020 második negyedévi statisztikák és trendek) című jelentése szerint jelentősen nőtt a szkriptalapú észlelések (73,55%) és az Office-alapú makróészlelések (30,43%) száma.(1) A fenyegetések szereplői különböző technikákat alkalmaznak a rosszindulatú makrók elrejtésére, például a kitérő VBA-t és a VBA-projekt zárolását, amely a makrókód „láthatatlanná” teszi. Ezeket a fenyegetéseket az OPSWAT Deep Content Disarm and Reconstruction Deep CDR™ Technology) technológia semlegesíti. A Deep CDR™ Technology hatékonyságát korábbi blogbejegyzésünkben ismertettük. Ebben a blogbejegyzésben bemutatjuk, hogyan akadályozza meg a Deep CDR™ technológia egy másik fejlett rosszindulatú programok elkerülési technikáját, a VBA Stompinget.
A VBA toporzékolást Dr. Vesselin Bontchev illusztrálta a VBA p-kód szétszerelőjének bevezetőjében. A probléma az, hogy a VBA stomping elpusztítja az Office-fájlba ágyazott eredeti VBA-forráskódot, és p-kóddá (pszeudokóddá egy veremgép számára) fordítja le, amely végrehajtva rosszindulatú programot juttathat célba. Ebben az esetben a VBA forráskódon alapuló rosszindulatú dokumentum (maldoc) felismerése megkerülhető, és a rosszindulatú hasznos teher sikeresen kézbesíthető. Íme egy részletes példa a VBA taposásra.
A VBA taposó technikával az eredeti makroszkriptet úgy módosítjuk, hogy egy egyszerű üzenetet jelenítsen meg. Ez megakadályozza, hogy a malware-ellenes programok felismerjék a fájl gyanús aktív tartalmát. A makró azonban továbbra is futtatható (a p-kódon keresztül), és a parancssor végrehajtását kéri.
A Deep CDR™ technológia megvéd minden fájlokban rejtőző rosszindulatú tartalomtól. Eltávolítja a dokumentumokból mind a makró forráskódot, mind a p-kódot. Fejlett fenyegetésmegelőző technológiánk nem az észlelésre támaszkodik. Minden, a hálózatába belépő fájlt gyanúsnak tekinti, és minden fájlt megtisztít, majd csak a legitim összetevőiből állít össze újra. Függetlenül attól, hogy az aktív tartalom (makró, űrlapmező, hiperhivatkozás stb.) hogyan van elrejtve a dokumentumban, azt eltávolítja, mielőtt a fájlt elküldené a felhasználóknak. Nézze meg az alábbi bemutató videót, hogy megértse, hogyan hatékony a Deep CDR™ technológia a VBA Stomping forgatókönyvben.
A Deep CDR™ technológia biztosítja, hogy minden, a szervezetébe bekerülő fájl ártalmatlan legyen. Ez segít megelőzni a zero-day támadásokat és megakadályozza, hogy a kijátszó rosszindulatú programok bejussanak a szervezetébe. Megoldásunk több mint 100 általános fájltípus tisztítását támogatja, beleértve a PDF, Microsoft Office fájlokat, HTML, képfájlokat és számos regionális formátumot, mint például a JTD és HWP.
Vegye fel velünk a kapcsolatot, ha többet szeretne megtudni az OPSWATfejlett technológiáiról, és meg akarja védeni szervezetét az egyre kifinomultabb támadásoktól.
Hivatkozás:
(1) "Malware Threat Report: Q2 2020 Statistics And Trends | Avira Blog". 2020. Avira Blog. https://www.avira.com/en/blog/....
