宏仍然是最流行的恶意软件和有效载荷传播媒介。事实上,恶意软件作者正在转向利用MS Office和基于脚本威胁的攻击方法。根据《恶意软件威胁报告》,基于脚本的检测(73.55%)和基于 Office 的宏检测(30.43%)大幅增加:(1)威胁行为者使用各种技术来隐藏恶意宏,如回避 VBA 和 VBA 项目锁定,从而使宏代码 "无法查看"。这些威胁可以通过OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) 技术来消除。我们在上一篇博文中介绍了Deep CDR 的功效。在本博客中,我们将展示Deep CDR 如何防止另一种高级恶意软件规避技术,即 VBA Stomping。
Vesselin Bontchev 博士在其 VBAp-code 反汇编器介绍中说明了 VBA stomping。问题在于,VBA stomping 破坏了嵌入 Office 文件中的原始 VBA 源代码,并将其编译成 p 代码(堆栈机的伪代码),执行该代码就可以传播恶意软件。在这种情况下,基于 VBA 源代码的恶意软件文档 (maldoc) 检测被绕过,恶意有效载荷被成功发送。以下是 VBA 踩踏的详细示例。
利用 VBA 踩踏技术,原始宏脚本被修改为显示一条简单的信息。这样,反恶意软件程序就无法检测到文件中可疑的活动内容。不过,宏仍可执行(通过 p 代码),并要求执行命令行。
Deep CDR 保护你免受隐藏在文件中的所有恶意内容的侵害。它能清除文件中的宏源代码和 p 代码。我们先进的威胁防御技术不依赖于检测。它假定进入网络的所有文件都是可疑的,并只使用合法组件对每个文件进行消毒和重构。无论活动内容(宏、表单字段、超链接等)是如何隐藏在文档中的,都会在文件发送给用户之前被删除。请观看下面的演示视频,了解Deep CDR 如何在 VBA Stomping 场景中发挥有效作用。
Deep CDR确保进入企业的每个文件都是无害的。这有助于防止零时差攻击,并阻止躲避性恶意软件进入企业。我们的解决方案支持对100 多种常见文件类型进行消毒,包括 PDF、Microsoft Office 文件、HTML、图像文件以及 JTD 和 HWP 等许多特定区域格式。
请联系我们,进一步了解OPSWAT的先进技术,保护您的组织免受日益复杂的攻击。
参考资料
(1) "恶意软件威胁报告:2020 年第二季度统计数据和趋势 | Avira 博客"。2020.Avira 博客 。https://www.avira.com/en/blog/....
